13 téves mítosz az IT-biztonsággal kapcsolatban

Az IT-biztonság megteremtésének leghatékonyabb fegyvere a megfelelő szemlélet. Ennek hiányában mindenki úgy küzd a saját IT-biztonságának megteremtéséért, ahogy azt jónak hiszi.

Ki a legfrissebb szoftverekkel, ki fizikai akadályokkal, ki már-már a munka hatékonyságát rontó biztonsági előírások szigorú betartatásával, vagy éppen széles körben elterjedt, téves mítoszokra hagyatkozva. Lássuk melyek ezek!


1. Az IT-biztonsági kockázat valami más, mint a többi.
Téves. Ez is ugyanolyan, mint minden, a cégünket fenyegető kockázat, legyen szó a szellemi tulajdon vagy a versenyképesség megóvásáról, alkalmazottaink biztonságáról. Mindegyikre egyforma mértékű, kiemelt figyelmet kell, hogy fordítson egy adott cég vezetése. A kiberbiztonsági kockázatok többi kockázattól való elszigetelt kezelése félrevezet minket.

2. A IT-biztonság csak a számítástechnikai osztályra tartozik.
Ha az IT-biztonság kezelését kizárólag a számítástechnikai osztályra bízzuk, akkor számtalan támadási felületet hagyunk őrizetlenül. A kiberbiztonság kérdése átnyúlik a vállalat különböző osztályai és részlegei felett. Ha az adataink digitalizálva vannak, akkor mindenre oda kell figyelni velük kapcsolatban, kezdve a pontosságuktól a sértetlenségükön át a megfelelő elérhetőségükig. A kiberbiztonság mindenek felett áll egy szervezetben, kezdve az adatközponttól a fiókirodákon át az utolsó mobileszközig.

3. Elég magunkat védeni.
Egy szervezetnek oda kell figyelnie arra is, miként védi magát az adott iparági vagy üzleti közösség többi tagja. Az utóbbi évek legtöbb nagy adatlopási botrányában olyan nagyvállalatok voltak kárvallottak, amiket valamelyik kisebb beszállítójukon keresztül támadtak meg. Bárki kockázati tényező lehet cégünk gazdasági holdudvarában, legyen szó alvállalkozókról, terjesztőkről, könyvelőcégekről, vagy más partnerekről. IT-biztonságunk csak annyira erős, amilyen az adott közösség leggyengébb láncszeme, és ez a láncszem gyakran „kerítésen” belül található.

4. A digitális biztonság és a fizikai biztonság két külön dolog.
Egyre több, mindennap használt fizikai eszköz kapcsolódik össze digitálisan: az irodánk dolgozóit nap mint nap szállító tömegközlekedéstől kezdve irodaházunk liftjéig. Ma már mindennaposnak mondható, hogy a támadók az ezeket az eszközöket irányító programokat célozzák, ami katasztrofális következmények kockázatát hordozza magában.

5. Megszűnik a kockázat, ha visszatérünk a papíralapú rendszerre, vagy lekapcsoljuk magunkat az internetről.
Aki így gondolkodik, nem csak a hatékonyságát és a produktivitását rontja, de sokkal sebezhetőbbé is válik. Például nem biztos, hogy észrevesszük, ha értékes adatokat tartalmazó papírjainkat valaki lefénymásolja, vagy egyszerűen elviszi. Az internettől fizikailag leválasztott rendszerek pedig sebezhetőbbé válhatnak, mert az ezzel járó kényelmetlenségek miatt ritkábban frissítik és foltozzák be esetleges biztonsági réseit. Az ilyen rendszerek könnyebben és gyakran észrevétlenül válhatnak a támadók prédájává.

6. Szégyen, ha valakit meghekkelnek.
Sokan nem merik bevallani, ha valaki betört a rendszerükbe, félve a megszégyenüléstől. Pedig mindenki sérülékeny, és ha megosztjuk az ilyen eseteket, sokkal könnyebben lehet egymástól tanulni és kiküszöbölni a jövőbeli fenyegetéseket. Manapság csak kétfajta szervezet ismert: azok, akiket már feltörtek, és azok, akiket feltörtek, csak még nem tudnak róla. Egy támadók által kihasznált biztonsági rés meglétének az eltitkolása hosszú távon csak ront a helyzeten.

7. Ha van vírusirtónk, már jók vagyunk.
A vírusirtók utoljára talán az 1990-es évek második felében jelentettek elegendő védelmet. A cyberbűnözők azóta számos egyéb támadási módszert alkalmaznak, ezért manapság már azonnali és állandó fenyegetettségtől kell tartani. Egy vírusirtó önmagában ma már kevés. A kockázatokat csak úgy tudjuk csökkenteni, ha előrelátó hozzáállással készülünk a várható és nem várható fenyegetésekre egyaránt.

8. Az IT-biztonságra költeni muszáj, de kidobott pénz.
Ezt állítani rövidlátásra vall. A biztonságra úgy kell tekinteni, mint egy stratégiai előnyre, ami amellett, hogy védi rendszerünket, a hatékonyságot is növeli és anyagi megtakarítást is jelent. A rendszerek megfelelő integrálásával hozzájárul a szolgáltatások és termékek jobb felhasználhatóságához. Ne tekintsünk úgy rá, mint egy szükséges rossz kiadásra, hanem mint egy adottságra, amivel jobbá tehetjük cégünket, javíthatjuk üzleti pozíciónkat.

9. Velem úgysem történik meg.
Ez a gondolkodás garantálja, hogy igenis meg fog történni, be fognak törni a rendszerünkbe, és ellopják értékes adatainkat. Ugyanennyire nem bölcs dolog teljes mértékben megbízni a biztonsági rendszerben. Nincs tökéletes biztonság. A kulcs a rugalmasság, a képesség arra, hogy elviseljük és képesek legyünk folytatni, ha bekapunk egy támadást. Szervezetünk biztonságát a megelőzésre alapozva érdemes kialakítani, és a támadásokra, mint olyan lehetőségekre kell tekinteni, amik segítenek feltárni sérülékenységeinket, és így hozzájárulnak ahhoz, hogy a jövőben védettebbek legyünk.

10. Nincs nálam semmi értékes, amit ellophatnának.
Minden adat értékes, és mindenkinek vannak saját védendő adatai, legyenek ezek személyes vagy céges adatok.

11. A kis- vagy közepes vállalkozásokat nem fenyegeti veszély.
Éppen ellenkezőleg. A támadók könnyű prédának tekintik a kisebb cégeket, mert úgy vélik, nem költenek eleget a saját biztonságukra. Minden érdekelheti a bűnözőket: céges-, banki- vagy ügyféladatok, esetleg csak rajtuk keresztül próbálnak meg nagyobb halakhoz bejutni, kiaknázva a valamilyen szolgáltatással összekapcsolt rendszereket vagy e-mailes kapcsolatokat.

12. A biztonság számszakilag mérhető dolog.
Mai, gyakran a számok bűvöletében élő kultúránkból fakadóan azt feltételezzük, hogy mindenhez odarendelhetünk egy értéket. Így a kiberbiztonsági kockázat mértékét is számszerűsíthetjük, és gyakran elvárjuk az ezzel foglalkozó kollégáktól, hogy egy Excel-táblával igazolják a biztonság megteremtésére szánt költségvetési igényüket. Ezt úgy kerülhetjük el, ha megállapítjuk, mit lehet és mit nem lehet az IT-biztonságban számszerűsíteni, és ha a kockázat mértékének kifejezésére egy nem számokon alapuló értékelőrendszert próbálunk kidolgozni.

13. Védelmünk kulcsát a szoftverek jelentik.
A jó szoftverek alkalmazása elengedhetetlen a kibertámadások kivédése és az esetleges károk enyhítése során, de önmagukban nem elegendők. Adataink biztonságára a legnagyobb veszélyt az emberi tényező jelenti. Munkatársainkat is megfelelően fel kell készíteni, hogy tisztában legyenek a szervezetre leselkedő fenyegetésekkel, kockázatokkal.


Ajánlott bejegyzés:

Négy technikai megoldás, ami elengedhetetlen vállalkozása számára

Vírusvédelem és -szűrés

 

CÍMKÉK: biztonság, mítosz