A biztonságot testre kell szabni, azaz végeredményben olyan megoldást kell kapunk, ami ideális az adott vállalat esetében
A rossz hír az, hogy nincs olyan teljes körű, tökéletes IT biztonsági megoldás, ami minden cégre egy az egyben ráhúzható lenne.
Mindenki másképp egyforma
Nyilván teljesen más riasztórendszert építünk ki a lakásunkban, ha egy feltörekvő kortárs festő képei díszítik a falat, vagy ha a Mona Lisát őrizzük. Nincs ez másképp a cégek világában sem.
Éppen ezért a jó biztonsági szakembert onnan ismerjük meg, hogy mielőtt egy megoldást ajánlana, rengeteget kérdez. Ugyanis annak érdekében, hogy a védekezés testreszabott és arányos legyen, a kiindulási pont a kockázatelemzés és a sérülékenységvizsgálat.
Mindig felméréssel kezdjünk
Első lépésként azt kell meghatározni, mik azok a kritikus üzleti szolgáltatások, folyamatok, illetve adatok, melyek nélkül működésképtelenné válik a vállalat, vagy nagy problémákkal kell szembenéznie. Fontos azt is beazonosítani, hogy a tevékenységből mi esik törvények hatálya alá, hiszen az aktuális szabályozásnak meg kell felelni.
Lássuk át a rendszert
Ha ezzel megvagyunk, a kritikus rendszereket célszerű elemekre bontani (mint például munkaállomások, hálózati eszközök, adatbázisok stb.) és elvégezni az egyes elemek sérülékenység-elemzését.
Az így elkészülő problématérképet nyilván nagy mértékben befolyásolja a cég tevékenysége, mérete, elhelyezkedése és kiterjedtsége. Nem mindegy, hogy egyetlen vagy számos telephelyről van szó, hogy a wifire csak munkatársak, partnerek vagy ügyfelek is csatlakoznak, a szerverek saját telephelyen vagy egy szolgáltató adatközpontjában üzemelnek – és még hosszan sorolhatnánk.
Többrétegű megoldás kell
Az viszont biztos, hogy bármilyen eredményt is ad ez a felmérés, a javasolt biztonsági megoldás többrétegű lesz. A manapság elvárható védelmi szintet csak akkor tudjuk megvalósítani, ha az egyes layerek átfedésben vannak, ezért kiegészítik és erősítik egymást. Ilyen rétegek például a végpontvédelem, web security, fenyegetettség figyelés, identity-, log- és patch menedzsment, a frissítések kezelése és a katasztrófa tűrő mentés.
Gondoljunk a munkatársakra is
Bármilyen erős védelmi rendszert építünk ki a külső támadások ellen, belülről mindig sokkal könnyebb kárt okozni. Ezért nélkülözhetetlen a megfelelő belső biztonsági szabályok kialakítása és bevezetése. A munkatársakat pedig képezni kell: fontos megértetni és elfogadtatni velük, hogy ezeket a szabályokat be kell tartani.
Nem elég falat építeni, őrökre is szükség van
Sajnos a munkának nincs vége azzal, hogy kiépítettük az ideális védelmi rendszert. Manapság a nap 24 órájában érkeznek rossz szándékú támadási kísérletek a világ minden tájáról. Ezért egy olyan felkészült csapatra van szükség, akik folyamatosan figyelik a védelmi vonalat, és kellő szaktudás, tapasztalat és aktuális információk birtokában el tudják hárítani a próbálkozásokat.
Érdemes mérlegelni a kiszervezés lehetőségét
Az IT világa már évek óta a kiszervezés irányába mozdul el. Saját szerverek vásárlása és költséges üzemeltetése helyett sokkal inkább megéri egy erre a célra épült, robosztus és biztonságos adatközpontban szervert bérelni. Ha pedig a rendszerünk egy szolgáltatónál üzemel, akkor az ott dolgozó szakemberek jóval hatékonyabban tudják garantálni a biztonságot is, mint ahogy azt egy cég a saját erejéből tudná megtenni.
Ajánlott bejegyzések:
A teljes biztonsághoz minden részletre ügyelni kell
Az IT biztonság folyamatos harckészültséget kíván