Hogyan lehet az informatikai biztonság az innováció motorja?
A Tripla A minősítéseket általában a John Moody’s hitelminősítéseit felügyelő pénzügyi igazgatókkal kapcsolatban említjük.
A számítástechnika világában azonban egy informatikai igazgató vagy döntéshozó hogyan értékelheti egy biztonsági megoldás hatékonyságát?
Az informatikai biztonság az egyik legfontosabb szempont a döntéshozók számára az olyan új fenyegetések miatt, mint például a Shellshock és a Heartbleed, amelyekkel világszerte támadnak meg szervezeteket. Ezért az informatikai döntéshozók lépéseket tesznek, hogy megvédjék a vállalati hálózatokat a különféle fenyegetésektől. Azonban a jelenlegi állás szerint a biztonság továbbra sem teljes: belső és külső tényezők egyaránt fenyegetik.
Hogyan bizonyosodhatnak meg az informatikai döntéshozók arról, hogy elérték azt a biztonsági szintet, amely megóvja a hálózatot a kibertámadásoktól és egyidejűleg segíti az alkalmazottakat munkájuk hatékonyabb elvégzésében? Egy átfogó biztonsági megközelítésnek három tényezőt kell magában foglalnia. Alkalmazkodnia kell a fenyegetésekhez, az üzleti elvárásokhoz és a vállalati hálózaton belüli folyamatosan növekvő internethasználathoz, igazodnia kell a szervezet egyedi követelményeihez, illetve teljes mértékben alkalmazhatónak kell lennie a végfelhasználók számára.
A biztonsági megközelítés semmit sem ér a megfelelő biztonsági infrastruktúra nélkül, ezért a hálózat biztonsági portfóliójának bővítésekor elengedhetetlen, hogy az új megoldás megvalósításával a szállító elősegítse vállalkozása növekedését, vagyis ahogy mondani szoktuk: „nagyobb biztonság, erősebb vállalkozás”.
Ezeket a tényezőket a „Tripla A” biztonsági megközelítésként foglalhatjuk össze. Ha ezt egy vállalkozás eléri, akkor megerősítheti a cég biztonságát, és „Tripla A” biztonsági minősítést szerezhet.
Adaptív
Az informatikai infrastruktúrák folyamatosan változnak. A múltban statikus informatikai infrastruktúrákat alkalmaztunk, azonban ma az összevonás világa felé haladunk. Ezért a biztonsági infrastruktúráknak a hatékonyság érdekében adaptívnak kell lenniük. Az adaptív biztonsági architektúrának megelőző, észlelő, visszatekintő és előrejelző képességekkel kell rendelkeznie. Emellett egy teljes körű biztonsági megközelítés kontextusfüggő is.
A Gartner szerint hat jelentős trend hat az adaptív, kontextusfüggő biztonsági infrastruktúrák elterjedésére: a mobilizáció, az externalizáció és együttműködés, a virtualizáció, a felhőalapú számítástechnika, a fogyasztóközpontúság, valamint a hackerek iparosodása. De mit is jelent pontosan a kontextusfüggőség? A Gartner szerint a kontextusfüggő biztonság „a kiegészítő információk felhasználása a biztonsági döntések javításához a döntések meghozatalakor”, és azt jósolja, hogy 2015-re a telepített vállalati biztonsági megoldások 90 százaléka kontextusfüggő lesz.
Az adaptív, kontextusfüggő biztonság melletti érv alapja, hogy minden biztonsági döntést több forrásból származó információk figyelembe vételével kell meghozni. A rendszer először a kérés kontextusát elemzi, majd engedélyezi vagy megtiltja a műveletet az elérhető információk alapján: ilyen lehet például a hitelesítési mód, napszak stb. Az adaptív megközelítéssel így javítható a biztonság.
Adaptált
A világon nincsen két azonos szervezet, miért lennének akkor azonosak a biztonsági megoldások? A biztonsági megoldásoknak rugalmasnak kell lenniük, hogy kiszolgálhassák a szervezetek egyedi üzleti igényeit. Mégis, annak ellenére, hogy minden eddiginél többet költünk a rendszereink védelmére és a belső, vállalati, valamint a szabályozási követelményeknek való megfelelésre, valamivel mindig probléma van. Valójában világszerte a szervezetek 73 százaléka tapasztalt biztonsági problémát az elmúlt tizenkét hónapban a VansonBourne által a Dell megbízásábólkészített felmérés alapján.
Tucatnyi olyan „legjobb” megoldás érhető el a piacon, amely a biztonság egy apró részével foglalkozik. Mindegyik megoldáshoz külön szoftverkezelő specialistára van szükség, azonban ezek a szolgáltatások réseket hagynak a biztonság egyes területei között. A különböző szállítóktól származó termékeket kombináló megoldások esetén a probléma megjelenése óhatatlanul egymás hibáztatásához vezet.
Vannak olyan monolitikus biztonsági keretrendszerek is, amelyek megpróbálnak minden biztonsági szempontot figyelembe venni, azonban ezek egyáltalán nem rugalmasak, és működtetésük rendkívül drága, ezért a szervezetek számára gyakran túl költséges a használatuk. Emellett egyáltalán nem veszik figyelembe a támogatott szervezetek üzleti céljait.
Mindezek helyett a vállalkozásoknak a biztonságot az egyszerűség, hatékonyság és a kapcsolat alapján érdemes megközelíteniük, mivel ezek az elvek egy integrált megoldásban kapcsolják össze az informatikai biztonság széttagolt elemeit, amely így képes áttekinteni a teljes szervezeti működést.
Ez azt jelenti, hogy a vállalati felhasználók felügyelhetik a szabályokat és házirendeket, a végfelhasználók pedig könnyedén megfelelhetnek ezeknek. Az ilyen típusú biztonsági megoldások gondoskodnak arról, hogy a biztonsági megközelítések igazodjanak a szervezet üzleti céljait szolgáló egyéni követelményekhez, és ne egyenmegoldást próbáljanak ráerőltetni.
Alkalmazható
Egy másik alapvető eleme a biztonsági megközelítéseknek, hogy az alkalmazottak képesek legyenek megérteni és alkalmazni a biztonsági házirendeket. Az informatikai és biztonsági infrastruktúrák feladata a vállalkozások növekedésének támogatása, amelyre remek példa, ahogy az informatika lehetővé teszi az alkalmazottak számára a mobileszközök használatát, ezzel növelve a termelékenységet. Azonban emellett fontos, hogy az alkalmazottak betartsák a biztonsági házirendeket, és az adatokhoz és üzleti alkalmazásokhoz a megfelelő módon férjenek hozzá, ellenkező esetben a vállalat növekedését elősegítő mobilitási és egyéb házirendek biztonsági kockázattá válnak, és tényleges kárt okozhatnak az adott cégnek.
Az emberek gyakran azt hiszik, hogy a biztonsági eszközök csökkentik az alkalmazottak termelékenységét, és negatív hatással vannak az üzleti folyamatokra. A valóságban ha a felhasználók nem kedvelik a rendszer működését, és úgy vélik, hogy az gátat szab a termelékenységnek, nem fogják használni, így a rendszer üzleti értéke elveszik, nem is említve a biztonsági problémák fellépését.
A mobilitás példáját vizsgálva a saját tulajdonú készülékek használata az egyik leggyakoribb módja annak, ahogyan az alkalmazottak támadásoknak tehetik ki szervezetüket. Bár a saját tulajdonú készülékek használata nagyobb rugalmasságot biztosít az alkalmazottaknak, a végfelhasználók így rengeteg lehetséges biztonsági problémát tesznek kihasználhatóvá a támadók számára. Valójában ma az adatvesztés a mobileszközökön a vállalatok legnagyobb aggodalma; az egyesült királyságbeli vállalkozások 71 százaléka a „növekvő mobilhasználatot” tartja a legnagyobb informatikai biztonsági kihívásnak a következő öt évben.
Ez bizonyos mértékig megmagyarázza, hogy néhány vállalat a szigetországban miért nem engedélyezi szívesen a hozzáférést a vállalati hálózatokhoz az alkalmazottak személyes eszközeiről. Az egyesült királyságbeli válaszadók 24 százaléka mondta, hogy az alkalmazottak kevesebb mint egytizede használ személyes eszközöket a munkára, ez alacsonyabb a 13 százalékos globális átlagnál. Mindezt figyelembe véve ma minden eddiginél fontosabb, hogy az alkalmazottak teljes körű ismeretekkel rendelkezzenek a biztonsági támadásokkal és védelemmel kapcsolatban.
Az alkalmazottak a kiberbiztonsággal kapcsolatos képzéssel és útmutatással képesek lesznek teljes mértékben alkalmazni a házirendeket, és az informatikai részleg így végül azt tapasztalja majd, hogy csökkent az alkalmazottak tevékenységéből adódó biztonsági kockázatok száma.
Tripla A
Ha a teljes biztonsági házirendje megfelel mind a három „A”-nak, akkor kiemelkedően magas biztonsággal rendelkezik, azonban az ellenőrzéseket nem elég csak egyszer végrehajtani. A fenyegetések elleni hatékony védelem részeként ajánlott rendszeresen átfutni ezen a gyors ellenőrzőlistán a maximális biztonsági szint elérése és fenntartása érdekében. Fontos továbbá biztosítani, hogy a megvalósított biztonsági megoldások lehetővé tegyék a szervezet igény szerinti növekedését anélkül, hogy az bármilyen hatással lenne a hálózat meglévő részére.
Összességében a Moody minősítési rendszere egy széles körben elismert és megbízható séma, amely egy ország pénzügyi helyzetét körvonalazza. A tripla A biztonság azonban remek módja a vállalati biztonsági hálózatok tesztelésének is. A hálózat „tripla A” minősítésének elérésével lehetővé válik, hogy a vállalati hálózat minden területe állandó védelem alatt álljon.
A keretrendszer megvalósításával azonosíthatók a hálózati biztonság hiányosságai, amely segítségével megelőzhetők a jövőbeni támadások.
