Az internetes bűnözés növekedésével és az egyre profibb módszerek megjelenésével mindenki el kell gondolkozzon vajon mindent megteszünk-e a minket érintő területek IT biztonságáért? Mérjük fel a helyzetet és tegyük meg a szükséges lépéseket mihamarabb. Ebben ad konkrét és hasznosítható tanácsokat Solymos Ákos a QUADRON tanácsadói üzletág vezetője.
Solymos Ákos ügyvezető QUADRON tanácsadói üzletág vezetője (forrás: golfiesta.hu)
12+1 kérdés, hogy ellenőrizni tudja helyes úton jár-e szervezete a biztonság megteremtése és az adatok védelme terén.
1. Megvan-e a vezetői elkötelezettség az információvédelem és biztonság megteremtésére és fenntartására?
2. Azonosították-e azokat a jogszabályi előírásokat és szabványokat, amelyek a szervezet által kezelt adatok és információk védelmével kapcsolatosak?
3. Volt-e teljes körű, a szervezet egészére kiterjedő kockázatelemzés, kockázatértékelés, döntött-e a szervezet felső vezetése a kockázatok kezelésére vonatkozó intézkedésekről?
4. Megvan-e a megfelelő pénzügyi, technológiai és humánerőforrás a kockázatkezelési intézkedések végrehajtására?
5. Ki lett-e alakítva valamilyen szabvány vagy ajánlás alapján az a szabályozási keretrendszer, amely lefedi az információbiztonsággal kapcsolatos területeket?
6. Van-e rendszeres biztonsági oktatás és vizsga a szervezet különböző területein és szintjein dolgozó kollégák számára, amely a szervezet életében jelen lévő biztonsági szabályokról szól?
7. Van-e rendszeres biztonságtudatossági képzés és/vagy kampány, amely a teljes szervezetre kiterjedően a biztonsággal kapcsolatos attitűd, hozzáállás, gondolkodás kialakítására vonatkozik?
8. Ki vannak-e alakítva azon eljárások, amelyek a szervezethez kapcsolódó külsős felekkel és beszállítókkal kapcsolatos kockázatok felmérésére és kezelésére vonatkoznak?
9. Ki vannak-e alakítva a szabályzatokban megfogalmazott szabályok kikényszerítését célzó technológiai védelmi intézkedések? Itt kiemelt szerepet kapnak a határvédelem, a távoli hozzáférés, az azonosítás és hitelesítés, és az informatikai eszközkezelés, adatszivárgás területei.
10. Megtörtént-e a szervezet kritikus folyamatának és adatainak azonosítása és megtörtént-e ezen folyamatok és adatok kiesése vagy sérülése esetén a szervezet működésének folytonosságát biztosító intézkedések meghatározása és tesztelése (BCP, DRP)?
11. Van-e szervezetben megfelelő szintű eseménynaplózás, naplóelemzés és incidenskezelés, valamint tesztelik-e a legvalószínűbb incidensek kezelésére vonatkozó terveket?
12. Van-e elegendő, folyamatosan rendelkezésre álló és szakképzett erőforrás a technológiai védelmi eszközök üzemeltetésére, felügyeletére?
+1 Megtörténik-e rendszeresen a szervezet biztonsági állapotának ellenőrzése, akár külső, akár belső, de mindenképpen az üzleti területek és kiszolgáló területektől (pl.: IT szervezet) független szervezeti egység, vagy szervezet által?
szerző: Solymos Ákos
kapcsolódó cikkek:
RSA 2015 – az ébredés éve. Az IT fejlődés ára a növekvő fenyegetettség
