Egy szervezet adatvagyonának, információinak biztonsága, IT rendszereinek védelme összetett feladat. A munkatársak IT tudatosságának növelése, képzése mellett a szervezet utasításainak, szabályozásának kialakítása, működtetése felkészült szakembereket kíván. A megfelelő gyakorlatok, rutinok kialakításában azonban elengedhetetlen szerepe van a felsővezetőknek. A vezetők feladatairól és felelősségéről Kirch Rudolf Zénóval, az Antenna Hungária Zrt. IT biztonsági vezetőjével beszélgettünk.
A felsővezetés szerepe az információbiztonság tekintetében
- Milyen szempontok befolyásolják egy vállalat információbiztonsági szervezetének kialakítását?
- Az első lépések egyike az információbiztonsági irányítási rendszer kialakításakor, hogy meg kell ismerni a szervezetre ható külső és belső tényezőket. Ezek befolyásolják ugyanis a szervezet működését (iparági szabványok, releváns jogi szabályozások, rendelkezések, piaci környezet, a szervezet mérete, vállalati kultúra, üzleti tevékenységek stb.). Fontos feltérképeznünk az érdekelt külső és belső feleket (hatóságok, tulajdonos, igazgató tanács, vezetők, munkatársa, versenytársak stb.) is.
- A tulajdonosok, felsővezetők milyen módon érdekeltek az információbiztonsági rendszer működtetése során?
A szervezeten belül a tulajdonosi, felsővezetői szerepkörök feladatai és felelőssége főként az erőforrások biztosítása és a működés támogatása területén nyilvánul meg.
A felsővezető kinyilvánítja támogató szándékát az információbiztonság tekintetében, amely jellemzően az információbiztonsági politika vagy szándéknyilatkozat formájában jelenik meg.
Ennek szervezetben minden munkatárs számára elérhetőnek, azaz publikáltnak kell lennie.
A szándéknyilatkozatnak legalább az alábbi elemeket kell tartalmaznia :
- elkötelezettség az információbiztonság irányítási rendszer mellett;
- A felsővezető elvárásának megfogalmazása az iránt,, hogy a szervezet minden munkavállalója tudatosan alkalmazza az információbiztonsági ismereteket (tudatossági oktatások és gyakorlatok);
- támogatja az információbiztonsági szabványok, jogszabályok és elfogadott gyakorlatok megvalósítását;
- elvárásokat támaszt az üzleti partnerekkel szemben az információ-védelem tekintetében,
- elkötelezett a folytonos kockázatkezelés megteremtése mellett;
A felsővezető, vagy tulajdonos biztosítja az erőforrásokat is az információbiztonsági célok megvalósításához.
Az információbiztonsági irányítási rendszer keretein belül a felsővezető szerepe kijelölni az információbiztonsági szervezet szereplőinek szerepköreit és felelősségüket. Továbbá rendelkezésre kell bocsátani a pénzügyi és emberi erőforrásokat a fizikai, adminisztratív és logikai (technológiai) védelmi intézkedések bevezetése érdekében.
A gyakorlatban célszerű törekedni arra, hogy az információbiztonságot támogató költségek logikailag elkülönüljenek, és ne az IT üzemeltetési és fejlesztési költségvetés részeként jelenjenek meg.
Törekedni kell arra is, hogy az információbiztonsági szervezet vezetője szerepköréből adódóan közvetlen munkakapcsolatban legyen a felsővezetéssel (riportálás). Fontos szempont az információbiztonsági szervezet vezetőjének vállalaton belüli függetlensége, ezért kerülendő hogy a pozíció az IT szervezeten belül kerüljön elhelyezésre.
A felsővezető feladatai, hogy ellenőrzi, hogy a biztosított erőforrások megfelelően és felelősséggel kerüljenek felhasználásra az információbiztonsági célok megvalósításához.
Célszerű olyan monitoring és riporting rendszert kialakítani a szervezet vezetőinek bevonásával, amelyek segítségével folyamatosan követhető az erőforrások felhasználása és a célok megvalósítási állapota.
A felsővezetőnek kell meggyőződnie arról, hogy a releváns kockázatok megfelelően kerülnek kezelésre.
Szintén a monitoring és riporting rendszer részeként érdemes követni a kockázatkezelés eredményeit.
A gyakorlatban törekedni kell arra, hogy a szervezet szintjén egységes kockázatkezelési irányelvek és kockázatkezelési folyamatok kerüljenek megfogalmazásra a felsővezetés által.
Nem szabad elfelejteni, hogy nem csak kizárólag információbiztonsági kockázat létezik, hanem minden működési területnek (pénzügyi, humán erőforráskezelés, stb.) megvannak a saját kockázatai. A különböző működési területeken jelentkező kockázatokat az egységes kockázatkezelési eljárások és vállalati politika mentén szükséges kezelni.
Fontos feladata a felsővezetésnek, hogy támogassa az információbiztonsági folyamatok és kontrollok beépülését a mindennapi működésbe.
Természetesen ebben az esetben nem a napi, operatív munkavégzésre kell gondolni, mint felsővezetői szerepkör.
Sokkal inkább a jó példát kell mutatnia az alkalmazott információbiztonsági gyakorlatok és technológiák felhasználása esetében a szervezet többi szereplőinek, hierarchiától függetlenül.
Lehetőség szerint kerülni a „kivétel” attitűdöt, mert nem segíti elő az információbiztonság elfogadottságát a szervezeten belül, hanem éppen ellenkezőleg hat.
Fontos megjegyezni, hogy információbiztonsági irányítási rendszert működtetni, a hozzá kapcsolódó tevékenységeket megvalósítani, úgy, hogy az a szervezet teljes egészére érvényes legyen, de legfőképp hasson, nem lehet alulról építkezve megvalósítani. Mindenképpen szükséges a felsővezető, tulajdonosi elkötelezettség és támogatás.