Előtérben a kockázatkezelés – Új alapokra kell helyezni a vállalatok IT biztonságát!

Ha nem fogadjuk el alaptételként, hogy soha nem lehetünk tökéletes biztonságban, előbb-utóbb nagyot bukhatunk. Ma már nem működik az “erőd stratégia”, azaz nincs mód százszázalékos biztonságot adó védelmi rendszerek kiépítésére. A megoldás a soklépcsős biztonság, szigorú azonosítás és hozzáférés felügyelet.

Forrás: techwork

Forrás: techwork

Sok az ad hoc megoldás

Sok szervezetnél csak akkor neveznek ki biztonsági vezetőt, amikor már a felső vezetés számára is kezd átláthatatlanná válni a vállalati infrastruktúra. Ilyenkor sebtében kineveznek egy kiberbiztonsági felelőst, aki egy személyben elszámoltatható minden esetleges biztonsági incidensért.

Az sokkal jobb eset, ha ezen túlmenve szeretnék megérteni a lehetséges kockázatokat is, és azt is szeretnék látni, hogy a vállalatuknak milyen a biztonsági felkészültsége, és valamiféle ésszerű egyensúlyt kialakítani a biztonság és a költségek között.

Vannak szervezetek, melyeknél az elmúlt években bevezetett különféle szabályzók nyomán hoznak létre IT-biztonsági vezetői pozíciót. Ilyen volt például a GDPR Európában, amelynek bevezetése sok helyen nem csak az adatkezelési hiányosságokat tárta fel, hanem a kiberbiztonsági problémákra is rávilágított.

És aztán vannak azok a szervezetek, melyek saját keserű tapasztalataik okán jutottak el oda, hogy dedikált vezetőre bízzák a kibervédelem irányítását. Azt remélik ettől, hogy a vállalat biztonsági szempontból is proaktívabbá válik, és jobban átvihetők a biztonsági folyamatok a szervezet különböző egységein.

Hogyan kezdjen hozzá?

A HackerOne bugbounty-platform egy táblázattal (lásd lentebb) és némi magyarázó szöveggel összefoglalta azokat az alapelveket, melyeket az újonnan kinevezett kiberbiztonsági főnöknek érdemes szem előtt tartania.

Érteni kell, hogy ma már nincs mód százszázalékos biztonságot adó védelmi rendszerek felépítésére, továbbá:

Hiába védi atombiztos tűzfal a vállalat belső rendszereit, minimalizálva és szigorúan ellenőrizve a belépési pontokat, a külvilággal folytatott kommunikációt és adatcserét, belül a felhasználók bármihez hozzáférhetnek, hiszen minden biztonságos…

Ráadásul ez a szemlélet nem számol az egy másik fontos kiberbiztonsági tétellel, miszerint a biztonság leggyengébb láncszeme maga az ember. Nem csak a social engineering alapú támadások vagy a szándékos károkozás miatt jelent minden munkatárs magas kockázatot. Leggyakrabban abból az egyszerű okból sérül egy vállalati rendszer biztonsága, hogy a munkatárs hibázik.

Minta lehet a repterek soklépcsős biztonsága

A mai helyzetben sokkal életszerűbb az a biztonsági megközelítés, amely úgy tekint a vállalati rendszerre, mint egy repülőtérre. Egy reptéren soklépcsős ellenőrzésen esnek át az utasok és az ott dolgozók, sokféle típusú biztonsági kihívást kezelnek egyidejűleg, és az azonosítás révén árnyaltan kezelik például az egyes részterületekhez való hozzáférést is.

A jegyvásárló pultig bárki eljuthat, de ha jegyet akar vásárolni, már ellenőrzik a dokumentumokat (azonosítás), majd a jegy birtokában a továbbhaladásnál újabb ellenőrzések következnek, átvizsgálják a csomagokat stb. és az utas még mindig csak a terminálban van sok más gép várakozó utasával együtt. Mielőtt felszáll a gépre újabb azonosítás, hogy ellenőrizzék a jogosultságát az adott gépre és így tovább.

Lefordítva ezt az IT-biztonsági infrastruktúrára: többszörös tűzfalakat kell alkalmazni, jelszavas, sőt kétfaktoros hitelesítést, külön figyelemmel a kritikus eszközökre, a magas jogosultságú felhasználókra stb. Azaz itt a szigorú azonosítás és hozzáférés-felügyelet párosul a technológia nyújtotta lehetőségekkel.

Előtérben a kockázatkezelés

El kell fogadni azt is, hogy a kockázatok nem küszöbölhetők ki teljes mértékben – éppen ezért a kezelésükre kell összpontosítani. A világ gazdasága ugyanis ma már a konnektivitáson alapul, minden mindennel összekapcsolódik, és a szabad adatáramlás nélkül minden leállna. Ebből következően a kockázatokat priorizálni kell a bekövetkezésük valószínűsége és a lehetséges károk alapján. Így el lehet dönteni, hogy hova kell csoportosítani komolyabb erőforrásokat a védekezéshez.

Ezzel a szemlélettel sokkal pontosabban felmérhető az is, hogy mekkora költségráfordítással lehet optimalizálni az adott szervezet IT-biztonságát. Így a cégvezetés is könnyebben elfogadja a védelmi terveket, hiszen egyfajta kockázatarányos biztosításként kezelheti. Ráadásként eltűnik a hamis biztonságérzet, ami néha veszélyesebb a vállalatra nézve, mint egy hekkertámadás.

Forrás: bitport.hu, hackerone.com

Kapcsolódó cikkek:

Hozzászólások