ITexec

EY_webinár.jpg
Forrás: EY
IT-biztonság

Az edukáció kötelező

Tudatában lenni akár egyetlen hiányosságodnak is sokkal hasznosabb, mint tudatában lenni valaki más ezer gyengeségének”, mondta egyes források szerint a dalai láma. Saját gyengeségeink ismerete segíthet a mindennapok küzdelmeinek túlélésében. Az önismeret egyik ajánlott gyakorlata megismerni mások vélekedését kritikus kérdésekről. 

Az utóbbi hét számomra legérdekesebb szakmai élménye az a webinár volt, amelyen az EY IT- és technológiai tanácsadásért felelős vezetője, Zala Mihály adott elő, és nekem volt szerencsém a navigátor szerepét megformálni. A program alapját az a kutatás képezte, amelyet az EY immáron 22-ik alkalommal – egészen pontosan tavaly év vége felé – végzett el, és amely 60 ország legismertebb szervezeteinek közel 1300 informatikai és információbiztonsági vezetőjének lekérdezésére alapozva készült (EY Global Information Security Survey, röviden GISS). Mihály azzal tette interaktívvá a programot, hogy öt alkalommal szavazásra tett fel kérdéseket a hallgatóságnak, majd megmutatta az ugyanazokra a kérdésekre adott válaszok statisztikáját a GISS-ből.

Ehelyütt egyetlen ilyen összevetést mutatok meg (lásd e cikk nyitóképét), amely talán a legnagyobb különbséget láttatta a nemzetközi és a hazai válaszok között. Természetesen hozzá kell tennünk, hogy a webinár résztvevőinek számossága nem vethető össze a GISS kiterjedtségével, azonban személyes tapasztalataim alapján nekem úgy tűnik, valóságos különbséget sikerült kimutatni.

A webinár szóban forgó kérdése magyarul így hangzott: „Az Ön megítélése szerint a felsővezetés jelentős kockázatnak tekinti-e a kiberkockázatokat?”, és három válaszlehetőség – 1. igen, 2. nem, 3. időnként annak tekinti – volt megadva.

Míg a GISS-ben a válaszadók nagy többsége, 72 százaléka igennel válaszolt, a mi webinárunkon a résztvevők 56 százaléka kattintott az igenre. A nemet érdekes módon mindkét esetben 4 százalék választotta, következésképpen az „időnként annak tekinti” válaszlehetőségre mi webináriumunk résztvevői közül sokkalta többen kattintottak (41 százalék), mint a GISS megkérdezettjei (24 százalék).

A magyarországi IT-biztonsági piaci folyamatokat és technológiai fejlettséget csak egy kicsit is ismerve a webináriumon szerzett visszajelzés nem okozott meglepetést, viszont megerősítette azt, amit a kiberbiztonsági szakma felelős megszólalói nagy intenzitással hangsúlyoznak. A felsővezetői elkötelezettség, tehát támogatás nélkül az IT-biztonság területén a fejlődés nem képzelhető el. Az elkötelezettség pedig a tudatossággal nyer szilárd alapot, másként fogalmazva: a kiberbiztonság, a kiberbiztonsági kockázatok kellő ismerete nélkül a felső vezetés nem lehet elkötelezett híve és támogatója a digitális biztonság szervezeten belüli fejlesztésének.

Felmerül a kérdés, hogy kinek lehet a feladata e tudatosság, illetve elkötelezettség elérése és fenntartása. Mindenekelőtt azoknak a kötelező edukációs jellegű tennivalója, akik szakmai értelemben közvetlenül irányítják az IT-biztonsági tevékenységeket, tehát a CIO-k, a CISO-k, az IT-biztonsági vezetők, szakértők, attól függően, hogy a szóban forgó szervezet mennyire kiterjedt, hierarchikus és mennyire tagolt.

És nem vonhatók ki e körből maguk a felsővezetők sem, akiknek egyébként van elég kihívásuk, de akiknek a digitalizáció elmélyülésével, ami az üzleteknek egyre nyilvánvalóbban elemi érdeke, az IT-biztonság terén is ajánlatos törekedniük a tudatosság és elkötelezettség kellő szintjének az elérésére.