HOL VAN AZ INFORMÁCIÓBIZTONSÁG HELYE A SZERVEZETBEN?

Bármelyik szervezet esetében felmerülhet a kérdés, akár van képviselve az információbiztonság, akár kialakítás előtt áll, hogy az milyen formában tud jól működni a vállalatnál. Ha az információbiztonságért felelős vezető vagy szakember a szervezetben nem a megfelelő pozícióban van, akkor sérül a biztonság érvényesülése, mint kiemelt szempont. Így a cég vezetése adott esetben, nem ismerve a teljes kockázati képet, rossz döntéseket hozhat.

Minden szervezet egyre inkább informatikai rendszerekre építi működését, az új trendek, az automatizálás, a felhős megoldások használata esetén ez különösen igaz. Ha cég működése alapvetően az információtechnológiára épül, a támadások valószínűsége nagyobb, és akár végzetes következményei lehetnek egy-egy incidensnek, mivel a kibertámadások egyre olcsóbban és nagyobb hatással kivitelezhetőek. Mindemellett az információbiztonság nem csak technológiai kérdés, megfelelő szervezeti elkötelezettség és támogatás nélkül a hatékonysága a kockázatok kezelésében szűk fókuszú és reaktiv lesz.

Amennyiben nincs az információbiztonsági vezetőnek/felelősnek a lehető legjobb szervezeti rálátása a legmagasabb üzleti prioritásokra, nincs közvetlen kapcsolódása a legfelsőbb vezetéshez, akkor szintén a biztonsági szempontok érvényesítése nagy mértékben sérülhet. Ez középtávon a teljes cég szempontjából nem megfelelően pozicionált és kezelt kockázatok miatt nagységrendileg nagyobb pénzügyi hatású incidensek, reputációs veszteségek, akár bírságok keletkezhetnek.

Az információbiztonsági vezető/felelős a teljes szervezet biztonságát hivatott szem előtt tartani, és ha egy adott funkcionális terület alatt van (pl. IT, üzemeltetés), akkor annak a területnek a vezetőjével érdekellentét állhat fent (rövid távú költségcsökkentés hosszú távon drága lehet), ami hátráltatja a valós kockázatok tényleges feltárását és kezelését. Az információbiztonság megfelelő pozíció híján maximum utólagos hibáztatásra lesz alkalmas, nem pedig hatásos közreműködésre.

A biztonság a szervezet dolgozói és az ügyfelek felé vállalt hatalmas felelősség, amelynek tudatában kell lennie mind a felső vezetésnek, mind az összes dolgozónak. Az információbiztonsági vezető/felelős szervezeti pozíciója azt mutatja meg házon belül is kívül is, hogy a szervezet mennyire gondolja komolyan a biztonságot. A megfelelő pozíció híján patthelyzetek alakulnak ki, adott esetben a rövidtávú üzleti érdekekkel még ütköztetni sem sikerül a biztonsági megfontolásokat (nem egy ligában játszik a biztonság az üzlettel), ami visszaüt, nem mellesleg elvesztegetett pénzbe és időbe kerül a cégnek, a nem kezelt hiányosságok incidenshez vezetnek.

A nemzeti létfontosságú rendszerek esetében a 2013. L törvény írja le az információs rendszer információbiztonságáért felelős (IBF) személlyel kapcsolatos elvárásokat, a szervezeti hierachiára vonatkozóan is megemlíti: „13. § (1) Az elektronikus információs rendszer biztonságáért felelős személy feladata ellátása során a szervezet vezetőjének közvetlenül adhat tájékoztatást, jelentést…„

A feltételes módban való fogalmazás ugyan nem jelent kötelezettséget, illetve józan gondolkodás alapján tudjuk csak értelmezni, hogy olyan hierarchia kialakítása célszerű, amelyben elkerülhető, hogy az IBF ellenőrzése alá vont területek vezetői utasítási jogkörrel rendelkezzenek felette. Ezen értelmezés „AZ IBTV. GYAKORLATA – Éves továbbképzés az elektronikus információs rendszer biztonságáért felelős személy számára 2020” rendezvény anyagában található meg. Szerzők: BÓDI ANTAL – JERABEK GYÖRGY – KRASZNAY CSABA – TÓTH KORNÉL

Jógyakorlatként külső megbízással is lehet foglalkoztatni megfelelő kompetenciával bíró személyt IBF-ként. Gyakran választanak nagyobb szervezetek is külsős IBF-et a megfelelő kompetencia miatt, illetve mert a saját képzési és járulékos költségek magasak. Továbbá a szervezeten kívül jobb rálátással rendelkezhet, pártatlansága és függetlensége is könnyebben biztosítható.

Szerző: Panyi Zsolt