A biztonság kiszervezése – Külső szakértelem az új fenyegetések leküzdésére

Érdekes cikk jelent meg a napokban az IfsecGlobal hasábjain arról, hogy mit kell figyelembe venni a biztonság kiszervezésekor, milyen típusú biztonsági szolgáltatásokat kell keresni és milyen kapcsolatokat kell kiépíteni ezekkel a vállalkozásokkal. A témáról Will Plummer, a RaySecur biztonsági főigazgatója nyilatkozik. A cikkből tallózunk a következőkben.

Forrás: BearingPoint

Valós fenyegetések

Amikor a vállalkozások biztonságáról van szó, a kiberbiztonság általában a legfontosabb, néha a fizikai biztonság rovására. Végtére is mindenki tudja, hogy a kiberfenyegetések gyakoriak, és tönkretehetik a vállalkozásokat. Csak egy pillantást kell vetnie a hírekre, hogy láthassa a közelmúltban történt jelentős adatszivárgásokat, kibertámadásokat és az általuk okozott leállásokat.

Ennek ellenére 2021-ben csak az Egyesült Államokban 1862 sikeres adatszivárgás történt, ami közel kétszer annyi, mint 2020-ban. Ezek szerint a kibertámadások átjutnak a nagy költségvetésű, átfogó kiberbiztonsági intézkedéseken a legtöbb vállalatnál manapság. Ugyanakkor elmondható, hogy a legalább ennyire nélkülözhetetlen fizikai biztonság fejlesztésére messze nem jutnak hasonló nagyságrendű összegek a vállalkozásoknál.

Az egyre erősödő fenyegetések egyértelművé teszik, hogy a legtöbb vállalatnak jobb biztonsági intézkedésekre van szüksége az alkalmazottaknál, hiszen olykor itt a személyzet fizikai bántalmazása is realitás lehet. Szerencsére vannak konkrét lépések, amelyeket a vállalkozások megtehetnek, hogy felkészítsék és megvédjék vállalatukat a fizikai fenyegetésekkel szemben.

Biztonsági szolgáltatót keresek

Amikor a biztonság kiszervezéséről van szó, valószínűleg ismét a kiberbiztonság jut először eszünkbe. Sok vállalat már most is kiszervez legalább néhány szolgáltatást, függetlenül attól, hogy a vállalat belső kiberbiztonsági csapattal (szakemberrel) rendelkezik, vagy. Az ilyen kiszervezés általában több forrást biztosít a független biztonsági ellenőrzéshez.

Ugyanezek az elvek vonatkoznak a fizikai biztonságra is. Sok vállalat már kiszervezi az épületbiztonságot független cégnek. Egy független biztonsági csapat alkalmazása nagyszerű módja annak, hogy megvédje a bejárati ajtót a behatolóktól, de sok vállalkozás nem használja ki a külső szakértelem előnyeit pl. olyan speciális területeken, mint a vezetői védelem és a postaterem biztonsága.

Ha cégénél szakképzettséghiány mutatkozik pl.ezeken a területeken, fontolóra veheti a biztonság kiszervezését a rendészeti és biztonsági szolgálatok szakértőihez. Ezek a szakértők segíthetnek például a jelenlegi belső informatikai és fizikai biztonsági csapatok hiányosságainak pótlásában, és segíthetnek megvédeni a „hátsó ajtót” is. Vagy rendelkezhet egy külső csapattal, akivel minden alkalommal konzultál, ha gyanús csomagot, vagy potenciális sebezhetőséget kell kezelni, de nem állnak rendelkezésre a belső erőforrások, és szükség esetén szakértelemre van szükség.

Biztonság kiszervezése, alapvető teendők

A külső biztonsági tanácsadók kiszervezése lehetőséget ad a vállalkozásoknak arra, hogy több éves, vagy évtizedes bűnüldözési és biztonsági szolgálati szakértelmet hasznosítsanak új alkalmazottak felvétele nélkül. De vannak buktatók és kockázatok, amelyeket el kell kerülni, ha a biztonsági szolgáltatásokat és a szakértelmet kiszervezi.

  • A szükséges információk megadása
    Az első buktató az, ha nem biztosítunk elegendő információt, vagy hozzáférést a kiszervezett biztonsági csapatnak. A vállalatok érthető módon félhetnek attól, hogy túl sok információt adnak át a kívülállóknak üzleti folyamataikról és napi működésükről. Azonban nem várhatjuk el a biztonsági szakértőktől, hogy cégünkre szabott tanácsokat és útmutatást adjanak, ha nem ismerik a vállalat felépítését, működését céljait és nem tudják, mik a problémák és a sebezhetőségek.
  • Elvárások kommunikálása
    A második elkerülendő hiba az, ha már az elején nem kommunikáljuk az elvárásokat. Mit akarunk a biztonsági csapatunktól? Mit várunk el a biztonsági tanácsadó szolgáltatástól, vagy a kihelyezett biztonsági szakértőktől? Azt reméljük, hogy befoltozza a külső sebezhetőségeket? Észleli a potenciális bennfentes fenyegetéseket is? Stb. Sok outsourcing szerződés rendelkezik beépített szolgáltatási szintű megállapodásokkal (SLA), amelyek formálisan kezelik és dokumentálják a releváns elvárásokat, ezért ez inkább arról szól, hogy nyíltan kommunikáljon a szolgáltatóval egy átfogó SLA kidolgozása érdekében, amely pontosan tükrözi a mi elvárásainkat és a kapcsolódó felelősségi köröket ezzel kapcsolatban.
  • Következetes lefedettség
    A harmadik elkerülendő buktató az, hogy a nap vagy a hét különböző szakaszaiban nincs teljes lefedettség. Tegyük fel például, hogy a vállalat különböző biztonsági csapatokkal rendelkezik a különböző területeken és különböző szolgálati időkre. Lehet, hogy van egy A-csapat, amely teljes körűen tájékozott és integrálódott a vállalatba, de néhány órával később az A-csapat átadja a B-, vagy C szolgáltatási szinteknek a feladatokat (vagy azok egy részét) és ezek a szintek viszont nincsenek teljesen képben a teeendőkről, problémákról. Ezalatt aztán adott vállalkozás sebezhetőbbé válik.

Végső soron a vállalati biztonság kiszervezésének célja a házon belüli csapat hatékonyabbá tétele és az összes biztonsági erőforrás maximális kihasználása kell legyen. Ehhez folyamatosan figyelnie kell a külső és belső fenyegetéseket. Sok biztonsági szakember több évtizedes tapasztalattal rendelkezik ezen a területen. Ezt a szakértelmet kiemelten is érdemes igénybe venni a fokozott kockázatok idején.

Forrás: IfsecGlobal

Hozzászólások