A biztonság nem véletlenCIS Hungária Kft.
KapcsolatSzolgáltatások
+36 1 951 9744
tamas.jokay@cis-cert.com
Security ✓   Privacy ✓   Continuity ✓

Biztonsági intézkedések a vállalatok számára a Biztonságosabb Internet Napján

A biztonságos internet mindannyiunkat érint - a Biztonságosabb internet napja, amelyet idén 2023. február 7-én tartottak, eredetileg a fiatalok célcsoportja számára jött létre. Az "Együtt egy jobb internetért" mottó alatt a cél az, hogy felhívják a figyelmet a különböző információvédelmi intézkedésekre annak érdekében, hogy hozzájáruljanak egy "jobb internethez".

De milyen mértékben járulhatnak hozzá a vállalatok a mindenki számára biztonságosabb internethez? Mit tehetnek a vállalatok, úgymond a felhasználói lánc egyik végpontjaként, hogy közelebbről megvizsgálják saját biztonsági intézkedéseiket? Hogyan lehet a vállalati informatika és a kiberbiztonság állapotát egy magasabb szintre szintre hozni és folyamatosan javítani?

Jobb félni, mint megijedni

Évek óta megfigyelhető az a tendencia, hogy minden folyamat egyre inkább hálózatba kerül és digitalizálódik, ami együtt jár a kiber- vagy zsarolóprogram-támadások számának növekedésével is. Ezzel egyidejűleg a mindennapi életben egyre nagyobb komplexitást és dinamikát tapasztalunk, ami azt jelenti, hogy az üzemeltetési folyamatokat folyamatosan adaptálni kell. Ezért egyre fontosabbá válik, hogy a szervezetek holisztikus információbiztonsági stratégiát valósítsanak meg, és - ahol lehetséges - proaktívan kezeljék a potenciális kockázatokat is.

Az irányítási rendszerek segíthetnek a folyamatok hosszú távú tervezésében, ugyanakkor folyamatos felülvizsgálatában és kiigazításában. Ezek közé tartozik az ISO/IEC 27001 az információbiztonság területén vagy az ISO 22301 (üzletmenet-folytonossági menedzsment) mint általános irányítási rendszer szabványok. Az üzletmenet-folytonosság különösen az utóbbi években vált kulcsfontosságú kérdéssé, mivel célja a működési képesség lehető leggyorsabb helyreállítása a zavaró események után, illetve a lehetséges hatások minimalizálása.

A folyamatok folyamatos javítása

Az irányítási rendszerek a folyamatos fejlesztési folyamaton (CIP) vagy PDCA-cikluson (Plan-Do-Check-Act) alapulnak. Különösen az információbiztonság vagy az adatvédelem olyan témák, ahol nem elég egyszer végrehajtani. Ezeket folyamatosan figyelni, elemezni, átgondolni és végül új szempontokkal bővíteni vagy javítani kell. Csak így biztosítható a legmagasabb szintű információbiztonság.

Megfelelő szerepkörök meghatározása

A képzett személyzet - pl. információbiztonsági vezetők - elsősorban olyan témákkal foglalkoznak, mint az információ- és kiberbiztonság, az adatvédelem vagy a kockázatkezelés. Ennek során az összes folyamatot átvizsgálják, a különböző részlegektől a vállalati hierarchia minden szintjén betekintést nyernek, és megfelelő intézkedéseket határoznak meg, amelyekért felelősséget vállalnak. Az információbiztonsági vezetők legfőbb célja az összes biztonsági kockázat és hiányosság azonosítása, a megfelelő védelmi intézkedések megtervezése és azok végrehajtásának koordinálása vagy támogatása. A megfelelő biztonsági felelősök megléte fontos előnyt jelenthet az ilyen időkben.

Tudatosság – Az alkalmazottak jelentik a legáltalánosabb támadások forrását a social engineering támadásokon keresztül, amelyek megnyitják a kaput saját cégük felé

A home office gyakran fokozott biztonsági kockázatokkal jár együtt. Ebben az esetben – a szokásos irodai munkához hasonlóan – a következők érvényesek: a vezetőknek példát kell mutatniuk egy bizonyos biztonsági kultúra kialakítására, és azt a vállalaton belüli figyelemfelkeltéssel be kell építeniük.

Mert az alkalmazottak még mindig gyakran a biztonsági támadások kapuját jelentik. A tudatosság felülről történő növelése azt is jelenti, hogy az alkalmazottak tudják, hogyan tegyék biztonságossá jelszavaikat, hogy a harmadik féltől származó USB-stickeket nem szabad gondolkodás nélkül használni, vagy hogy mindig óvatosan kell eljárni az ismeretlen feladóktól érkező e-mailek megnyitásakor.

Óvatosság a partnerek kiválasztásakor az ellátási láncban

Végül, de nem utolsósorban: nem csak az a fontos, hogy tisztában legyen a különböző információbiztonsági intézkedésekkel az adott vállalati környezetben. Partnereinek és beszállítóinak is komolyan kell venniük a kérdést. Az olyan tanúsítványok, mint az ISO/IEC 27001 és a hozzá tartozó további speciális szabványok, vagy az olyan címkék, mint a Cyber Trust Label, komoly jelzések, amelyek azt mutatják, hogy a vállalatok fontosnak tartanak egy bizonyos szintű biztonságot.