Felértékelődött a céges adatvédelem

Míg a hazai vállalkozások többsége néhány éve még kizárólag az IT-részleg feladatának tekintette a cég érzékeny, üzleti szempontból értékes adatainak védelmét, a válsággal összefüggésben rohamosan növekvő kockázatok felnyitották az üzleti oldal, vagyis a vállalatok pénzügyi vezetőinek, döntéshozóinak a szemét - áll a Deloitte szerkesztőségünknek küldött közleményében.

Ennek ellenére még mindig kevés a saját adatait hatékonyan védeni képes vállalat Magyarországon – sok vezető nem tudja, milyen intézkedésekre célszerű költenie, és bizonytalan abban, hogy a végül megrendelt szolgáltatás valójában mennyit ér.

Antal Lajos, a Deloitte Zrt. Informatikai biztonság és adatvédelem üzletágának vezetője elmondta, hogy a recesszió mellett a vállalatoknak napjainkban egy másik komoly, éppen a válsággal összefüggő fenyegetettséggel is meg kell küzdeniük: a vállalat tulajdonát képező adatok szivárgásával, azok jogosulatlan felhasználásával. Becslések szerint az emberiség 2010-ben 1200 milliárd gigabájtnyi adatot hoz létre - ennek egy része olyan bizalmas adat, amely a versenyképesség, a piaci talpon maradás, de a puszta működés szempontjából is létfontosságú lehet a vállalatok számára, a cégeknek ezért alapvető érdeke lenne fokozottan figyelni adataik védelmére.

Szabad bejárás

Az adatlopás kockázatait növeli a technológia fejlődése is, így például a nagyobb mobilitás, az online üzleti alkalmazások népszerűsége, vagy a kiszervezett tevékenységek terjedése. Az adatok szivárgását sok esetben mégsem külső támadók (pl. kiberbűnözők, hackerek) okozzák, hanem a vállalat saját munkatársainak véletlen hibái, vagy szándékos visszaélései. Utóbbira példa a munkaviszony megszűnése előtti napokban a munkavállaló által végzett adat „kimentés”. Egy - még a válság előtt készült - 1385 üzletembert megcélzó nemzetközi felmérés megállapította, hogy a megkérdezett cégvezetők 29%-a tulajdonított el vállalati információt akkor, amikor távozott korábbi munkahelyéről.

Ezt a helyzetet rontotta tovább a gazdasági válság, hiszen a krízis következtében megjelent a félelem a potenciális munkahelyvesztéstől, miközben az anyagi haszonszerzés, barátoknak tett szívességek és a szándékos károkozás továbbra is ugyanolyan motivációt jelenthetnek, mint a válság előtt.  Sőt, a vállalatok falain kívülre szivárgó érzékeny információknak – például a beruházási adatok, költségtervek, üzleti tervek, személyes adatok – létezik felvevő piaca.

Ki a felelős?

Antal Lajos kiemelte: Bár sok vállalat kezdi felismerni az információszivárgásban rejlő kockázatokat, a problémák megoldását a vezetés jellemzően az informatikai részlegtől várja, rosszabb esetben pedig egyáltalán nem is foglalkozik vele – egészen addig, amíg a probléma egy jelentős incidens formájában nem jelentkezik. Az informatikai szakemberek ugyanakkor nem feltétlenül ismerik az üzletmenetet, így az üzleti és informatikai oldal vezetői között szinte előreprogramozott némi információ hiány, és így a problémák megoldatlanok maradnak. A hatékony vállalati információbiztonsághoz elengedhetetlen az együttműködés az IT-oldal és a cég pénzügyi/üzleti vezetése között.

Mi a megoldás?

Az elavult adatvédelmi intézkedések fejlesztésének legfontosabb feltételei a cég számítógépes rendszerében zajló folyamatok nyomon követhetősége, az IT rendszerek biztonsági kontrolljainak a növelése, illetve a vállalat biztonsági irányelveinek az újragondolása. Ezzel összhangban célszerű odafigyelni a vállalat incidenskezelési képességeinek a fejlesztésére is, ami nem csak a lehetséges számítógépes támadások elhárítását jelenti, hanem a megtörtént visszaélések felderítését is. Itt, az incidenskezelés területén ma még hiányosságokkal küzd a hazai vállalati szektor – mondta a Deloitte Zrt. szakértője.

Fontos, hogy a vállalat vezetése rendszeresen tanulmányozza a belső ellenőrzés és a biztonsági főosztály által készített információbiztonsággal kapcsolatos jelentéseket, továbbá rendszeresen konzultáljon az informatika és a belső ellenőrzés vezetőjével.

Az IT biztonsági kockázatelemzéseknek, biztonsági átvilágításoknak átláthatónak és érthetőnek kell lennie, a vállalat szempontjából legfontosabb megállapításokat olyan formában kell tartalmaznia, hogy az a pénzügyi vezetés számára már az első olvasatban is egyértelmű legyen. A pénzügyi vezetés alapvető érdeke, hogy a jelentések transzparens és közérthető formában készüljenek, hiszen megalapozott döntést csak ezek alapján lehet hozni.

Mivel a beruházásokról - így az IT-biztonsági költésekről is – a pénzügyi vezetés dönt, fontos, hogy ellenőrzési jogát kihasználva mindaddig ne adjon engedélyt egy beszerzésre, amíg valóban meg nem győződött arról, hogy az adott informatikai projektet megfelelően felmérték, teljes költsége transzparens, üzleti kockázatai pedig ismertek – tette hozzá Antal Lajos.

Privátbankár - Zsiborás Gergő