Antal Lajos, a Deloitte Zrt. Informatikai biztonság és adatvédelem üzletágának vezetője
Szabad bejárás
Az adatlopás kockázatait növeli a technológia fejlődése is, így például a nagyobb mobilitás, az online üzleti alkalmazások népszerűsége, vagy a kiszervezett tevékenységek terjedése. Az adatok szivárgását sok esetben mégsem külső támadók (pl. kiberbűnözők, hackerek) okozzák, hanem a vállalat saját munkatársainak véletlen hibái, vagy szándékos visszaélései. Utóbbira példa a munkaviszony megszűnése előtti napokban a munkavállaló által végzett adat "kimentés". Egy - még a válság előtt készült - 1385 üzletembert megcélzó nemzetközi felmérés megállapította, hogy a megkérdezett cégvezetők 29%-a tulajdonított el vállalati információt akkor, amikor távozott korábbi munkahelyéről.
Ezt a helyzetet rontotta tovább a gazdasági válság, hiszen a krízis következtében megjelent a félelem a potenciális munkahelyvesztéstől, miközben az anyagi haszonszerzés, barátoknak tett szívességek és a szándékos károkozás továbbra is ugyanolyan motivációt jelenthetnek, mint a válság előtt. Sőt, a vállalatok falain kívülre szivárgó érzékeny információknak - például a beruházási adatok, költségtervek, üzleti tervek, személyes adatok - létezik felvevő piaca.
Ki a felelős?
Antal Lajos kiemelte: Bár sok vállalat kezdi felismerni az információszivárgásban rejlő kockázatokat, a problémák megoldását a vezetés jellemzően az informatikai részlegtől várja, rosszabb esetben pedig egyáltalán nem is foglalkozik vele - egészen addig, amíg a probléma egy jelentős incidens formájában nem jelentkezik. Az informatikai szakemberek ugyanakkor nem feltétlenül ismerik az üzletmenetet, így az üzleti és informatikai oldal vezetői között szinte előreprogramozott némi információ hiány, és így a problémák megoldatlanok maradnak. A hatékony vállalati információbiztonsághoz elengedhetetlen az együttműködés az IT-oldal és a cég pénzügyi/üzleti vezetése között.
Mi a megoldás?
Az elavult adatvédelmi intézkedések fejlesztésének legfontosabb feltételei a cég számítógépes rendszerében zajló folyamatok nyomon követhetősége, az IT rendszerek biztonsági kontrolljainak a növelése, illetve a vállalat biztonsági irányelveinek az újragondolása. Ezzel összhangban célszerű odafigyelni a vállalat incidenskezelési képességeinek a fejlesztésére is, ami nem csak a lehetséges számítógépes támadások elhárítását jelenti, hanem a megtörtént visszaélések felderítését is. Itt, az incidenskezelés területén ma még hiányosságokkal küzd a hazai vállalati szektor - mondta a Deloitte Zrt. szakértője.
Fontos, hogy a vállalat vezetése rendszeresen tanulmányozza a belső ellenőrzés és a biztonsági főosztály által készített információbiztonsággal kapcsolatos jelentéseket, továbbá rendszeresen konzultáljon az informatika és a belső ellenőrzés vezetőjével.
Az IT biztonsági kockázatelemzéseknek, biztonsági átvilágításoknak átláthatónak és érthetőnek kell lennie, a vállalat szempontjából legfontosabb megállapításokat olyan formában kell tartalmaznia, hogy az a pénzügyi vezetés számára már az első olvasatban is egyértelmű legyen. A pénzügyi vezetés alapvető érdeke, hogy a jelentések transzparens és közérthető formában készüljenek, hiszen megalapozott döntést csak ezek alapján lehet hozni.
Mivel a beruházásokról - így az IT-biztonsági költésekről is - a pénzügyi vezetés dönt, fontos, hogy ellenőrzési jogát kihasználva mindaddig ne adjon engedélyt egy beszerzésre, amíg valóban meg nem győződött arról, hogy az adott informatikai projektet megfelelően felmérték, teljes költsége transzparens, üzleti kockázatai pedig ismertek - tette hozzá Antal Lajos.
