A biztonságtudatosság és a vezetés, irányítás összefüggései

Az információbiztonság szempontjából különösen fontos a szervezeti kultúra, hiszen a szervezet általános információbiztonsága valójában annak tagjain, az egyéneken, továbbá azok aktuális viselkedésén múlik. A szervezet dolgozóinak tudatos információbiztonsági magatartását – a megfelelő képzés mellett – leginkább a felsővezetői elkötelezettség és tudatosság befolyásolja pozitív irányban, melyet a dolgozóknak meg is kell tapasztalniuk. Vezetői elfogadás, akarat, támogatás nélkül nem lehetséges rendszert kiépíteni, és biztonságosan, felelősségteljesen működtetni. Az ISACA által 2015 tavaszán elvégzett felmérés célcsoportja a releváns magyar vállalatok és intézmények voltak. A vizsgálat szerint a vezetők az információbiztonságot nagyon fontosnak tartják, de a biztonság megszilárdítására tett lépések gyakran elmaradnak, vagy csak részben valósulnak meg [43]. A felmérés alapján az év legfontosabb IT audit kezdeményezései a következők voltak:

13. sz. ábra⁴⁷: Információbiztonsági helyzetkép (2015 ISACA)

Hasonló eredményt mutatott ki a PTA CERT⁴⁸ is 2012-ben. „A magyarországi nagyvállalatok a nemzetközi átlaghoz hasonló arányban alkalmaznak átfogó stratégiát, illetve az egyes részterületekhez kapcsolódó biztonsági terveket, azonban a konkrét megvalósítás bizonyos esetekben még elmarad ettől a szinttől. Átfogó információbiztonsági stratégiája a vállalatok 61%-ának van (az ISACA tanulmánya1 szerint ez világszerte átlagosan 65%), míg például sérülékenység elemző eszközökkel csak egynegyedük rendelkezik, szemben a nemzetközi szinten átlagosan 53%-os aránnyal.”[44]

47 A GRC (irányítás-, kockázat- és megfelelés-menedzsment) egy integrált megközelítés a vállalati kockázatok

kezelésére. Bár külön entitások, de a GRC komponensei együtt alkotnak egy átfogó módszert, mely biztosítja az üzleti működés fenntarthatóságát.

48 PTA CERT: Hungary Nemzeti Hálózatbiztonsági Központ

59

A jelentésekből az is kiderül, hogy a belső ellenőrzések során vizsgált informatikai biztonság fejlesztésére is nagyobb figyelmet kell fordítani

A Ponemon Institute 2015-ben készített felmérést Global Cyber Impact Report néven [45], melynek eredményeit 37 országban több mint 2200 szakember megkérdezésével szűrték le. A kutatásából kiderül, hogy a válaszadóknak mindössze negyede van teljes mértékben tisztában a kibertámadások lehetséges pénzügyi és jogi következményeivel, míg ötödük egyáltalán nem látja át ezeket, amellett, hogy a válaszadó cégek 37 százalékánálmár léptek fel adatvesztéssel vagy adatkárosodással járó anomáliák.

A kutatások szerint nincs túl kicsi célpont, nincs túl kis cég, ahol ne lenne szükséges a védekezésre koncentrálni.

Ezt igazolja a Symantec [46] elemzése, mely szerint a támadások megközelítőleg felét olyan vállalatok szenvedték el, ahol 2500-nál kevesebb alkalmazott dolgozik, további 18%-uk pedig 250 alkalmazottnál is kevesebbet foglalkoztató vállalkozás volt. Folyamatos a verseny a hackerek és a biztonságot védő cégek között. A támadó sok esetben egy lépéssel előbbre jár, ugyanis neki van ideje felkészülni a támadásra, miközben a céget váratlanul éri az esemény.

A 4. fejezet 4. pontjának elején már utaltam arra, hogy egy szervezet nem válhat biztonságtudatossá anélkül, hogy a szervezet vezetője, a szervezet vezetése ne lenne biztonságtudatos. Amennyiben egy vezető nem eléggé biztonságtudatos, ez esetben az általa irányított szervezet sem lehet az. Nagyon fontosnak tartom emellett a személyes példamutatást:

ha a vezető és a vezető beosztású elöljárók biztonságtudatosságot árasztanak, ennek hatására nagy valószínűséggel a beosztott állomány is hasonlóan fog viselkedni. Véleményem szerint elengedhetetlen az is, hogy egy szervezet vezetője (vezetősége) kommunikálja a dolgozók felé, hogy számára a biztonságtudatosság mit jelent, és azt is, hogy milyen elvárásai vannak ezzel kapcsolatban a beosztottakkal szemben.

A szakemberek az MSZ ISO/IEC 27001:2014 szabvány kidolgozásával olyan egységes rendszert hoztak létre, amely a korábbi szabványok hiányosságait is pótolta. A felülvizsgálatkor a szabvány kidolgozói a tartalomra vonatkozó felhasználói vélemények beillesztésére is törekedtek, valamint a különböző irányítási rendszerek integrációjának megkönnyítését is szem előtt tartották. Ezért az új szabvány a felépítés egységesítése révén a több irányítási rendszert is működtető szervezetek számára jelenti a legnagyobb előnyt.

Azoknak a vállalati vezetőknek, akiknél az MSZ ISO/IEC 27001:2014 bevezetésre került, rendelkezniük kell azokkal az alapismeretekkel, amelyek alapján biztonságtudatosabbá válhatnak.

60

Az Óbudai Egyetem képzési rendszerében található az információbiztonsági szakmérnöki szakirányú 2 éves levelező képzés, melyet minden olyan középvezető részére ajánlott elvégezni, aki állami szférában információbiztonság témakörrel foglalkozik. Ez a képzés segítséget nyújt felső – és középvezetőknek ahhoz, hogy szervezetükben az információbiztonsági kultúra szintjét minél magasabb színvonalúra legyenek képesek emelni.

Az ISACA készített egy nemzetközi felmérést arra vonatkozólag, vajon milyen biztonságirányítási követelmények írhatóak elő, amelyeket a szervezeteknek figyelembe kell venni az információbiztonsági irányítás során. Ez alapján az alábbi követelményeknek kell megfelelni:

A szervezeteknek olyan információbiztonsági irányítási keretrendszert, működési folyamatot kell létrehozni és szinten tartani, amely biztosítja az összhangot az információbiztonsági stratégia,⁴⁹ a szervezet céljai, feladatai, a szervezetet érintő kockázatok és a stratégia megvalósításához szükséges, rendelkezésre álló források között. A keretrendszer kialakítása során az információs rendszereket veszélyeztető kockázatokat a jogszabályok által előírt módon kell kezelni.

Figyelmet kell fordítani arra is, hogy a szervezet információbiztonsági szabványai, eljárásai, útmutatói és más dokumentumai az információbiztonsági politikának megfelelően legyenek kialakítva.

Az alábbi leírás jól szemlélteti, hogy az információbiztonsági irányítási rendszer és információbiztonsági politika milyen sokrétű és összetett.

Információbiztonsági irányítási rendszer. Információbiztonsági politika: [47]

1. Információbiztonsági stratégia.

 Jelen állapot felmérése;

 Célok meghatározása (kívánt állapot leírása);

 Védelmi intézkedések és kontrollok;

 Szükséges erőforrások;

2. Információbiztonság irányítása.

 Irányítási szervezet;

 Működtetés irányítása;

49 A stratégia a célok meghatározásának és megvalósításának eszköze. Általában hosszabb távú terv a szervezeti célok elérésének megvalósításához. Fogalma alatt a szervezeti, üzleti vagy funkcionális célok, és az azok eléréséhez szükséges erőforrások (humán erőforrások, eljárások, eszközök) meghatározását, rendelkezésre állásának, illetve összehangolt működésének biztosítását is értjük.

Oroszi Eszter Diána: Információbiztonsági stratégia és vezetés NKE Budapest 2014 p.16.

61

 Ellenőrzés, monitorozás;

 Teljesítmény értékelés, visszamérés.

A program kidolgozása során arra is figyelmet kell fordítani. hogy egy esetleges biztonsági esemény bekövetkezése alkalmával minél kisebb kár érje az adott szervezetet. Ezért az információbiztonsági irányítási rendszer és információbiztonsági politika kialakítása során külön figyelmet kell fordítani a rendkívüli eseményekre való felkészülésre, a folyamatos reagáló képesség biztosítására. Ennek érdekében akciótervet szükséges készíteni az információbiztonsági események azonosítására, kivizsgálásukra, a problémára megoldására, valamint az eredeti rend helyreállítására. Az akcióterv elkészítése és naprakészen tartása nélkül egy szervezet nem képes hatékonyan reagálni a váratlanul bekövetkezett biztonsági eseményre.

Időszakonként tesztelni kell, és felül kell vizsgálni a rendkívüli eseménykezelési tervet azért, hogy az információbiztonsági rendkívüli eseményekre eredményes választ adhassunk és javítsuk a reagálási képességet. A rendkívüli események elhárítását követően felülvizsgálatot kell tartani, mely során meg kell határozni az információbiztonsági rendkívüli események bekövetkeztének okát, a probléma megoldására megtett intézkedéseket, majd az aktuális kockázatok felmérése után értékelni kell az elhárítás eredményességét, és szükség esetén megfelelő helyesbítő intézkedéseket kell hozni. Rendkívül fontos tehát, hogy egy szervezet vezetője megértse az információbiztonsági irányítási rendszer és információbiztonsági politika alkalmazásának szükségességét, emellett felismerje azt, hogy ez egy folyamatos, állandó fejlesztéssel és tökéletesítéssel járó folyamat.

Ennek a tevékenységnek támogatója lehet a szervezet biztonsági vezetője, valamint a vezetőség többi tagja, akik számára a biztonságtudatosság igénye egyfajta „belső késztetés” kell, hogy legyen. Természetesen a biztonságtudatosság nem a vezetők veleszületett tulajdonsága, tanulni, fejleszteni kell.