Mondd, mennyit ér a biztonság?

‚ÄěAki t√∂bbet k√∂lt k√°v√©ra, mint IT-biztons√°gra, azt meghackelik. SŇĎt, mi t√∂bb, meg is √©rdemli, hogy meghackelj√©k.‚ÄĚ Richard A. Clark, az Egyes√ľlt √Āllamok inform√°ci√≥s infrastrukt√ļr√°j√°√©rt felelŇĎs egykori eln√∂ki tan√°csad√≥

A különféle IT-beruházások tervezése során idŇĎrŇĎl idŇĎre felmerül a kérdés, hogy miként mérhetŇĎ a biztonsági eszközökre fordított összegek megtérülése, illetve mikor tekinthetŇĎ hatékonynak egy-egy biztonsági projekt. A NetIQ szakértŇĎi szerint a sikeresség pontos meghatározására, illetve az üzleti és a biztonsági célok összehangolására kell helyezni a hangsúlyt.

A biztonsági szoftverek maguk is óriási mennyiségŇĪ adatot képesek közölni a mŇĪködésük eredményességérŇĎl: kimutatják, hogy a segítségükkel hány támadást hárítottunk el, hány rendszert tudtunk megerŇĎsíteni, vagy éppen mennyire felelnek meg a házirendek és biztonsági elŇĎírások a compliance feltételeknek. EgyszerŇĪnek tŇĪnik ezekre a mindig kéznél lévŇĎ adatokra hagyatkozni, de hogyan tudjuk közülük kiválasztani, hogy melyik mérŇĎszám igazolja a biztonsági megoldások eredményességét a teljes vállalat üzleti célkitŇĪzéseinek tükrében?

 

A hosszú ideje mŇĪködŇĎ, érett szervezeteknél gyakori, hogy a kockázatokra és azok kezelésére fókuszálnak, ami érthetŇĎ is, hiszen tulajdonképpen ez az IT-biztonság alapja. Ugyanakkor még a legprofibb vállalatok is beleesnek néha abba a csapdába, hogy rossz kritériumok alapján értékelik a tevékenységüket. Ahhoz, hogy a biztonsági programok valós eredményeit mérhessük, meg kell határoznunk, mit is jelent a sikeresség az adott területen.

 

A siker vajon mi?

A biztonsági csapatok, minden más részleghez hasonlóan általában szeretik maguk meghatározni, mi alapján mérjék az eredményességet. Amikor azonban a költségvetés jóváhagyásáról, illetve általános üzleti célkitŇĪzések teljesítésérŇĎl van szó, nem kizárólag a cégen belüli érdekeltek döntenek az egyes faktorokról. Ezeknek a tényezŇĎknek az üzleti igényeknek megfelelŇĎen kell alakulniuk. A legtöbb esetben problémát jelent, hogy a vállalatnál általában nem tudják annál pontosabban leírni, mit várnak a biztonsági részlegtŇĎl, mint „ne hackeljenek meg minket" és „legyenek elégedettek az auditorok".

 

A biztonsági csapatok és az üzleti vezetŇĎk közötti szakadék viszonylag egyszerŇĪen áthidalható, ha közösen használják a GOSPA tervezési eszközt. A rövidítés a Goals, Objectives, Strategies, Plans és Actions szavakat takarja, és a következŇĎ, egymásra épülŇĎ szakaszokra bontja le a folyamatot: (nagyobb) célkitŇĪzések, (kisebb) célok, stratégiák, tervek és konkrét lépések.

 

Kezdésként érdemes egy vagy több átfogóbb, realisztikus célkitŇĪzést meghatározni, például: minimalizáljuk az adatszivárgás vagy az adatvesztés kockázatát! Ennek megvalósításához hozzárendelhetünk célokat, például: csökkentsük a rendszerfrissítések telepítésére fordított idŇĎt 50 százalékkal, terjesszük ki a kétfaktoros autentikációt megkövetelŇĎ hozzáférést az érzékeny adatok 100 százalékára, illetve felügyeljük minden rendszergazda tevékenységét! Az egyes célok megvalósításához ezután készíthetünk stratégiákat, ezeket pedig lebonthatjuk tervekre, illetve feladatokra, amelyek alapján már az egyes területekért felelŇĎs szakemberek pontosan a célkitŇĪzésekkel összhangban végezhetik el a munkát.

 

A stratégia és az egyes lépések gondoskodnak a sikeres mŇĪködésrŇĎl az általános üzleti területeken, a mérhetŇĎ komponenseknek azonban a célok számítanak, ezeket kell tehát a biztonsági és üzleti vezetŇĎknek együttesen meghatározniuk. Ebben a folyamatban fontos szerepet játszik a költségek ismertetése. Ha az üzleti döntéshozók sokallják az összegeket, akkor át lehet alakítani a célokat az alacsonyabb költségekhez igazítva.

 

 

Üzleti és biztonsági célkitŇĪzések kéz a kézben

A biztonsági és üzleti vezetŇĎk között kétirányú kommunikációra van szükség. EgyrészrŇĎl fontos, hogy a biztonsági részleg tájékoztassa a döntéshozókat arról, mire van szükség a célkitŇĪzések eléréséhez. A másik oldalon viszont az is elengedhetetlen, hogy az üzleti vezetŇĎk pontosan ismertessék a terveket és prioritásokat, azaz bemutassák a saját sikereikhez kapcsolódó mérŇĎszámokat. Az aktuálisan betervezett projekteket legalább évente érdemes felülvizsgálni olyan szempontból is, hogy még mindig szükségesek-e, illetve összhangban állnak-e az aktuális üzleti célokkal.

 

Példaként említve nem megfelelŇĎek a biztonsági részleg céljai, ha a teljes éves költségvetést a legújabb generációs tŇĪzfalakra fordítják, miközben a legfontosabb üzleti cél egy, az ügyfelekkel szorosabb kapcsolatot biztosító mobil alkalmazás bevezetése az aktuális pénzügyi évben. Hiszen ilyen esetben az az elsŇĎdleges, hogy a vásárlók adatainak biztonságáról gondoskodjunk, és megakadályozzunk bármilyen adatlopást vagy -szivárgást az applikáción keresztül. A gyorsuló digitális átalakulás mellett pedig létfontosságú észben tartani, hogy egyre rövidebb idŇĎ alatt kell módosítani a biztonsági intézkedéseken, mivel a vállalatoknak lépést kell tartaniuk a versenytársaikkal a folyamatosan változó üzleti igények kielégítésében.

 
 
 

Kapcsolódó cikkek

 

Belépés

 

 

Regisztráció