IBIR: nem csak annak jó, akinek kötelező!

IBIR: nem csak annak jó, akinek kötelező!

Elmondhatjuk, hogy egy első vonalbeli autóipari beszállító hallott már az Információbiztonságról, esetleg a megrendelő kötelezővé tette számára, hogy megfeleljen valamilyen szabványnak, amely megköveteli egy működő Irányítási rendszer meglétét.

Legtöbb partnerünk csillogó szemekkel és lelkes felismeréssel ébredt rá, hogy az Informcáióbiztonsági Irányítási Rendszer (IBIR, angolul ISMS) felépítése során olyan folyamatokat és szabályokat kell a vállalkozáson belül felállítani és megvalósítani, amelyek valóban komoly hozzáadott értékkel rendelkeznek a mindennapi tevékenység és adatbiztonság tekintetében. Sokan állnak úgy hozzá a beszélgetéseink első perceiben, hogy csak gyártsuk le gyorsan a dokumentumokat, szerezzük meg a kívánt minősítést, aztán felejtsük el három évre az egészet. Az ötödik találkozón aztán egyre többet bólogatnak, hogy amiről beszélünk, azok valóban hasznos dolgok és érkezik az arckifejezés, ami azt jelenti: Eddig miért nem így dolgoztunk?

A legtöbb tanúsítvány által támasztott elvárásnak való megfelelés nem csak a megrendelő érdeke, de saját magunk is meggyőződhetünk arról, hogy mindent megtettünk a saját adataink, termelőrendszereink védelme érdekében, hogy ne járjunk úgy, mint azok a cégek és ismerősök, akik egy rosszindulatú támadás, véletlen adatvesztés vagy ransomware fertőzés miatt hetekre le kellett, hogy álljanak, súlyos milliókat veszítve. A megfelelés sokszor nem ördögtől való, saját magunk is átvizsgálhatjuk saját cégünket, hiszen számos követelmény publikus, kis hozzáértéssel könnyen értelmezhető. Ha csupán annyi a kérdés, hogy Ön, mint cégvezető mikor lehet biztos abban, hogy vállalata felkészült a veszélyek megelőzésére, incidens esetén bekövetkező károk enyhítésére, vizsgálja meg a céget IBIR szemüvegén keresztül és meg fogja kapni a válaszokat. Természetesen igénybe vehet külső segítséget, a hiányanalízis és a felkészülés szolgáltatások nem kell, hogy tanúsítással végződjenek, a lényeg, hogy Ön képben legyen azzal, hogy van-e olyan pont információbiztonság tekintetében, ami jelenleg kockázatot jelent és ha van, arra mi a megoldás.

Miért jobb rögzített szabvány szerint átvizsgálni az információbiztonságot, mint megkérdezni a saját informatikusunkat? Mert egy ilyen IBIR - amelyet szabványok definiálnak, hogy milyen feltételeknek kell eleget tenniük - objektív, nincs márkafüggősége, őszinte és megkerülhetetlen.

 - Ha egy ilyen szabvány kimondja, hogy a jelszót első bejelentkezésnél meg kell változtatni a felhasználónak, akkor nincs kifogás, nincs elfogadható magyarázat arra, hogy az informatikus miért tárolja mégis azokat.

 - Ha a szabvány kimondja, hogy a dolgozóknak tudatában kell lennie annak, hogy mit tehetnek meg és mit nem, akkor nincs mese, tájékoztatni kell őket, oktatni és ezeket időnként megismételni.

 - Ha le van írva, hogy a mentést tesztelni is kell, akkor végre kell hajtani azokat a teszteket és ha meglepődünk, hogy nem sikerült, tudni fogjuk, hogy foglalkozni kell azzal. Nem akkor állunk széttárt karral, amikor megtörtén a baj és kiderül, hogy hiába mentettünk évekig, a mentés nem tartalmaz releváns és olvasható adatot.

Ez csak három példa volt a százas nagyságrendű szempontból, ami önmagában lehet, hogy nem is kerül pénzbe, viszont a kontroll bevezetése milliós veszteségektől menthet meg minket. Ha mindezt külsős vizsgálja felül, még a saját önigazolásunk kockázatát is kiszűrtük.

Címkék: ITSolutions, Adatbizonság, Datasecurity, információbiztonság, hiányelemzés, ISMS, IBIR,