SecureTrends - ComputerTrends magazin 2024.06.06.

More documents

Recommendations

Info

ANGYAL DÁNIEL üzletfejlesztési vezető, Scirge SECURETRENDS A felhasználói biztonsági tudatosság részvétel Bár évek óta zengi a biztonságtechnikai ipar, hogy a felhasználói tudatosság a legolcsóbb és leghatékonyabb eszköze az incidensek megelőzésének, az üzleti logika ennek sokszor pont az ellenkezőjében érdekelt. A biztonságtechnikai gyártók egyre komplexebb „platformizált” rendszereket, Concorde-effektust létrehozó beszállítói függőségeket és felhőből érkező „veszély-intelligenciára” alapuló előfizetéseket szeretnek értékesíteni, amelyek eredményessége bár nem kétséges, de mégis nagyon nehezen mérhető szilárd alapokon. Előremutató, hogy szemben a korábbi ajánlások és szabványok felületes iránymutatásaival, a NIS2 – egyelőre nem végleges – kontroll-listájában kifejezetten részletes elvárásokat fogalmaztak meg a hatékony képzések kapcsán, bár ezen elvárásoknak nagy része sajnos (jelen állás szerint) még a legmagasabb „Biztonsági osztály” mellett sem kötelező. Üdítő ellenpélda a „3.9. Szerepkör alapú biztonsági képzés” és azon belül is a 3.9.3-as kontrollpont, amely viszont mindenki számára elvárás: „Beépíti a belső vagy külső biztonsági eseményekből levont tanulságokat a szerepköralapú biztonsági képzésekbe.” A „szerepköralapú” megfogalmazás implikálja, hogy eltérő jogosultsági szintekhez vagy üzleti funkciókhoz, szervezeti szerepekhez tartozzanak eltérő tematikák. Ennél még fontosabb, hogy a képzés a szervezetben tényleg felmerülő fenyegetettségek és események figyelembevételével, azokra visszautaló tematikával történjen. A biztonsági oktatás mindezek ellenére a legtöbbször évi néhány találkozási pont esetében inkább egy kötelező rossz tananyagnak tűnhet a szakmán kívülieknek. Ráadásul, mérés nélkül teljesítmény-indikátorokat sem egyéni, sem szervezeti szinten nem tudnak befolyásolni. Oktatás helyett részvétel A helyes megközelítés véleményem szerint két alappillérből áll: egyrészt a munkatársak bevonása az őket személy szerint érintő biztonsági kérdések teljes életciklusába, másrészről pedig a személyes teljesítményük valamilyen egzakt mérése. Amennyiben például a helyes jelszóhasználat általános praktikái és komplexitási szabályai helyett mindenkit a saját maga által létrehozott accountok és jelszavak biztonságára figyelmeztetünk, (vagy megkérdezzük, hogy bekapcsolták-e az MFA-t egy külső portálon), nagyobb esélyt látok rá, hogy azzal tényleg kezdjenek valamit. Ezt ráadásul viszonylag könnyen mérhetővé is tehetjük a felderitett jelszavak gyenge jelszavak számossága alapján. Ugyanilyen módon, ha az adatkezelési alapelvek oktatása helyett megkérdezzük őket, milyen személyes adatokkal dolgoznak egy-egy olyan konkrét alkalmazásban, amit személy szerint gyakran használnak, több értékes információt kaphatunk a tényleges üzleti folyamatokról. Ráadásul talán megfontoltabb adatkezelési döntésekre késztethetjük őket a következő alkalommal, amelyet a DLP rendszerek riasztásai is kiválóan visszamérhetnek. A személyre szabott és szerepkör-alapú oktatás tehát feltételezi, hogy mi is rendelkezünk némi információval arról, mit csinál általában az adott munkatársunk, milyen kockázatokat hordozhat a tevékenysége és hogyan tudjuk erre felhívni a figyelmét. Abban a pillanatban, hogy ezek alapján adunk (vagy kérünk) visszajelzést, az oktatás kétirányú kommunikációvá változik. Házi feladat megoldások helyett olyan tevékenységekre kérhetjük meg őket, amelyek folyamatában javítják a vállalatot érintő kockázatokat. Cégenként eltérő megoldások és technológiák lehetnek erre alkalmasak, de az egészen biztos, hogy a felhő helyes használata és a jelszóhigiénia két olyan alappillér, amire mindenhol érdemes alapozni. A Scirge személyre szabott oktatófelületén pont erről a két témáról tudunk egy egyedi tartalommal felépített mini-portált üzemeltetni. Sok vállalatnak egy ilyen lépéssel kezdődhet a kollégák bevonása a biztonsági folyamatokba, hogy aktív részvétellel segíthessék a security üzemeltetőket. 18 | <strong>ComputerTrends</strong> | 2024. június
Hogyan lesz üzleti előny a kiberbiztonságból? Folyamatosan érkeznek az új technológiák és ezzel egyidőben a kiberbiztonsági kihívások; a tavalyi és idei évben a mesterséges intelligencia használatának általános elterjedése váltotta ki a legnagyobb hatást. A szervezetek napi szintű működésébe épül be, akár már a mindennapi tevékenységek támogatására vagy kiváltására. Ezzel a megállíthatatlan dinamikával fejlődő területtel, a kiberbiztonsággal szoros együttműködésben, az alapvető informatikai szereplőknek is lépést kell tartania. A mesterséges intelligencia terjeszkedése még inkább megerősíti, miért nem választható el élesen egymástól a kiberbiztonság és a szervezet általános informatikai működése, vallja Somodari Richárd, a 4iG IT biztonsági üzletágvezetője. Kezelhetetlen lenne a nyomás, ha az informatikai védelem minden rétegével kizárólag kiberbiztonsági szakembereknek kellene foglalkoznia. Napjainkra számos védelmi mechanizmus, mint a többfaktoros hitelesítés vagy a szerepkör alapú jogosultságkezelés már beépült az általános informatikai folyamatokba, míg az összetettebb és újonnan megjelenő fenyegetések kezelése a kiberbiztonsági szakértők feladata. Emellett a szegmensnek minden eddiginél nagyobb hangsúlyt kell fektetnie az üzleti érdekek támogatására. A szervezeti működés alapvető pilléreként már a tervezés fázisában jelen kell lennie, elkerülve a legnagyobb költségeket jelentő utólagos implementálási kísérleteket. A kiberbiztonságnak a megvalósítás során a minőségbiztosításban, ezt követően pedig felügyelet biztosításában, az üzemeltetés-támogatásában és ezek folyamatos fejlesztésében is szerepet kell vállalnia. Az üzleti szempontok megfelelő figyelembevételével a felek közötti kiegyensúlyozott kapcsolat vezet az üzleti partnerek elvárásainak való megfeleléshez. A kiberbiztonsági tevékenységeket üzleti előnyként kezelve nem csak általánosan magasabb ellenállóképességet építhet az adott szervezet, hanem piaci pozícióját is erősítő képességgel gazdagodhat. Felismerve a területen jelenlévő kockázatok súlyát, az Európai Unió a kiemelt ágazatokban tevékenységet végző összes jelentősebb vállalatot kötelezi a kiberbiztonság tudatos tervezésére és fejlesztésére, amelynek a fentiekkel összhangban üzleti előnyei is lehetnek. A NIS2 keretrendszernek való megfelelés a szervezetek magasabb kiberbiztonsági érettségi szintre lépését eredményezi, ezáltal az Unió teljes gazdasági környezete ellenállóbbá válik a belső és külső fenyegetésekkel szemben. A magas biztonságtudatossággal rendelkező vállalatok számára a direktíva alapvető újdonságot nem jelent, hiszen a szervezeteknek eddig is jelentős érdeke fűződött az IT-infrastruktúrájuk, hálózataik, alkalmazásaik, adataik, bizalmas és titkos információik, valamint folyamataik védelmének biztosításához. A kiberfenyegetések tekintetében kiemelten kockázatos a beszállítói lánc, a sikeres támadások jelentős része ezeken a csatornákon keresztül valósul meg. Ezáltal az üzleti folyamatokban részt vevő szereplők mindegyikének alapvető érdeke a megfelelő védettség és a kölcsönös bizalom kialakítása. Költséges, komplikált megoldások bevezetésével azonban nem letudható a megfelelőség biztosítása; a direktívának való megfelelés ugyanis több éven átívelő, tudatos tervezés alapján végrehajtott fejlesztést jelent. Megfelelő támogatás esetén a kibervédelmi szakemberek segítségével költséghatékonyan tervezhető és fenntartható a szervezetek üzleti tevékenységét kiszolgáló elektronikus információs rendszerek magas IT-biztonsági tudatossággal való működése. A NIS2 a kritikus fontosságú szervezeteket célozva segíti a kiberbiztonsági szakembereket az üzleti döntéshozók szemléletének formálásában. Modern életünk velejárói a több évtizede kihívást jelentő digitális fenyegetések, melyek formái idővel ugyan változnak, a kiberbiztonsági alapelvek viszont NIS2-től függetlenül állandók. Éppen ezért célszerű a kibúvók helyett a szabályozásban rejlő előnyöket keresni, ha a NIS2 által megkövetelt figyelmet a megfelelő területekre fókuszáljuk, megtalálhatjuk a rendszerben azokat az elemeket, amelyek fejlesztésével hatékonyabb védelmet alakíthatunk ki az egyes támadástípusokkal szemben. A döntéshozókkal együttműködve megalkotott kiberbiztonsági stratégiából méretfüggetlenül profitálhatnak a vállalatok, különösen a kibervédelmi tudatosság alacsonyabb szintjén álló szervezetek, melyek támogatásában a 4iG Csoport ugyancsak részt tud vállalni. A biztonsági szint növelését nem szabad, hogy csak a kényszer motiválja, hiszen a jelentősen csökkenő kockázatokkal nő az adott szervezet megbízhatósága. A felek között kialakuló magasabb bizalmi szint szorosabban integrált együttműködéshez vezet, amivel fokozható a hatékonyság, végső soron pedig az eredményesség. 2024. június | <strong>ComputerTrends</strong> | 19
Page 1 and 2: AZ INFORMATIKA MAGAZINJA 2024 • J
Page 3 and 4: Tartalom 8 4 Idén 15. alkalommal r
Page 5 and 6: Hidakat építünk a technológiai
Page 7 and 8: SECURETRENDS nológiákkal kapcsola
Page 9 and 10: SECURETRENDS A Check Point magyaror
Page 11 and 12: SECURETRENDS forrás: symantec-ente
Page 13 and 14: SECURETRENDS Ha a támadók napokat
Page 15 and 16: SECURETRENDS személyazonosság- é
Page 17: SECURETRENDS hosszadalmas feladat,
Page 21 and 22: SECURETRENDS CT: Van olyan tendenci
Page 23 and 24: SECURETRENDS CT: Vannak jelentős k
Page 25 and 26: SECURETRENDS innovatív kiberbizton
Page 27 and 28: FEJLÉC 2024. június | ComputerTre
Page 30 and 31: Tartalom 8 CÍMLAPUNKON 5 TC2 - SAP
Page 32 and 33: SAP konverzió két lépésben az A
Page 34 and 35: 2024. október 9-10. Inárcs, Flow
Page 36 and 37: AKTUÁLIS szert alakít ki, a megl
Page 38 and 39: Csapatmunka és üzleti szemlélet
Page 40 and 41: TECH/AI IBM watsonx Orchestrate: ú
Page 42 and 43: TECH/AI folyó szöveget gyártson.
Page 44 and 45: TECH/AI donú, magáncélra is hasz
Page 46 and 47: TECH/AI ...és Ashesh Badani, term
Page 48 and 49: TECH/AI nagyobb átviteli sebesség
Page 50 and 51: ÜZLET Standard & Poor's Ratings Se
Page 52: PYTHON haladó Adatvizualizáció,

SecureTrends - ComputerTrends magazin 2024.06.06.

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?