fbpx
+36 1 781 4842 info@fortix.hu
Spamellenes világnap 

Spamellenes világnap 

Spamellenes világnap

2003 óta, minden év június 23-án kerül sor a spamellenes világnap megrendezésére. A világnap ötlete a Yahoo-tól származik, és a kezdeményezés alapvető célja az volt, hogy felhívja az emberek figyelmét a kéretlen levelekre, azok szűrésére és a védekezésre. 

Idegesítő e-mailek, SMS-ek, hangüzenetek és egyéb digitálisan terjesztett üzenetek, amelyeket kapott, de sohasem kért volna? Ezek mind leírhatók egyetlen szóval – spam. 

 

Mi is az a spam? 

Spamnek tekinthetjük a kéretlen, tömegesen küldött kommunikáció bármely típusát (Unsolicited Bulk Email, UBE). Leggyakoribb formája a nagyszámú címre küldött kereskedelmi e-mail (Unsolicited Commercial Email, UCE), de “spammelés” lehetséges, szöveges üzeneteken (SMS), közösségi médián vagy akár hangpostán keresztül is. A spam küldése több jogi szempont alapján is lehet illegális. 

Jelenleg a spamek az elektronikus kommunikáció egyik legnagyobb problémái közé tartoznak. Az összes e-mail kommunikáció akár 50 százalékát is kitehetik. 

 

A kifejezés eredete 

A Monty Python című brit vígjátéksorozat rajongói valószínűleg már tudják, honnan származik a kifejezés. A műsor 1970-es “Spam” című szkeccsében két vendég, ételt rendel egy filléres kávézóban és észreveszik, hogy az étlapon szinte minden étel SPAM-et (egyfajta húskonzerv) tartalmaz. Bár egyikük sem akar SPAM-et az ételébe, hamarosan kiderül, hogy az összetevőt szinte lehetetlen elkerülni – akárcsak a kéretlen e-mail üzeneteket. 

 

Története 

Az első spam e-mail kampányt 1978-ban figyelték meg, amikor az internet elődjéhez, az Advanced Research Projects Agency Network-höz (ARPANET) csatlakozó közel 400 felhasználó (vagy az összes felhasználó 15%-a) postaládájába kerültek üzenetek. Egy vállalat termékbemutatóját reklámozta, de miután sok negatív visszajelzést kapott, a marketingnek ezt a formáját – legalábbis egy időre – elhagyták. 

Ahogy az internet globális méreteket öltött, úgy nőtt a spamek száma is. A 2000 utáni években számuk robbanásszerűen megnőtt és 2008 körül érte el a csúcsot, amikor a globális spamek az összes e-mail forgalom több mint 90%-át tették ki. Ráadásul nem csak kéretlen hirdetéseket terjesztettek, hanem adathalász linkeket és más csalárd tartalmakat, valamint veszélyes malware-ket is, így komoly biztonsági fenyegetéssé váltak, amellyel sürgősen foglalkozni kellett. 

A spamek mennyiségének visszaszorítása több fronton is elkezdődött. A kiberbiztonsági gyártók és szoftverfejlesztők olyan biztonsági megoldásokat hoztak létre, amelyek képesek kiszűrni az ilyen jellegű kommunikációt. A jogalkotók pedig, olyan spamellenes törvényeket dolgoztak ki, melyekben a spamküldés bizonyos esetei illegálisnak is minősülhetnek, így a küldőik bíróság előtt büntethetővé válnak.  

2008-ban a McColo-t, egy kaliforniai székhelyű tárhelyszolgáltatót azért zártak be, mert olyan gépeknek adott otthont, amelyek “kéretlen kereskedelmi e-mailek (UCE)” küldéséért voltak felelősek. Becslések szerint a McColo szerverei a világszerte küldött spam-üzenetek 75%-áért voltak felelősek. 

 

Hogyan lehet felismerni a spameket? 

Ha a tömeges kommunikáció bármely formája (legyen az szöveges- vagy hangüzenet) kéretlen és megtévesztő, akkor valószínűleg spamről van szó. 

 

Hogyan védekezzünk a spam ellen? 

Soha ne adja meg e-mail címét olyan oldalon, ahol ez nem szükséges. Amennyiben szükséges, abban az esetben is megfontoltan járjon el. Létrehozhat például egy „eldobható e-mail címet” is, amelyet csak hírlevelekhez vagy feliratkozásokhoz használ. Illetve a legtöbb e-mail szolgáltató és antivírus szoftver is rendelkezik már viszonylag jó felismerőképességű spamszűrővel. 

Spam szűrők használatával, különböző tűzfal szabályok alkalmazásával, e-mail címünk bizalmas kezelésével lényegesen csökkenthetjük a beérkező spam üzenetek számát. 

 

Interaktív szemléltetés: 

https://talosintelligence.com/ebc_spam  

https://www.spamhaus.com/threat-map/ 

 

Források: 

https://www.kurt.hu/spamellenes-vilagnap/ 

https://kamaraonline.hu/junius-23-a-spam-ellenes-vilagnap-de-mi-is-az-a-spam/ 

https://www.cert.hu/keretlen-levelek-spam-ek 

Iratkozzon fel hírlevelünkre!



    (*)



    Android vs ios

    Android vs ios

    Nem könnyű eldönteni, hogy melyik mobil operációs rendszer a biztonságosabb. Mindegyik mellett szólnak érvek és ellenérvek is. Az alábbiakban megnézzük, melyik operációs rendszer miért jó és miért nem. A célunk az, hogy segítsünk eldönteni az olvasó számára azt a nehéz kérdést: vajon melyik operációs rendszer a biztonságosabb? 

    Régebben a kiberbűnözők inkább az asztali gépekre, valamint a laptopokra fókuszáltak. Manapság viszont azt lehet megfigyelni, hogy egyre több támadás éri az okostelefonokat, tableteket is. Ezért lehet érdekes kérdés, hogy melyik mobil operációs rendszer a biztonságosabb a fent említett kettő közül.  

    Vélhetően azért tartják az iOS operációs rendszert biztonságosabbnak – vagy azért állítja az Apple –  hogy az iOS biztonságosabb, mert egy zárt operációs rendszerről beszélünk, ahol nem láthatják a fejlesztők a forráskódokat, az eszköz erőforrásaihoz a hozzáférés egy szigorúan szabályozott API-n keresztül történik az applikációk számára. Valamint a felhasználók sem módosíthatják (egykönnyen) a rendszer kódjait. A másik érv az iOS mellett az, hogy a kiadott frissítések minden támogatott eszközhöz eljutnak. Ezzel szemben az Android rendszere nyílt-forráskódú, és a rendszert bármely gyártó licenszelheti és személyre szabhatja azt. A fejlesztők szabadon hozzáférhetnek a rendszer kódfájljaihoz. Ebből az is következhet, hogy némelyik fejlesztő még gyengíthet is az Android biztonságán. Természetesen, főleg nagy és neves gyártóknál, ez épp fordítva is lehet. A fejlesztők épp növelhetik is a rendszerek biztonságát, illetve gondoskodnak arról, hogy a frissítések mihamarabb eljussanak az eszközökre. 

    A másik lehetséges probléma az, hogyha új frissítést ad ki a Google az Android-ra, akkor abban a hackerek egyből megpróbálhatják megkeresni a biztonsági réseket. Az Androidot azért is célozzák jobban a hackerek, mert olcsóbb infrastruktúra kell a kártékony kód fejlesztéséhez és a malware teszteléséhez. Ráadásul összességében több eszközön fut Android operációs rendszer, mint iOS. 

    A legfontosabb dolog a felhasználók számára az, hogy mindig tartsák naprakészen az operációs rendszert. Teljesen mindegy, hogy Android vagy iOS, az elavult operációs rendszereken folyamatosan nő a kockázat egy új, kihasználható sérülékenység felfedezésére és publikálására. Ebben a hackerek naprakészek és azonnal elkezdik ezen gyengeségek kihasználását. Tehát legyünk gyorsabbak és mindig a lehető leghamarabb telepítsük a frissítéseket eszközeinkre. 

    A másik, szintén fontos dolog az, hogy csak olyan szoftvereket telepítsünk, amelyek megbízható forrásból származnak, legyen a felhasználónak Android vagy iOS alapú eszköze. 

    A harmadik pedig, hogy ha valami túl szép ahhoz, hogy igaz legyen, az valószínűleg átverés. 

    Manapság egyre elterjedtebbek a social engineering támadások. A támadó célja többnyire a haszonszerzés. Ide tartoznak például a phishing e-mailek, sms-ek és telefonhívások is. Ezekben az esetekben nem számít, hogy az illető milyen operációs rendszert használ az eszközén.   

    Összességében azt mondhatjuk, hogy nem lehet kategorikusan kijelenteni, hogy melyik mobil operációs rendszer biztonságosabb. Ugyanakkor kisebb fenyegetettségnek vannak kitéve azok a felhasználók, akik tudatosan használják eszközeiket. Az ő esetükben mindegy, hogy melyik operációs rendszert használják, mert rendszerük naprakész, megnézik, hogy mikor, hova, mire kattintanak. Így kevesebb az esély arra, hogy áldozatul essenek egy támadásnak.  

    Szerző: Szalka Marcell

    Iratkozzon fel hírlevelünkre!



      (*)



      klímabomba, avagy itt soha nem árad

      klímabomba, avagy itt soha nem árad

      Klímabomba

      avagy "Itt soha nem árad"

      Mára már bekebelezett minket az online világ, melyben a vállalatok informatikai rendszerei a folyamatos fejlesztéseknek köszönhetően egyre inkább túlterhelődnek, veszélyeztetve ezzel az üzletfolytonosságot. (BCM – Business Continuity Management) 

      A fokozódó versenyhelyzet, a technológiai fejlődés, az összetett beszállítói és partnerkapcsolatok, üzemzavarok, rendszerleállások, számítógépes vírusok, valamint az egyre gyakoribb természeti katasztrófák csak bővítik a veszélyforrások listáját, ezek pedig gyakran felkészületlenül érik a szervezetet. 

      Számos cikk jelent meg arról, hogy a World Trade Center 2001-ben bekövetkezett katasztrófája után csak azok a cégek tudták folytatni működésüket, melyeknek volt üzletfolytonossági tervük. 

      Általánosságban elmondható, hogy a hardver és/vagy rendszerhibák az esetek ~40-55%-ában, az emberi hibák ~25-36%-ban, szoftverhibák ~10-20%-ban fordulnak elő. 

      Amennyiben egy szolgáltatás folyamatossága bármilyen probléma miatt megszakad, és az elvárt helyreállítási időn belül sem indítható újra, az jelentős anyagi és reputációs veszteséget okozhat, komolyabb adatvesztéssel együtt pedig akár a vállalat megszűnéséhez is vezethet. Sokan beleesnek abba a hibába, hogy úgy gondolják: „Velem ez nem történhet meg.” Pedig sajnos egy, hackertámadásra, informatikai hibára senki sem számít előre. Ahogy egy terrortámadásra sem. 

      Ezután jön a kérdés: „Most mit csináljunk?” 

      Ilyen helyzetek elkerülésére, vagy kezelésére szükséges egy terv (BCP – Business Continuity Plan) kidolgozása -biztosítva ezzel egy keretrendszert a működéshez-, hogy a vállalat továbbra is a tőle elvárt és megszokott minőségben tudja nyújtani az adott szolgáltatást, megvédve az érdekelt felek érdekeit, a márkanevet és a hírnevet. Lényegében felkészítés a szervezetnek olyan rendkívüli események kezelésére, amelyek egyébként akadályoznák céljainak elérésében. A kidolgozott stratégiának leginkább olyan területekkel kell foglalkoznia, melyek kiesése jelentős károkat, működésbeli zavarokat okozhat. 

      Meg kell határozni a kritikus folyamatokat, és az IT rendszerek zavartalan működéséhez szükséges erőforrásokat, valamint azokra helyreállítási terve(ke)t (DRP – Disaster Recovery Plan) kell készíteni. Ezek gyakorlati tesztelése során látható át tisztán, hogy a terv jól lett e felépítve, és egy nem várt esemény bekövetkezése esetén alkalmazható is. 

      A legtöbb cég esetében az anyagi ráfordítás miatt válik szükségtelenné az üzletfolytonosság biztosítása, pedig a katasztrófa elkerülésével sokkal kisebb kiadással lehetne számolni, mint a hirtelen bekövetkező problémák hatásainak következményeivel. 

      Mindemellett egy jól kialakított keretrendszer a mindennapokban biztosítja a nyugodt vállalati légkört, így nem kell rettegni a várható veszélyektől, hisz az előre gondolkodással és felkészültséggel a katasztrófák elkerülhetők. 

      A katasztrófák közül kiemelendő a természeti, azaz a szélsőséges időjárás, amelynek sokak szerint nincs köze az üzletmenet folyamatosságához, pedig egyre gyakoribb és egyre súlyosabb szintű eseményeket produkál. 

      A BCI (üzletfolytonossági intézet) kiadta az „Extreme Weather and Climate Change 2022” jelentést, melyben a résztvevők a zord időjárás legfőbb hatásaként a személyzet kieséséről (62,5%) számoltak be, ezt követi az áramkimaradás (60,8%) és a létesítmények elvesztése (54%). Ezek jelentős hatással bírnak egy szervezet számára, mivel három olyan kulcsfontosságú eszközt érintenek, amelyek hiánya súlyosbítaná a kritikus folyamatokat. 

      Egy másik tényező a személyzet moráljára gyakorolt hatás: Olaszországban például a munkáltatónak nem kell munkabért fizetni, ha a dolgozók nem tudnak eljutni a munkahelyükre, vagy késnek a zord időjárás miatt.  

      /Simmons & Simmons (2018)/ 

      üzletfolytonossági terv

      Az éghajlatváltozás okozta kihívásokat a médián keresztül is egyre gyakrabban hallhatjuk-láthatjuk, ami arra késztetheti a szervezetek felső vezetőit, hogy elkezdjék mérlegelni az éghajlatváltozással kapcsolatos hosszabb távú kockázat következményeit. A 2021-es németországi árvizek valóban a súlyos éghajlatváltozás általi események közé sorolható, a világsajtó pedig a német kormányt bírálta, amiért nem készült fel jobban a szélsőséges időjárási helyzetekre.  

      https://www.bbc.com/news/world-europe-57890650 

      Ezek a jelentés legfontosabb megállapításai, mert megmutatják, hogy a klímaváltozás milyen hatással van már most a mindennapi üzletmenetre. Kiemelendő, hogy a természeti katasztrófák az egyik fő oka annak, hogy az üzletfolytonosság egy önálló tudományággá vált. 

      A modern szervezetek nem tudnak működni anélkül, hogy ne foglalkoznának az őket körülvevő természeti ökoszisztémák viselkedésével. Ha ezt nem vesszük észre, az egyszerűen egy hanyag és etikailag aggályos stratégia. 

      Egy interjúalany kiemelte, hogy szervezetük hogyan végezte el az üzletfolytonossági tervek konkrét gyakorlását a szélsőséges időjárási események szempontjából fokozottan veszélyeztetett területeken.  

      üzletfolytonossági terv

      „Visszatekintettünk azokra a történelmi eseményekre, amelyek az adott helyeken történtek, és az adott kockázatokra jellemző üzletmenet-folytonossági eseményeket állítottunk fel. Néhány visszajelzés, amit kaptunk, az volt, hogy “ez itt soha nem fog megtörténni”. Földrajzilag ez Limában volt.  

      Fotó: Ernesto Benavides/AFP/Getty Images. 

      Úgy gondolták, hogy ők 500 láb magasan vannak a tengerszint felett, és ott soha nincs árvíz. 

      Én pedig azt mondtam: “1997-ben megtörtént. Szóval megtörténhet ez újra? 2017-ben újra meg is történt. 70 emberéletet követelt, és több ezren kényszerültek elhagyni lakóhelyüket.” Azt tapasztaltam, hogy sok szervezet már nem emlékszik vissza, pedig a tanulságok levonása érdekében fontos lenne. Úgy gondoltuk, hogy jó ötlet egy kihívást intézni a helyi csapatokhoz, hogy vizsgálják meg ezeket az eseményeket. Ugyanezt a szemléletet kaptuk vissza. Például Németországban. Korábban a BC-csapatok azt mondták nekünk, hogy “soha nem árad”. Aztán láthattuk mi történt. Úgy gondolom, hogy ez a visszamenőleges kockázat segítheti az előretekintő kockázatkezelést és a BC-tervezést”. 

      (Kockázatkezelési vezető, Egyesült Államok) 

      A csoport munkáját végül elismerték, és meg is tapsolták. 

      A kiadott jelentésben szereplő szervezetek kevesebb mint fele (47,2%) foglalkozik aktívan az éghajlati kockázati kérdésekkel, míg nagyjából egynegyedük (23,9%) azt állítja, hogy bár azonosították a kockázatot, de még nem tettek semmilyen intézkedést. Tekintettel azonban a jelentésben már kiemelt kockázatokra, aggodalomra ad okot, hogy a válaszadók 25,0%-a valamilyen szervezet, melyek egy része (20,0%) vagy nem azonosította az éghajlati események 

      kockázatát, vagy egyáltalán nem is tárgyalnak a témáról (5,0%). 

      A szélsőséges időjárás hatása az ellátási láncoknál is érzékelhető, hiszen egész vállalkozásokat is leállíthat. Közel minden tizedik (8,8%) válaszadó számolt be arról, hogy több beszállító felszámolta a cégét, miután az időjárás tönkretette az üzletét. Késett a beszerzés a szállítási útvonalak elszakadása vagy a beszállító üzemének leállása miatt, ezáltal emelkedett a beszállítás ára és sokszor az árukat fel kellett halmozniuk. 

      A klímakockázati stratégia kialakításának továbbra is első sorban a pénzhiány az akadálya, második helyen az időhiány szerepel. A szakemberek nagy része viszont örömmel venné az éghajlati kockázati stratégiák elfogadását, sőt, jogszabályi követelménnyé is tenné. 

      Emellett javasolják az éghajlatváltozással kapcsolatos intézkedések kidolgozását, beépítését a jelenlegi tervekbe, anyagi vonzatát nézve pedig úgy tekintsünk rá, mint egy új marketingköltségvetésre, melynek eredménye nem azonnal látható, de a vállalat jövőjét hosszú távra biztosíthatja. 

       

      Szerző: 

      Majorné Balla Beáta 

      Iratkozzon fel hírlevelünkre!



        (*)



        GYEREKNAP ADATVÉDELMI SZEMPONTBÓL

        GYEREKNAP ADATVÉDELMI SZEMPONTBÓL

        GYEREKNAP adatvédelmi szempontból

        Minden évben nyárindító fesztivál a gyereknap, mely során rengeteg programmal készülnek faluban s városban egyaránt. A szülőknek sokszor segítség a sok esemény, amely varázslatos vidámsággal kényezteti gyermekét és végre nem tévét, számítógépet vagy éppen tabletet néznek a kölykök, hanem viháncolhatnak a szabadban.  

        Modern világunkban egyre gyakoribb a virtuális világban való lét, sőt a mai kor gyermekének annyira természetes már, mint görögdinnyét enni télvíz idején. A technológia fejlődés folyamatos, sok hasznos, életmentő és könnyítő találmánnyal, de sajnos életeket tönkre is tehető bűnözői tevékenységekkel is.  

        Adatvédelmileg gyermekeink (kiskorú gyermek adatai különösen) személyes adatainak kiemelt védelme a mi feladatunk: Szülőké. Online, illetve személyes jelenlétet igénylő játékok, rendezvények, egyéb események alkalmával, ha gyermekünk személyes adatainak kezelésére kerül sor (fokozottan védendő), mindig kérjünk a szervezőtől, rendezőtől hozzájárulást az adatkezeléshez. Ebben az esetben a gyermek személyes adatai csak hozzájárulásunkkal és az abban szereplő célból használható. Hozzájárulásunk önkéntes, de fontos tudni, hogy érintettként azt bármikor visszavonhatjuk. 
         
        Személyes jelenlétet igénylő események kapcsán mindig győződjünk meg róla, hogy az eseményen készül(het) kép, képmás és videó, amely alapján gyermekünk beazonosítható. Ezen anyagokat szintén csak hozzájárulásunkkal használhatják fel marketing és PR célokra. 

        Az online játékok világa még a legszigorúbb szülők idegeit is próbára teszi, hiszen a gyermekek egymástól látják, hallják ezen programok létezését. Míg korábban felnőtteknek szóló számítógépes játékok lepték el a piacot, ma már óvodásoknak szóló rettenetes mennyiségű applikáció tölthető le. A leggyakoribb kérdés ilyenkor a felnőttekben: Melyik program a biztonságos? Mit szabad letölteni? Hol kapok erre biztos választ? 

        Az online játékok esetében magyarázzuk el gyermekünknek, hogy csak biztonságos kapcsolaton keresztül használja azokat, a sütik (cookiek) esetében csak a legszükségesebbeket fogadja el, ne az összeset. A sütik is gyűjtenek személyes adatokat üzleti célra. Legyünk tisztában mi és gyermekünk is, hogy a számítógép használatakor a gép IP címe (Internet-Protocol), ami egy hálózati azonosító tárolásra, mentésre kerül. Az IP cím pedig adatvédelmileg személyes adatként kezelendő. 

        Az online játékok világa még a legszigorúbb szülők idegeit is próbára teszi, hiszen a gyermekek egymástól látják, hallják ezen programok létezését. Míg korábban felnőtteknek szóló számítógépes játékok lepték el a piacot, ma már óvodásoknak szóló rettenetes mennyiségű applikáció tölthető le. A leggyakoribb kérdés ilyenkor a felnőttekben: Melyik program a biztonságos? Mit szabad letölteni? Hol kapok erre biztos választ?  

        Minden alkalmazás esetén egyedi döntést kell hozni, azonban néhány adatvédelmi szabály betartásával és gyermekeink tudatosításával már sokat tehetünk a biztonságos internethasználatért. 

        • Mindig hiteles forrásból származó online alkalmazást töltsünk csak le 
        • Használjuk a szülő felügyeletet, ne engedjünk gyermekünknek letölteni semmit 
        • Érdemes felhívni a gyermek figyelmét a licenszelt applikációk használatára a kalózverziókkal szemben, hiszen néhány cégnek, embernek ez az élete munkáját is jelentheti, amihez az applikáció megvásárlásával hozzájárulhatunk 
        • A letöltéshez külön google/apple fiókot használjunk, ne azt, amit pl. a saját levelezésünkhöz használunk. 
        • Mindig ellenőrizzük, hogy mihez kér az alkalmazás engedélyt, hozzáférést (kamera, mikrofon, galéria, címjegyzék, névjegyek, telefon, stb.), és ha „józan paraszti ésszel” nem tartjuk ezt a játék/alkalmazás szempontjából szükségesnek, inkább ne töltsük le, keressünk másikat. 
        • Ha fiók létrehozását kéri az alkalmazás, regisztráció, belépés után, ellenőrizzük a biztonsági beállításait. Amennyiben lehetőség van rá, rejtett/titkos fiókot állítsunk be, és ne legyen lehetősége „bárkinek” felvenni a kapcsolatot a gyermekkel. 

         

        Gyerekünket nem tilthatjuk le az online játékok használatától, viszont mindent meg kell tennünk szülőként, hogy megtanítsuk a tudatos internethasználatra. 

        Amennyiben információbiztonsági tanácsadásra van szüksége a szervezetében, bátran keressen bennünket a Kapcsolat menüpontra kattintva vagy IDE.

        adatvédelem gyerekek
        Iratkozzon fel hírlevelünkre!



          (*)



          Hol van az információbiztonság helye a szervezetben?

          Hol van az információbiztonság helye a szervezetben?

          Bármelyik szervezet esetében felmerülhet a kérdés, akár van képviselve az információbiztonság, akár kialakítás előtt áll, hogy az milyen formában tud jól működni a vállalatnál. Ha az információbiztonságért felelős vezető vagy szakember a szervezetben nem a megfelelő pozícióban van, akkor sérül a biztonság érvényesülése, mint kiemelt szempont. Így a cég vezetése adott esetben, nem ismerve a teljes kockázati képet, rossz döntéseket hozhat.

          Minden szervezet egyre inkább informatikai rendszerekre építi működését, az új trendek, az automatizálás, a felhős megoldások használata esetén ez különösen igaz. Ha cég működése alapvetően az információtechnológiára épül, a támadások valószínűsége nagyobb, és akár végzetes következményei lehetnek egy-egy incidensnek, mivel a kibertámadások egyre olcsóbban és nagyobb hatással kivitelezhetőek. Mindemellett az információbiztonság nem csak technológiai kérdés, megfelelő szervezeti elkötelezettség és támogatás nélkül a hatékonysága a kockázatok kezelésében szűk fókuszú és reaktiv lesz.

          Amennyiben nincs az információbiztonsági vezetőnek/felelősnek a lehető legjobb szervezeti rálátása a legmagasabb üzleti prioritásokra, nincs közvetlen kapcsolódása a legfelsőbb vezetéshez, akkor szintén a biztonsági szempontok érvényesítése nagy mértékben sérülhet. Ez középtávon a teljes cég szempontjából nem megfelelően pozicionált és kezelt kockázatok miatt nagységrendileg nagyobb pénzügyi hatású incidensek, reputációs veszteségek, akár bírságok keletkezhetnek.

          Az információbiztonsági vezető/felelős a teljes szervezet biztonságát hivatott szem előtt tartani, és ha egy adott funkcionális terület alatt van (pl. IT, üzemeltetés), akkor annak a területnek a vezetőjével érdekellentét állhat fent (rövid távú költségcsökkentés hosszú távon drága lehet), ami hátráltatja a valós kockázatok tényleges feltárását és kezelését. Az információbiztonság megfelelő pozíció híján maximum utólagos hibáztatásra lesz alkalmas, nem pedig hatásos közreműködésre.

          A biztonság a szervezet dolgozói és az ügyfelek felé vállalt hatalmas felelősség, amelynek tudatában kell lennie mind a felső vezetésnek, mind az összes dolgozónak. Az információbiztonsági vezető/felelős szervezeti pozíciója azt mutatja meg házon belül is kívül is, hogy a szervezet mennyire gondolja komolyan a biztonságot. A megfelelő pozíció híján patthelyzetek alakulnak ki, adott esetben a rövidtávú üzleti érdekekkel még ütköztetni sem sikerül a biztonsági megfontolásokat (nem egy ligában játszik a biztonság az üzlettel), ami visszaüt, nem mellesleg elvesztegetett pénzbe és időbe kerül a cégnek, a nem kezelt hiányosságok incidenshez vezetnek.

          A nemzeti létfontosságú rendszerek esetében a 2013. L törvény írja le az információs rendszer információbiztonságáért felelős (IBF) személlyel kapcsolatos elvárásokat, a szervezeti hierachiára vonatkozóan is megemlíti: “13. § (1) Az elektronikus információs rendszer biztonságáért felelős személy feladata ellátása során a szervezet vezetőjének közvetlenül adhat tájékoztatást, jelentést…

          A feltételes módban való fogalmazás ugyan nem jelent kötelezettséget, illetve józan gondolkodás alapján tudjuk csak értelmezni, hogy olyan hierarchia kialakítása célszerű, amelyben elkerülhető, hogy az IBF ellenőrzése alá vont területek vezetői utasítási jogkörrel rendelkezzenek felette. Ezen értelmezés „AZ IBTV. GYAKORLATA – Éves továbbképzés az elektronikus információs rendszer biztonságáért felelős személy számára 2020” rendezvény anyagában található meg. Szerzők: BÓDI ANTAL – JERABEK GYÖRGY – KRASZNAY CSABA – TÓTH KORNÉL

          Jógyakorlatként külső megbízással is lehet foglalkoztatni megfelelő kompetenciával bíró személyt IBF-ként. Gyakran választanak nagyobb szervezetek is külsős IBF-et a megfelelő kompetencia miatt, illetve mert a saját képzési és járulékos költségek magasak. Továbbá a szervezeten kívül jobb rálátással rendelkezhet, pártatlansága és függetlensége is könnyebben biztosítható.

          Szerző: Panyi Zsolt

          Amennyiben információbiztonsági tanácsadásra van szüksége a szervezetében, bátran keressen bennünket a Kapcsolat menüpontra kattintva vagy IDE.

          Iratkozzon fel hírlevelünkre!



            (*)