Vannak szervezetek, melyeknél az elmúlt években bevezetett különféle szabályzók nyomán hoznak létre IT-biztonsági vezetői pozíciót. Ilyen volt például a GDPR Európában, amelynek bevezetése sok helyen nem csak az adatkezelési hiányosságokat tárta fel, hanem a kiberbiztonsági problémákra is rávilágított.
És aztán vannak azok a szervezetek, melyek saját keserű tapasztalataik okán jutottak el oda, hogy dedikált vezetőre bízzák a kibervédelem irányítását. Azt remélik ettől, hogy a vállalat biztonsági szempontból is proaktívabbá válik, és jobban átvihetők a biztonsági folyamatok a szervezet különböző egységein.
Hogyan kezdjen hozzá?
A HackerOne bugbounty-platform egy táblázattal (lásd lentebb) és némi magyarázó szöveggel összefoglalta azokat az alapelveket, melyeket az újonnan kinevezett kiberbiztonsági főnöknek érdemes szem előtt tartania.
Érteni kell, hogy ma már nincs mód százszázalékos biztonságot adó védelmi rendszerek felépítésére, továbbá:
Hiába védi atombiztos tűzfal a vállalat belső rendszereit, minimalizálva és szigorúan ellenőrizve a belépési pontokat, a külvilággal folytatott kommunikációt és adatcserét, belül a felhasználók bármihez hozzáférhetnek, hiszen minden biztonságos…
Ráadásul ez a szemlélet nem számol az egy másik fontos kiberbiztonsági tétellel, miszerint a biztonság leggyengébb láncszeme maga az ember. Nem csak a social engineering alapú támadások vagy a szándékos károkozás miatt jelent minden munkatárs magas kockázatot. Leggyakrabban abból az egyszerű okból sérül egy vállalati rendszer biztonsága, hogy a munkatárs hibázik.
Minta lehet a repterek soklépcsős biztonsága
A mai helyzetben sokkal életszerűbb az a biztonsági megközelítés, amely úgy tekint a vállalati rendszerre, mint egy repülőtérre. Egy reptéren soklépcsős ellenőrzésen esnek át az utasok és az ott dolgozók, sokféle típusú biztonsági kihívást kezelnek egyidejűleg, és az azonosítás révén árnyaltan kezelik például az egyes részterületekhez való hozzáférést is.
A jegyvásárló pultig bárki eljuthat, de ha jegyet akar vásárolni, már ellenőrzik a dokumentumokat (azonosítás), majd a jegy birtokában a továbbhaladásnál újabb ellenőrzések következnek, átvizsgálják a csomagokat stb. és az utas még mindig csak a terminálban van sok más gép várakozó utasával együtt. Mielőtt felszáll a gépre újabb azonosítás, hogy ellenőrizzék a jogosultságát az adott gépre és így tovább.
Lefordítva ezt az IT-biztonsági infrastruktúrára: többszörös tűzfalakat kell alkalmazni, jelszavas, sőt kétfaktoros hitelesítést, külön figyelemmel a kritikus eszközökre, a magas jogosultságú felhasználókra stb. Azaz itt a szigorú azonosítás és hozzáférés-felügyelet párosul a technológia nyújtotta lehetőségekkel.
Előtérben a kockázatkezelés
El kell fogadni azt is, hogy a kockázatok nem küszöbölhetők ki teljes mértékben – éppen ezért a kezelésükre kell összpontosítani. A világ gazdasága ugyanis ma már a konnektivitáson alapul, minden mindennel összekapcsolódik, és a szabad adatáramlás nélkül minden leállna. Ebből következően a kockázatokat priorizálni kell a bekövetkezésük valószínűsége és a lehetséges károk alapján. Így el lehet dönteni, hogy hova kell csoportosítani komolyabb erőforrásokat a védekezéshez.
Ezzel a szemlélettel sokkal pontosabban felmérhető az is, hogy mekkora költségráfordítással lehet optimalizálni az adott szervezet IT-biztonságát. Így a cégvezetés is könnyebben elfogadja a védelmi terveket, hiszen egyfajta kockázatarányos biztosításként kezelheti. Ráadásként eltűnik a hamis biztonságérzet, ami néha veszélyesebb a vállalatra nézve, mint egy hekkertámadás.
Forrás: bitport.hu, hackerone.com
Kapcsolódó cikkek:
