Becslések szerint az emberiség 2010-ben 1200 milliárd gigabájtnyi adatot hoz létre - ennek egy része olyan bizalmas adat, amely a versenyképesség, a piaci talpon maradás, de a puszta mĹąködés szempontjából is létfontosságú lehet a vállalatok számára, a cégeknek ezért alapvető érdeke lenne fokozottan figyelni adataik védelmére.

Az adatlopás kockázatait növeli a technológia fejlődése, így például a nagyobb mobilitás, az online üzleti alkalmazások népszerĹąsége, vagy a kiszervezett tevékenységek terjedése is. Az adatok szivárgását sok esetben mégsem külső támadók (pl. kiberbĹąnözők, hackerek), hanem ahogy arra már sokszor felhívták a figyelmet a téma szakértői, a vállalat saját munkatársainak véletlen hibái, vagy szándékos visszaélései. Utóbbira példa a munkaviszony megszĹąnése előtti napokban a munkavállaló által végzett adat „kimentés”. Egy - még a válság előtt készült - 1385 üzletembert megcélzó nemzetközi felmérés megállapította, hogy a megkérdezett cégvezetők 29%-a tulajdonított el vállalati információt akkor, amikor távozott korábbi munkahelyéről.

Ezt a helyzetet rontotta tovább a gazdasági válság, hiszen a krízis következtében megjelent a félelem a potenciális munkahelyvesztéstől, miközben az anyagi haszonszerzés, barátoknak tett szívességek és a szándékos károkozás továbbra is ugyanolyan motivációt jelenthetnek, mint a válság előtt. Sőt, a vállalatok falain kívülre szivárgó érzékeny információknak – például a beruházási adatok, költségtervek, üzleti tervek, személyes adatok – létezik felvevő piaca.

Felelősség megosztás

Antal Lajos, a Deloitte Zrt. Informatikai biztonság és adatvédelem üzletágának vezetője szerint, bár sok vállalat kezdi felismerni az információszivárgásban rejlő kockázatokat, a problémák megoldását a vezetés jellemzően az informatikai részlegtől várja, rosszabb esetben pedig egyáltalán nem is foglalkozik vele – egészen addig, amíg a probléma egy jelentős incidens formájában nem jelentkezik. Az informatikai szakemberek ugyanakkor nem feltétlenül ismerik az üzletmenetet, így az üzleti és informatikai oldal vezetői között szinte előreprogramozott némi információ hiány, és így a problémák megoldatlanok maradnak. A hatékony vállalati információbiztonsághoz elengedhetetlen az együttmĹąködés az IT-oldal és a cég pénzügyi/üzleti vezetése között.

Van megoldás

Az elavult adatvédelmi intézkedések fejlesztésének legfontosabb feltételei a cég számítógépes rendszerében zajló folyamatok nyomon követhetősége, az IT rendszerek biztonsági kontrolljainak a növelése, illetve a vállalat biztonsági irányelveinek az újragondolása. Ezzel összhangban célszerĹą odafigyelni a vállalat incidenskezelési képességeinek a fejlesztésére is, ami nem csak a lehetséges számítógépes támadások elhárítását jelenti, hanem a megtörtént visszaélések felderítését is. Itt, az incidenskezelés területén ma még hiányosságokkal küzd a hazai vállalati szektor – mondta a Deloitte Zrt. szakértője.

Fontos, hogy a vállalat vezetése rendszeresen tanulmányozza a belső ellenőrzés és a biztonsági főosztály által készített információbiztonsággal kapcsolatos jelentéseket, továbbá rendszeresen konzultáljon az informatika és a belső ellenőrzés vezetőjével.

Az IT biztonsági kockázatelemzéseknek, biztonsági átvilágításoknak átláthatónak és érthetőnek kell lennie, a vállalat szempontjából legfontosabb megállapításokat olyan formában kell tartalmaznia, hogy az a pénzügyi vezetés számára már az első olvasatban is egyértelmĹą legyen. A pénzügyi vezetés alapvető érdeke, hogy a jelentések transzparens és közérthető formában készüljenek, hiszen megalapozott döntést csak ezek alapján lehet hozni.

Mivel a beruházásokról - így az IT-biztonsági költésekről is – a pénzügyi vezetés dönt, fontos, hogy ellenőrzési jogát kihasználva mindaddig ne adjon engedélyt egy beszerzésre, amíg valóban meg nem győződött arról, hogy az adott informatikai projektet megfelelően felmérték, teljes költsége transzparens, üzleti kockázatai pedig ismertek – tette hozzá Antal Lajos.