Meglátásom szerint az információ biztonsága manapság igen nagy figyelmet kap. A Microsoft az operációs rendszerének már a megelőző verzióinál zászlajára tûzte a biztonságot; vannak olyan rendszerek, amelyek legjobban hangoztatott tulajdonsága a biztonság... ...(akár üzem-, akár adat-) konferenciák és cikkek szólnak a részletekről; Magyarországon újság jelent meg IT-Security címmel (jelenleg egy másik lap melléklete); tûzfalak és vírusírtók települnek és frissülnek már számos otthoni számítógépen is. Mégis, valami hiányzik!
A biztonság legyen az első!
Vegyünk egy hasonlatot a mindennapi életből:
A lakás ajtaját szakemberek által javasolt zárak és riasztó védi. Az ablakokon betörésvédő fólia. A helyzet elméletileg a lehető legbiztonságosabb, mégis, a gyakorlatban valami hiányzik.
Az ajtó három profi zárjából csak az egyiket használják, mert a többi kulcs már nehéz lenne, lehúzná a zsebet, meg különben is ki fog minden alkalommal 3 zárat nyitni/zárni. A riasztó használata macerás, inkább csak nyaralások alkalmával kapcsolják be. Az erkélyajtót nem is kell zárni, ki mászna fel a másodikra, hogy megnézze nyitva van-e?
Mi hiányzik tehát? - A tudatosság és a felelősségérzet. Meg kell érteni, miért kell nehezen feltörhető zár, miért kell bonyolult jelszó, miért kell bezárni mindhárom zárat, vagy beütni mindhárom jelszót. Miért kell bekapcsolni a riasztót, miért kell lezárni a számítógépet.
Sok fáradtság, idő és pénz mire egy profi - akár betörésvédelmi, akár információbiztonsági szakember - megteremti a megfelelő védelmet. A feladat azonban nem itt ér véget. Ahogy a betörők újabb és újabb fenyegetéseit a szakemberek újabb és újabb ellenintézkedésekkel védik ki, úgy kell a felhasználóknak ezen technikákra -nem csak kötelesség útján - felkészülni. (Ennyit a felhasználókról, jöjjenek a vezetők.)
A fenti eszmefuttatáshoz hozzátartozik, hogy otthonunkat, autónkat, nyaralónkat jól megfontolt anyagi érdekeink szerint védjük. Otthon, ahol értékes eszközöket tartunk (TV, számítógép, DVD-lejátszó, ékszerek stb.), ott természetesen hatékonyabb betörésvédelmet fogunk használni, mint a nyaralóban, ahol a fûnyíró és a nyugágy eshetnek csak áldozatául a bûnözőknek - ezt hívja a szaknyelv kockázatarányos védelemnek. A védelmet tehát a védendő érték határozza meg. Információs vagyonunk esetén is logikus lenne ezen évezredes gyakorlat használata. Azaz az első feladat nem a technika erősítése, hanem annak meghatározása, hogy:
Mit veszíthetünk? Mekkora veszélynek vagyunk kitéve? - Az első kérdés megválaszolása nem informatikai, hanem közgazdasági, államigazgatási, szociológiai feladat.
Az érték egy cég vagy egy hivatal, társadalmi szervezet esetében magában az információban, egy folyamatban és annak támogatásában rejlik. Ezt az információ-szolgáltatást, folyamat-támogatást végzi az informatika. Az első feladat tehát ezen elveszíthető értékek meghatározása. Ezzel a szemmel kell nézni egy szervezet mûködését. Ez a látásmód adja meg a lehetőséget, hogy a cég vagy a hivatal vagyonát annak értéke szerint tudjuk védeni.
Ki mondja meg mekkora egy cég információs vagyona? - Térjünk vissza a hasonlathoz: otthon természetesen a tulajdonos dönti el a vagyon értékét. Alkalmazható ez a módszert az információs vagyonra is? Igen, alkalmazható. Csak a tulajdonost kell megtalálni. Az üzleti és az államigazgatási életben nem idegen a fogalom, hogy egy területnek, osztálynak gazdája van. A gazda szó itt a felelősséget jelöli, ami minden vállalkozás esetén rögzített a szervezeti diagramban.
Lassan bezárul a kör. - A felelős vezető (gazda) meghatározza, hogy az általa irányított területen milyen értéke van a vagyontárgyaknak (információ és folyamatok), és ennek védelmére mennyit érdemes áldozni. A szakértők meghatározzák, hogy a vállalkozás vagy hivatal milyen információbiztonsági veszélynek van kitéve és hogyan lehet azokat, a meghatározott költségekkel leghatékonyabban védeni. Végül a mindennapi életben mind a felelős vezető, mind az irányítása alatt dolgozók a lehető legjobb tudásuk szerint betartják a védelmi intézkedéseket.
(A példában szereplő zárak, riasztó, tûzfal és vírusírtó csak vagyon és adatbiztonságot szemléltet; természetesen a mûködési és a funkcionális biztonságot is hasonló módon kell vizsgálni.)
Miről szól tehát ez a történet? - A vezetőknek tisztában kell lenniük folyamataik értékével és az azokat fenyegető veszélyekkel. Ez a tudatosság jelenleg hiányzik.
A felhasználóknak tisztában kell lenniük az általuk használt információs megoldások hátterével, és azokat annak megfelelően kell használniuk. Ez jelenleg hiányzik.
Ma, mind Magyarországon, mind külföldön az elérhető biztonsági képzések szinte kizárólag a szakértőknek szólnak. A biztonság azonban nem csupán a szakemberek játékszere, megteremtése mindenkitől elvárható alapvető ismeretek meglétét, elsajátítását feltételezi.
A biztonság legyen az első!
Vegyünk egy hasonlatot a mindennapi életből:
A lakás ajtaját szakemberek által javasolt zárak és riasztó védi. Az ablakokon betörésvédő fólia. A helyzet elméletileg a lehető legbiztonságosabb, mégis, a gyakorlatban valami hiányzik.
Az ajtó három profi zárjából csak az egyiket használják, mert a többi kulcs már nehéz lenne, lehúzná a zsebet, meg különben is ki fog minden alkalommal 3 zárat nyitni/zárni. A riasztó használata macerás, inkább csak nyaralások alkalmával kapcsolják be. Az erkélyajtót nem is kell zárni, ki mászna fel a másodikra, hogy megnézze nyitva van-e?
Mi hiányzik tehát? - A tudatosság és a felelősségérzet. Meg kell érteni, miért kell nehezen feltörhető zár, miért kell bonyolult jelszó, miért kell bezárni mindhárom zárat, vagy beütni mindhárom jelszót. Miért kell bekapcsolni a riasztót, miért kell lezárni a számítógépet.
Sok fáradtság, idő és pénz mire egy profi - akár betörésvédelmi, akár információbiztonsági szakember - megteremti a megfelelő védelmet. A feladat azonban nem itt ér véget. Ahogy a betörők újabb és újabb fenyegetéseit a szakemberek újabb és újabb ellenintézkedésekkel védik ki, úgy kell a felhasználóknak ezen technikákra -nem csak kötelesség útján - felkészülni. (Ennyit a felhasználókról, jöjjenek a vezetők.)
A fenti eszmefuttatáshoz hozzátartozik, hogy otthonunkat, autónkat, nyaralónkat jól megfontolt anyagi érdekeink szerint védjük. Otthon, ahol értékes eszközöket tartunk (TV, számítógép, DVD-lejátszó, ékszerek stb.), ott természetesen hatékonyabb betörésvédelmet fogunk használni, mint a nyaralóban, ahol a fûnyíró és a nyugágy eshetnek csak áldozatául a bûnözőknek - ezt hívja a szaknyelv kockázatarányos védelemnek. A védelmet tehát a védendő érték határozza meg. Információs vagyonunk esetén is logikus lenne ezen évezredes gyakorlat használata. Azaz az első feladat nem a technika erősítése, hanem annak meghatározása, hogy:
Mit veszíthetünk? Mekkora veszélynek vagyunk kitéve? - Az első kérdés megválaszolása nem informatikai, hanem közgazdasági, államigazgatási, szociológiai feladat.
Az érték egy cég vagy egy hivatal, társadalmi szervezet esetében magában az információban, egy folyamatban és annak támogatásában rejlik. Ezt az információ-szolgáltatást, folyamat-támogatást végzi az informatika. Az első feladat tehát ezen elveszíthető értékek meghatározása. Ezzel a szemmel kell nézni egy szervezet mûködését. Ez a látásmód adja meg a lehetőséget, hogy a cég vagy a hivatal vagyonát annak értéke szerint tudjuk védeni.
Ki mondja meg mekkora egy cég információs vagyona? - Térjünk vissza a hasonlathoz: otthon természetesen a tulajdonos dönti el a vagyon értékét. Alkalmazható ez a módszert az információs vagyonra is? Igen, alkalmazható. Csak a tulajdonost kell megtalálni. Az üzleti és az államigazgatási életben nem idegen a fogalom, hogy egy területnek, osztálynak gazdája van. A gazda szó itt a felelősséget jelöli, ami minden vállalkozás esetén rögzített a szervezeti diagramban.
Lassan bezárul a kör. - A felelős vezető (gazda) meghatározza, hogy az általa irányított területen milyen értéke van a vagyontárgyaknak (információ és folyamatok), és ennek védelmére mennyit érdemes áldozni. A szakértők meghatározzák, hogy a vállalkozás vagy hivatal milyen információbiztonsági veszélynek van kitéve és hogyan lehet azokat, a meghatározott költségekkel leghatékonyabban védeni. Végül a mindennapi életben mind a felelős vezető, mind az irányítása alatt dolgozók a lehető legjobb tudásuk szerint betartják a védelmi intézkedéseket.
(A példában szereplő zárak, riasztó, tûzfal és vírusírtó csak vagyon és adatbiztonságot szemléltet; természetesen a mûködési és a funkcionális biztonságot is hasonló módon kell vizsgálni.)
Miről szól tehát ez a történet? - A vezetőknek tisztában kell lenniük folyamataik értékével és az azokat fenyegető veszélyekkel. Ez a tudatosság jelenleg hiányzik.
A felhasználóknak tisztában kell lenniük az általuk használt információs megoldások hátterével, és azokat annak megfelelően kell használniuk. Ez jelenleg hiányzik.
Ma, mind Magyarországon, mind külföldön az elérhető biztonsági képzések szinte kizárólag a szakértőknek szólnak. A biztonság azonban nem csupán a szakemberek játékszere, megteremtése mindenkitől elvárható alapvető ismeretek meglétét, elsajátítását feltételezi.
(Forrás: www.itbusiness.hu)
