Tanácsadás

Informatikai biztonság

Hangzatos kijelentéssel élve: tökéletes védelem, tökéletes biztonság egyszerűen nem létezik, nem létezhet, és ez különösen igaz az informatikai biztonság területére. A kulcsszó ebben a vonatkozásban az arányosság – meg kell találni az optimumot a védendő információ értéke és az ehhez szükséges ráfordítások között, ugyanakkor nem szabad megengedni, hogy az értékes információ elvesztése pótolhatatlan veszteségeket okozzon a vállalati működésben. Az értékarányos, átgondolt információbiztonsági kiadások ugyanakkor jó pénzügyi befektetésnek tekinthetők, egyértelmű cél, hogy mind a biztonságra fordított költséget, mind a károk okozta veszteséget a minimumra lehessen csökkenteni.

Az optimális és költséghatékony biztonsági szint megteremtéséhez és fenntartásához szakembereink teljes körű szolgáltatási csomagot állítottak össze ügyfeleink számára. Ennek része az IT-biztonsági felmérés, a kockázatelemzés és -kezelés éppúgy, mint az informatikai biztonsági szabályzat kidolgozása. Mindehhez ügyfeleink valamennyi munkatársa számára szervezett oktatás kapcsolódik, amelynek során a maga területén mindenki megismerheti azokat a veszélyeket, amelyekkel feladatainak elvégzése során szembesülhet, s amelyek megelőzése elengedhetetlen az egész vállalat zökkenőmentes működésének szempontjából.

Az informatikai szabályozási környezet megfelelőségének vizsgálatát, az IT auditot szakembereink a Cobit (Control Objectives for Information and related Technology) ajánlásait követve végzik. Tevékenységünk része az informatikai katasztrófa-elhárítási és üzletmenet-folytonossági tervek elkészítése is, hogy az informatikai rendszereket érintő váratlan események esetén is meghatározott időn belül zavartalanul folytatódhasson a cég üzleti tevékenysége.

Tanácsadóink a széles körben alkalmazott módszertanokra alapozva végzik munkájukat, ezek között egyaránt megtalálható az ISO 17799, az ISO 13335, a Cobit, a Common Criteria és az ITIL is.

Etikus eszközökkel

Az informatikai rendszerekben rejlő biztonsági hiányosságok, rések feltárásának bevett módja, amikor a szolgáltató szakemberei – minden esetben a megrendelővel egyeztetve és a megrendelő igényeinek megfelelően – „betörnek” annak rendszerébe.

Az ilyen etikus biztonsági vizsgálat első lépése a social engineering, vagyis annak vizsgálata, hogy az esetleges emberi közreműködés mennyiben lehet felelős az informatikai hálózat sebezhetőségéért. Ennek feltérképezése azért nagyon fontos, mert egy rendszer biztonságát az alkotóelemek hibái mellett gyakran az emberi hiszékenység és az éberség hiánya is veszélyezteti. Az így megszerzett információk birtokában pedig a külső támadó, behatoló könnyedén megkerülheti a tűzfalakat vagy a behatolásérzékelő rendszereket.

A social engineeringet a technikai informatikai biztonsági vizsgálat követi, majd szakembereink „élesben” is elvégzik a külső behatolási tesztet, szimulált támadást hajtanak végre az esetleges rendszerhibák felkutatásának céljából.

Az elvégzett tesztek minden részletét napló rögzíti, így az események pontosan követhetők lesznek egy esetleges ellenőrzés alkalmával. A kapott teszteredmények alapján szakembereink a tapasztalt hiányosságok megoldására irányelveket dolgoznak ki, ezt egy dokumentumba foglalva kapják meg ügyfeleink.

Mindezek után következik a belső rendszer tesztje, amelynek során az ügyfél belső hálózata felől térképezzük fel a rendszert és annak sebezhetőségi pontjait, végül pedig az etikus biztonsági vizsgálatot a kiszolgálók és a hálózati erőforrások ellenőrzése zárja.

Szakembereink nem csupán elemzik a tapasztalatokat, hanem átfogó technológiai ismereteik birtokában megvalósítási javaslatokat is kidolgoznak a gyenge pontok kiküszöbölése érdekében ügyfeleinknek.

Katasztrófák pedig lehetnek!

Mivel százszázalékos biztonság a gyakorlatban nem létezhet, hiszen végtelen sok pénzbe kerülne a megvalósítása, előrelátó tervezéssel ajánlott felkészülni a szervezet informatikai szolgáltatásainak véletlenszerű vagy szándékosan okozott kiesésére is. Az ilyen helyzetek kezelését segíti a szakszerűen elkészített katasztrófa-elhárítási terv, ennek hiányában az adott informatikai rendszert kockázatosnak kell tekinteni. Még akkor is, ha egy teljes kiesés valószínűsége igen csekély, a váratlanul bekövetkező esemény üzleti modelltől függően hatalmas veszteségeket okozhat, ide értve az üzletileg kritikus alkalmazások leállását, a kommunikáció megszakadását és az információvesztést is. Az esetleges károk bekövetkeztét mindenkor azok hatásában javasolják értékelni szakembereink, e területen is az arányosság elvét követve – azt, hogy a védendő üzleti érték, folyamat miként viszonyul a szükséges ráfordításokhoz. Alapkövetelmény, a katasztrófa bekövetkezte után a lehető leggyorsabban képesnek kell lenni a szolgáltatás helyreállítására.

Szakembereink a kockázatok elemzésének valamennyi módszertanát jól ismerik, e tudás birtokában, a lehetséges fenyegetésekkel összhangban dolgozzák ki javaslataikat ügyfeleinknek az eszközök meghatározására és a sérülékeny, sebezhető pontok azonosítására. A tervezési folyamat alapjául a meglévő hardver- és szoftverkészlet teljes körű felmérése, valamint a tágabb értelemben vett környezet felmérése szolgál.

A lehetséges katasztrófák kezelése a megfelelő katasztrófa-elhárítási terven áll vagy bukik. Ebben részletesen és körültekintően kell megtervezni egy rendszerkiesés bekövetkezte utáni hatásos helyreállítás valamennyi lépését, mindez természetesen magában foglalja a különböző területek, részlegek, szolgáltatások és szolgáltatók együttműködésének megtervezését is.

Tanácsadóink nagy tapasztalatokkal rendelkeznek a katasztrófakezelés területén, felkészültségük, az általuk javasolt megoldások garantálják, hogy ügyfeleink hatékony katasztrófa-elhárítási eszközkészlettel rendelkezzenek, a lehető legkisebb költségráfordítással.