ITexec

ITSEC.jpg
Forrás: ITB
IT-biztonság

A tudatosság megtérül

Kedvenc csapatom ifijében bűvöli a labdát legidősebb unokám barátja, akit még sohasem láttam a pályán, mégis nagyon szurkolok neki. Legutóbbi találkozásunkkor kérdeztem tőle, hogy a klubban tesztelik-e őket koronavírusra. Nem – hangzott a válasza. És jártok edzésre? – menekültem meglepetésemben a következő kérdésbe. Igen – mondta, és ekkor egy darab időre elakadt a konverzációnk. A biztonság nem egyszerű ügy – gondolom most, amikor felidézem beszélgetésünk e csendjét.

Egy IT-biztonsági témáról szóló webinárra készülök éppen, olvasgatom a szakirodalom legfrissebb érdekességeit, de ha egy kicsit eltávolodom az aktuális publikációk fókuszába kerülő témáktól, az IT-biztonság esetében is feltűnik nekem a problémák, dilemmák strukturálhatósága. És most, amikor a különféle friss kiberbiztonsági kutatások, felmérések eredményeit áttekintem, azon merengek, hogy miért fordulunk rossz felé olyankor is, amikor teljesen nyilvánvaló, hogy melyik a jó út.
Álljon itt két tipikus példa arra, hogy magukat felelős üzleti vezetőknek tekintő cégirányítók miként veszélyeztethetik szervezetük létét.

„A szükséges rossz” Gyakori szemléletbéli hiba, amikor a vállalatok vezetői, olykor még az informatika irányítói is, úgy vélekednek, hogy az informatikai rendszerek működésének biztonságára fordított vezetői figyelem és más erőforrások, költségek afféle adóknak tekinthetők, amelyek lényegében csökkentik a vállalkozás nyereségét. Ebből a nézőpontból úgy tűnhet, hogy annál jobb, ha minél kevesebbet juttatunk a költségvetésből erre a területre, és ha igyekszünk minél kevesebbet foglalkozni vele – legfeljebb akkor áldozunk rá időt, ha valamely törvényi előírás megfelelőségre kényszerít. Az esetleg bekövetkező bajt, kiberbiztonsági incidenst nem tartjuk kizártnak, de azok közé az események közé soroljuk, amelyekkel majd akkor kell foglalkoznunk, ha bekövetkeznek. Ez az „átmegyünk a hídon, ha majd ott leszünk” megközelítés lényegében azt sugallja, hogy a baj, az incidens akár meg se történhet, és hogy van nekünk most más teendőnk is, inkább azokkal foglalkozunk.
Egészen másképpen kezeljük e területet, ha belátjuk, hogy az egész vállalkozást átható, az IT-biztonság növelését célzó törekvés erősíti a versenyképességünket. Azt állítom, hogy ha a működtetés, a fejlesztés, az üzleti folyamatok stb. terén folytonosan érvényesül a kiberbiztonság-tudatosság, akkor olyan előnyökhöz juthatunk, amelyek kiemelnek bennünket a szegmensünk mezőnyéből. Azt gondolom, hogy kevesebbe kerül a megelőzés jellegű tudatosság, mint az incidensek elhárítása, a következmények felszámolása – mind a belső működést, mind pedig vállalkozásunk reputációját illetően.

„Vissza a múltba” Különösen azok az üzleti vezetők, akik egyelőre nem engedik, hogy vállalkozásuk a totális digitális átalakulás útjára lépjen, egyik legfőbb érvükként szokták emlegetni, hogy a digitalizáció útján halálos veszélyek leselkednének rájuk, beleértve a digitális útonállók támadásait is. A múlt technológiai, szervezési megoldásaihoz való elkeseredett ragaszkodásuk voltaképpen abból fakad, hogy nem ismerik, nem értik a digitális világot, és titkon bíznak abban, hogy egyszer majd minden visszaáll a régi kerékvágásba.

Azok az utak, amelyek elnéptelenednek, lepusztulnak, és eltűnnek a térképről.