Információbiztonsági stratégia és vezetés

Abstract

Napjainkban minden vállalat egyik legnagyobb üzleti értéke az információ – üzleti titkok, ügyféladatok, üzleti tervek, fejlesztésekkel és projektekkel kapcsolatos belső információk. A legtöbb szervezetnél az információ, és az arra épülő tudásbázis az egyik legfontosabb vagyonelemnek tekinthető, mely nélkül az üzleti tevékenységük végzése csak nehezen biztosítható, vagy teljes mértékben tudás alapon működő vállalatok esetében (például tanácsadó tevékenység folytatása során) akár teljesen el is lehetetlenül. Mindebből kifolyólag mind a saját, belső információk, mind az ügyfél adatok bizalmasságának, sértetlenségének és/vagy rendelkezésre állásának sérülése jelentős anyagi, reputációs, működési és egyéb a szervezet-specifikus károkkal járhat, valamint törvényi kötelezettségnek való nem-megfelelőséget és ezzel járó bírságot, szankciókat is vonhat maga után. A leírtak alapján elmondható, hogy a szervezetek szempontjából az információbiztonságot egyre kritikusabb tényezőként kell tekinteni, és be kell építeni mind az üzleti, mind a működési és egyéb funkcionális stratégiákba. Az információbiztonsági követelményeknek, intézkedéseknek támogatniuk kell az üzleti folyamatokat, annak érdekében, hogy az üzleti stratégiában megfogalmazott célok megvalósuljanak a biztonsági szempontból is megfelelő működés megteremtése és az adatvagyon védelmének biztosítása által. Annak érdekében, hogy a vállalati adatvagyon elemhez ne történjen jogosulatlan hozzáférés, vagyis az információ bizalmassága, sértetlensége és rendelkezésre állása biztosított legyen, gondoskodni kell azok megfelelő szintű védelméről. A tapasztalatok alapján elmondható azonban, hogy sok esetben a vállalatok által bevezetett védelmi intézkedések elsősorban inkább csak az informatikai rendszerekre, ügyviteli alkalmazásokra fókuszáltan kerülnek bevezetésre, nem pedig magára az információra. Ez a megközelítés azonban nem támogatja az információbiztonság teljes körű megvalósítását, a védelmi intézkedéseknek, kialakított kontrolloknak ki kell terjedniük az adatok kezelésére, feldolgozására, átadására és tárolására is, mely magában foglalja többek között a fizikai biztonságot, humán erőforrás biztonságát, hozzáférés menedzsmentet, jogosultságkezelést, az üzletfolytonos működés biztosítását, és egyéb, a későbbiekben részletezett kapcsolódó területeket. Hasonlóan gyakori tapasztalat, hogy a bevezetett védelmi intézkedések és kontrollok egymástól függetlenül, elszigetelten kerülnek bevezetésre, mely azonban nem támogatja a működés hatékonyságát. Ennek elkerülése és a hatékony működtetés megvalósítása érdekében fontos mind a technológiai, mind az adminisztratív információbiztonsági intézkedések összehangolása, egymással összefüggő, komplex rendszerben történő tervezése, kialakítása, működtetése. Mindezek megvalósítása érdekében célszerű, ha a szervezet egy összetett információbiztonsági irányítási rendszer bevezetésével támogatja a védelmi intézkedések és kontrollok kialakítását és hatékony alkalmazását. Az információbiztonsági irányítási rendszer alappillére az információbiztonsági politika, illetve egy megfelelő információbiztonsági stratégia kidolgozása, valamint az annak megvalósítását támogató és végrehajtó szervezet felállítása, a megfelelő irányítás, vezetés biztosítása, valamint a rendszer hatékony működésének folyamatos monitorozása, visszamérése.