• +36 30 930 3353

A szerencse nem stratégia

A legtöbb 10–50 fős ipari vállalat informatikai működése kívülről nézve stabilnak tűnik. A rendszerek mennek, a gépek termelnek, az e-mail működik, a fájlok elérhetők. A napi működés alapján könnyű azt gondolni, hogy „nálunk minden rendben van”.

A valóság azonban sokszor más. Sok vállalatnál a működés nem tudatos biztonsági rendszerre épül, hanem szerencsére és megszokásra.

Amíg nincs probléma, ez nem látszik. Amikor viszont egy kritikus hiba bekövetkezik – adatvesztés, zsarolóvírus, jogosultsági káosz vagy egy hibás mentési rendszer –, akkor derül ki, hogy a háttérben valójában mennyi minden volt véletlen.

A rendszerek nem azért működnek, mert jól vannak tervezve

Sok esetben egyszerűen azért működnek, mert eddig nem történt baj.

Ez nem vád és nem is kritika. A legtöbb kis és közepes vállalat nem informatikai cég. A vezetők energiája a termelésre, az ügyfelekre és az üzletre megy el. Az informatikai háttér gyakran „valahogy kialakul” az évek során.

Tipikus helyzetek:

  • a mentési rendszer létezik, de senki nem tesztelte visszaállítással

  • a jogosultságok évek alatt felhalmozódtak, senki nem tudja pontosan, ki mihez fér hozzá

  • a hálózat működik, de a struktúráját már senki nem látja át

  • a frissítések és a védelem több különböző eszközön és szolgáltatáson keresztül történnek

A rendszer működik – de nem biztos, hogy tudatosan működik.

Mi hiányzik ilyenkor?

A legtöbb esetben nem új technológia hiányzik, és nem is drága biztonsági eszközök.

Hanem valaki, aki felteszi a kényelmetlen kérdéseket.

  • Mi történik, ha a szerver holnap nem indul el?

  • Ki fér hozzá a kritikus adatokhoz?

  • Valóban visszaállíthatók a mentések?

  • Melyik ponton állna le a cég működése egy incidensnél?

Ez a szerep sok szervezetben hiányzik. A rendszereket valaki üzemelteti, mások használják, de ritkán van jelen az a szemlélet, amely kockázati szempontból nézi át az egészet.

Nem teljes ISO-rendszerre van szükség

Sok vállalat első reakciója az, hogy egy ilyen helyzetben biztosan egy teljes ISO 27001 rendszer vagy egy nagy NIS2 projekt a megoldás.

A valóságban a legtöbb kisebb szervezetnél először sokkal egyszerűbb lépésre van szükség:
átlátni a valós helyzetet.

Egy rövid, független áttekintés gyakran gyorsan megmutatja:

  • mely területek működnek jól

  • hol vannak a valódi kockázatok

  • melyik néhány intézkedés hozna a legtöbb biztonságot

Sokszor nem húsz változtatás kell. Elég három vagy négy kulcsfontosságú lépés.

A cél nem a tökéletes rendszer

A cél az, hogy a működés ne a szerencsén múljon.

Egy jól átgondolt minimum biztonsági struktúra – még ha egyszerű is – sokkal többet ér, mint egy bonyolult, de átláthatatlan rendszer.

Az információbiztonság nem elsősorban technológia kérdése. Inkább józan mérnöki gondolkodásé: megérteni, hol vannak a gyenge pontok, és megszüntetni a legnagyobb kockázatokat.

Ha egy vállalat eljut oda, hogy a kritikus rendszereit már nem a szerencse tartja működésben, akkor már megtette a legfontosabb lépést.

Megosztás:

További cikkek

A műszaki kekec

Szinte minden szervezetben van egy ember az akadékoskodó, a folyton aggodalmaskodó műszaki kekeckedő szerepében. Ő az, aki mindig kérdez.Ő az, aki nem fogadja el elsőre, hogy „ez így szokott működni”.Ő az, aki

Tovább olvasom »

Partnerként gondolkodunk

A világ gyorsan változik, és vele együtt változik az is, ahogyan együtt dolgozunk. Ami régen kifejezetten formális volt, ma sokszor inkább közvetlen, gyors és emberi. Én ebben hiszek: a jó együttműködés alapja

Tovább olvasom »
Scroll to Top