SZAKDOLGOZAT Farkas Imre László 2011.

Átírás

1 SZAKDOLGOZAT Farkas Imre László 2011.

2 Budapesti Kommunikációs és Üzleti Főiskola SZAKDOLGOZAT Az információbiztonság szervezésének kihívásai és lehetséges válaszok az informatikán túl Belső konzulens neve: Dr. Kiss Ferenc Farkas Imre László Gazdálkodási és menedzsment szak Budapest 2011.

3 1. Bevezetés Témaválasztás, a szakdolgozat célja Hipotézis Módszertani alapok Az információbiztonság menedzselése Fontos kifejezések értelmezése Kísérlet az információvagyon meghatározására A kontroll fogalmának definíciója Az információbiztonság jelenlegi kihívásai és azok lehetséges okainak elemzése Áttekintés Szervezeti széttagoltság Erőforráshiány Reaktív működés Széttagolt jelentési rendszerek Papírgyár Tudásciklusok A veszélyérzet hiánya Elefántcsonttorony Másodlagos kontroll hiánya Analógiák kutatása: más szakterületeken elterjedten alkalmazott eljárások feltérképezése Áttekintés Közgazdasági vonatkozások Analógiák a pénzügyi controlling területéről A Balanced Scorecard relevanciája A folyamatszervezés fontossága Tudásmenedzsment... 29

4 4.7. Tömeges együttműködés A rendszerelmélet alkalmazása Marketing és PR, mint a biztonság építői Az ügyfélközpontúság kritikussága Szociológiai szempontok Pszichológiai vonatkozások Szintézis: az információbiztonság új megközelítési lehetőségeinek elemzése A problémák kiváltó okainak és lehetséges válaszoknak együttes elemzése Az információbiztonság stratégiai megközelítése A biztonság, mint üzleti funkció A biztonság, mint szolgáltatás Hogyan adjuk el a biztonságot? Hogyan (és miért) mérjük a biztonságot? Az eredeti Balanced Scorecard alkalmazása Biztonsági szempontokból definiált mutatószámrendszer Összefoglalás Irodalomjegyzék Mellékletek Az információbiztonsági szervezet eredményességének és elismertségének felmérésére összeállított kérdőív COBIT érettségi modell A BMIS modell elemeinek és azok kapcsolatának összefoglaló leírása... 71

5 Mottó: Nem fedezhetünk fel új irányokat oly módon, hogy még jobban meresztjük szemünket a korábbi irányba. Edward De Bono 1. Bevezetés 1.1. Témaválasztás, a szakdolgozat célja A Budapesti Kommunikációs és Üzleti Főiskola Gazdálkodási és Menedzsment szakán Üzleti Kommunikáció szakirányon végzett tanulmányaimra nézve jelen dolgozat relevanciáját a BKF-en tanultak és tízéves informatikai és biztonság-szervezési tapasztalataim szintézise adja. A dolgozat fő célja kettős: kifejezetten annak elemzése, miként alkalmazhatóak a BKF-es tanulmányaim során megismertek jövőbeli szakmai munkám során és ennek fordítottja: az informatikai ismeretekkel nem rendelkező kollégák és érdeklődők számára gondolati kapcsolatot teremteni saját szakterületükkel. Abban azonban biztos vagyok, hogy bármilyen előnyt csak sablonoktól mentes és nyitott gondolkodással kovácsolhatunk e gondolatmenetből, a feltárt módszerek sikeres alkalmazása pedig minden bizonnyal egyfajta kombinációt tesz szükségessé a bevett és az új módszerek között. Ez teszi számomra e témát a jelen szakdolgozatban való kifejtésre érdemesnek. Az információbiztonság (Information Security, IS) mint szakterület, alapvetően informatikai gyökerekkel rendelkezik, ám hatóköre az ezredforduló tájékán folyamatosan bővülni kezdett. Ahogy a technika egyre komplexebbé vált (és válik), illetve mára az informatikától való függés gyakorlatilag totális, a teljes rendszer egyéb összetevőinek menedzselése egyre fontosabbá vált. Ezen szakterületek például az információk osztályozása és átfogó védelme, a humán biztonság, az üzletmenet átfogó értelmezése és folytonosságának biztosítása, a biztonsági incidensek és katasztrófahelyzetek kezelése, illetve biztonsági rendszerünk folyamatos fejlesztése. A dolgozat kimondottan nem informatikai háttérrel közelíti meg az információbiztonság területét. Szakdolgozatom célja azon módszerek, diszciplínák feltérképezése, amelyek nem képezik a szűken vett informatikai vagy biztonságtechnikai terület részeit, és amelyeket a napi gyakorlatban nem, vagy csak érintőlegesen alkalmaznak az IS szakemberek. Célom e közeli vagy épp távolabbi társterületek illetve módszerek áttekintése, illetve azoknak az 5

6 információbiztonság szervezése során történő hasznosítási módjainak elemzése. Mindebből egy előremutató képet kívánok festeni az információbiztonság szervezési feladatairól az általánosnál sokkal tágabb kontextusban és izgalmasabb felfogásban! Jelen dolgozatnak nem célja kimerítő módszertani elemzést adni az információbiztonsági szakterületről, különösen nem az informatika, fizikai biztonság illetve vagyonvédelem témakörére. Mindazonáltal a feltárt módszerek és összefüggések szándékom szerint a vagyonvédelem, humán erőforrás menedzsment, sőt egyéb üzleti illetve támogató terület szervezésében is hasznosnak bizonyulhatnak. E gondolatmenet végig vitele mindenképpen sablonoktól mentes gondolkodást igényel. Ezért jelen dolgozatban az információbiztonság szűkebben vett módszertani arzenálján túlmutató módszerek felderítésére alapvető módszerként alkalmazom az analógiák módszerét. E módszer lényege, hogy alapvetően múltbeli, vagy éppen más szakmabeli tapasztalatokra építve hasonlóságokat, párhuzamokat keresek az információbiztonság és egyéb szakterületek között. (Kiss, 2001.) A rugalmas gondolkodás elősegítése érdekében kutakodásom célját tehát a következő módon határoztam meg: Olyan, más területeken alkalmazott megoldások keresése, amelyek választ adnak az információbiztonság területén felmerülő problémákra, méghozzá a problémák és megoldások analóg volta miatt és ezek segítségével az információbiztonsági szakterület hatékonyabbá és eredményesebbé tétele Hipotézis Mint sok más szakterület képviselői, az információbiztonsági terület szakemberei sokszor nem ismerik fel az egyéb diszciplínák által kínált módszerek jelentőségét, ezért azokat nem is alkalmazzák tevékenységük hatékonyabbá és eredményesebbé tételére. Ennek káros hatásai visszafogják az információbiztonsági és informatikai szervezetet, ennél fogva az üzleti folyamatoknak az informatika fejlődése által indukált optimalizálását, végső soron pedig magát az üzletet nem beszélve a legalapvetőbb cél teljesüléséről: a biztonság elfogadható szintjének megteremtéséről. Meggyőződésem, hogy az információbiztonság szakterülete rengeteget tanulhat például az üzleti stratégiai tervezés, a rendszerelmélet, a folyamatszervezés, a pénzügyi controlling, a 6

7 pszichológia, a szociológia, a tudásmenedzsment és csoportmunka vagy a marketing és pr módszertani területeitől. 7

8 2. Módszertani alapok 2.1. Az információbiztonság menedzselése Az Információbiztonsági irányítási rendszer (Information Security Management System, ISMS) az átfogó irányítási rendszernek az a része, amely egy, a működési kockázatokat figyelembe vevő megközelítésen alapulva kialakítja, bevezeti, működteti, figyeli, átvizsgálja, fenntartja és fejleszti az információvédelmet. [ ] Az irányítási rendszer magában foglalja a szervezeti felépítést, a szabályzatot, a tervezési tevékenységeket, a felelősségi köröket, a gyakorlatot, az eljárásokat, a folyamatokat és az erőforrásokat. (MSZ ISO/IEC 27001:2006:22.) Az információbiztonság menedzselésének módja tehát egy adott szervezet stratégiai döntései közé tartozik, figyelembe véve a szervezet méretét, tevékenységét, szervezeti és technikai adottságait és nem utolsó sorban: céljait. Az IS, társterületekkel együttműködve, ám önmagában autonóm menedzsmenttel kell, hogy rendelkezzen, saját magára vonatkozó küldetéssel (mission), a jövőről alkotott elképzelésekkel (vision), stratégiai tervekkel, illetve a stratégia végrehajtását lehetővé tevő operatív tervekkel, illetve a stratégiához való folyamatos visszamérést lehetővé tevő mutatószám-rendszerrel. Az ISO szabvány által előírtak megvalósításához az ISO nyújt segítséget, amelyet a Közigazgatási Informatikai Bizottság is feldolgozott 25. sz. ajánlása keretein belül. Az alábbi felsorolás az MSZ ISO/IEC 27001:2006 szabvány alapján bemutatja az információbiztonság, mint szakterület felépítését. (A felsorolásban a szabvány angol verziójának saját fordítását használom fel.) Az információbiztonsági terület belső szabályozási, folyamat- és felelősségrendszerének kialakítása, a kockázatokkal arányos védelem biztosítása Külső felekkel kapcsolatos kockázatok kezelése Információs vagyon osztályozása és kezelése (adat, szoftver, hardver, hálózat, stb.) Humán biztonság (intézkedések felvételkor és a munkaviszony megszűntetésekor, illetve folyamatos biztonsági tudatosítás) Fizikai biztonság 8

9 Az informatikai üzemeltetés és a telekommunikáció biztonsága (technikai biztonsági intézkedések) Jogosultságok kezelése (rendszerekhez, helyiségekhez, eszközökhöz, hálózathoz, stb. való hozzáférés) Alkalmazás-fejlesztés és rendszer-beszerzés biztonsági követelményei Biztonsági incidensek kezelése (feltárás, jelentés, eseményekből való tanulás) Üzletmenet-folytonosság menedzselése (kiesések kezelése, helyettesítő eljárások kidolgozása, katasztrófa-elhárítás) A jogszabályoknak, illetve belső utasításoknak való megfelelés biztosítása és auditálás (MSZ ISO/IEC 27001:2006) Mindezen témakörök átfogó kezelése nem egyszerű feladat, ám az ISO szabvány egy olyan rendszert vázol fel, amelyben a terület komplex menedzselése kezelhetővé válik. Az információbiztonság, de maga az informatika is viszonylag fiatal iparágnak számítanak. Ennek egyik hátrányos folyománya, hogy a szakmai terminológia nem teljesen letisztult. Sőt, ahogy a terület érik, úgy lesznek komplexebbek mind saját magán belüli, mind az egyéb szakmákkal való kapcsolatrendszerei fogalmi keretei tágulnak. Az e fejlődést lehetővé tevő terminológia is egyre bővül. Bár a témakörben az elmúlt tizenöt évben kiadott ISO szabványok és egyéb nemzetközi publikációk, ajánlások sokat javítottak ezen a hiányosságon, a (főleg) angolról magyarra történő fordítások során, az angol nyelven egészen egyértelmű jelentéssel bíró fogalmak és kifejezések ködössé váltak, sőt, egyes esetekben jelentésük is torzult. Emiatt a magyar szóhasználat esetenként nem egyértelmű, amely szakmai körökben tapasztalatom szerint rendszeres, kisebb-nagyobb vitákat eredményez, melyek a lényegi problémáktól eltávolodva, félreértésektől nehezített elméleti, értelmezésbeli fejtegetésekbe torkollanak. E probléma okán, bevezetésként, néhány alapkifejezés közti összefüggést, illetve különbséget emelek ki, olyan formában értelmezve azokat, ahogy jelen dolgozatban azokat alkalmazom. 9

10 2.2. Fontos kifejezések értelmezése A pontos fogalmazás érdekében fontos rendet tenni a következő alapfogalmak között. Alább néhány fontos fogalom jelen dolgozatban alkalmazott értelmezést adom meg. 1. Adat: Az információ megjelenési formája, azaz a tények, elképzelések nem értelmezett, de értelmezhető közlési formája. (ITB, 1996:188.) 2. Információ: Jelentéssel bíró szimbólumok összessége, amelyek jelentést hordozó adatokat tartalmaznak és olyan új ismeretet szolgáltatnak a megismerő számára, hogy ezáltal annak valamilyen bizonytalanságát megszűntetik és célirányos cselekvését kiváltják. (ITB, 1996:197.) 3. Információrendszer: Információk meghatározott célú, módszeres gyűjtésére, tárolására, feldolgozására (bevitelére, módosítására, rendszerezésére, aggregálására) továbbítására, fogadására, megjelenítésére, megsemmisítésére stb. alkalmas rendszer. Ha ez a rendszer számítógéppel támogatott, akkor számítógépes információrendszerről (informatikai rendszerről) beszélünk. (ITB, 1996:196:198.) 4. Informatikai rendszer: A hardverek és szoftverek olyan kombinációjából álló rendszer, amit az adat-, illetve információ-feldolgozás különböző feladatainak teljesítésére alkalmazunk. Az informatikai rendszerek különleges tulajdonsága a szabad programozhatóság. Az informatikai rendszerek közé soroljuk tipikusan a»célszámítógépeket«és az»általános célú számítógépeket«. (ITB, 1996:196.) 5. Információs rendszer: Az információrendszerek megjelölésére sokszor helytelenül alkalmazott kifejezés. Információs rendszernek nevezzük azokat a rendszereket, amelyek valamely témában tájékoztatást, eligazítást nyújtanak. Az informatika térnyerésével megjelentek a vezetői információs rendszerek, döntéstámogató rendszerek, áttekintő grafikus képernyők (dashboard-ok) is az információs rendszer tehát az információ-rendszerek egy speciális fajtája. (Vasvári, 2009.). 6. Adatvédelem: Az Avtv. 1 jogi keretek között határozza meg az adatvédelem fogalmát. Ennek értelmében az adatvédelem jogi fogalom, amely a személyes adatok kezelésének és védelmének körülményeit szabályozza. Ezért ez a fogalom évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról 10

11 az információbiztonság fogalmának megjelölésére illetve annak szinonimájaként semmiképp nem alkalmazható. (Vasvári, 2006: 36.) 7. Informatikai biztonság, IT biztonság: Az informatikai rendszerekben kezelt adatok, és az azt kezelő rendszer védelmét jelenti. (Muha, 2010:139.) Az informatikai biztonság az informatikai rendszer olyan az érintett számára kielégítő mértékű állapota, amelyben annak védelme az informatikai rendszerben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása, valamint a rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos. (Muha, 2010: 145.) 8. Információbiztonság: A 2.1. fejezetben részletesen ismertetett szakterület, amely az informatikai rendszereken felülemelkedve, tágabb kontextusban vizsgálja az információk bizalmasságát, sértetlenségét és rendelkezésre állását fenyegető tényezőket és az azokkal szemben hozható védelmi intézkedéseket. Mivel angolul általában az információvédelemre, illetve az informatikai védelemre, sőt néha a kommunikációs, információs és más elektronikus rendszerek védelmére is az information security kifejezést használják, az egyes fordítások még inkább zavarossá teszik a képet. (A védelem és biztonság kifejezést egymás szinonimájaként használjuk, bár nem azonos a jelentésük.) (Muha, 2010: 139.) Általánosan fogalmazva a biztonság a védelmi intézkedések (védelem) eredményeként előálló állapot, ahogy az informatikai biztonság meghatározásánál is szerepel. 9. Egyenszilárdság: egy teljes körű, zárt, folyamatos és kockázatokkal arányos védelmi rendszert egyenszilárdságúnak tekinthetünk, mert az intézkedések minden rendszerelemre nézve pontosan a kockázatokkal arányosak lesznek úgy, hogy közben minden releváns fenyegetés figyelembevételre került. (ITB, 1996:17.) Kritikus biztonságszervezési alapelv, hiszen nincs értelme annak, hogy egy ponton aránytalanul erős védelmet alakítsunk ki, míg más ponton védelmi rendszerünk könnyebben áttörhető vagy egyszerűen megkerülhető! 11

12 2.3. Kísérlet az információvagyon meghatározására A Hpt. 2 előírja, hogy a pénzügyi intézménynél mindenkor rendelkezésre kell állnia: az adatgazda és a rendszergazda kijelölését tartalmazó okiratnak vagyis adatgazdát kell kinevezni. A vezetésnek ki kell dolgoznia egy eljárást az adatok tulajdonosainak (adatgazda) és kezelőinek hivatalos kijelölésére vonatkozóan és gondoskodnia kell arról, hogy minden informatikai eszköznek (adatok és rendszerek) legyen egy kijelölt tulajdonosa (adatgazda), aki dönt az osztályozásról és hozzáférési jogosultsági szintekről. (PSZÁF, 2007:9) Értelmezésem szerint kölcsönvéve az Avtv. terminológiáját az adatgazda az adatfeldolgozó (mint szervezet) megbízottja, aki annak nevében az adatfeldolgozással kapcsolatos tevékenységekért felel. E kitétel értelmezése és gyakorlati alkalmazása azonban a komplexebb szervezetek esetében gondot okoz. Ez valójában nem meglepő, hiszen a támadás, illetve a védelem alapvető tárgya az adat, amely az információkat hordozza. A támadások azonban nem közvetlenül érik az adatokat, hanem az azokat "körülvevő" rendszerelemeken (pl. a hardver és/vagy szoftver elemeken, a környezeti infrastruktúrán) keresztül. [ ] Az adatot, mint a támadások alapvető célját a következő rendszerelemek veszik körül: az informatikai rendszer fizikai környezete és infrastruktúrája, hardver rendszer, szoftver rendszer, kommunikációs, hálózati rendszerek adathordozók, dokumentumok és dokumentáció, személyi környezet (külső és belső). (ITB 12, 1996:15) Ennél fogva magának az adatnak lehetséges bár gazdát kinevezni, ám akit egy ilyen okirattal a fenti sajátosság figyelmen kívül hagyásával egyszemélyes felelőssé tesznek az adat, ennél fogva az összes fent említett, kapcsolódó rendszerelem biztonságáért, szinte biztosan nem fogja tudni, hol kezdjen hozzá. A fenti rendszerelemek mindegyikének biztonsága egy-egy külön szakma! évi CXII. törvény a hitelintézetekről és a pénzügyi vállalkozásokról 12

13 Vegyük azonban sorban azokat a területeket, ahol a gyakorlati szempontokat figyelembe véve érdemes lehet külön-külön gazdát keresni! Termékek, szolgáltatások Folyamatok (elsődleges üzleti vagy támogató folyamatok is) Szervezeti egységek Alkalmazások Hardverek és operációs rendszerek (rendszerek) Informatikai és kommunikációs infrastruktúra Jogosultságok (informatikai szerepkörök) Adathordozók (elektronikus és papír) Helyiség (létesítmény) A jogszabályokban foglalt adatvédelmi és biztonsági követelmények komplex értelmezése elengedhetetlen a biztonság szervezése során, hiszen azonosítanunk kell a védelem tárgyát. Az egymást átfedő jogi fogalmak és adatkörök megnehezítik az átfogó szervezést, miután szinte minden, ide vágó jogszabály betartásáért más-más szervezet felel. A bankok, vagy akár a telekommunikációs cégek esetében is, a komplex jogi környezet az adatkörök meghatározásánál is érzékelhető. További, alapvető információbiztonsági feladatunk, ebből kiindulva, az adatok osztályozási rendszerének kialakítása, és ennek alapján a minimum védelmi szintek meghatározása osztályonként ez a kockázatarányos védelem alapeleme! Az információbiztonság más területeihez hasonlóan adatok osztályozására és védelmére vonatkozóan például a korábban említett ISO és szabványok illetve a KIB. 25. sz. ajánlása 3 ad útmutatást. Értelmezésem szerint az adatosztályozás egyfajta kockázatelemzés, így a strukturált kockázatelemzési módszerek, mint a CRAMM 4, módszertanilag kiválóan alkalmazhatóak az adatosztályozás keretrendszerének kialakításakor. 3 A Közigazgatási Informatikai Bizottság 25. számú Ajánlása, amely az ISO szabványon alapszik (KIB, 2008.) 4 CRAMM (CCTA Risk Analysis and Management Method) - Az Egyesült Királyság Központi Informatikai és Telekommunuikációs Ügynöksége által alkalmazott kockázatelemzési módszertan (CCTA - Central Computing and Telecommunications Agency) (CCTA, 1992, idézi ITB, 1994.) 13

14 2.4. A kontroll fogalmának definíciója A nem kívánt események bekövetkezése ellen védelmi intézkedéseket vezetünk be. Szakterületenként más-más kifejezést preferálnak; a gyakorlatban biztonsággal foglalkozó szakemberek védelmi intézkedésnek, a kockázatkezelők ellenintézkedésnek, az auditorok kontrollnak nevezik ugyanazt a tevékenységet, melynek lényege nem más, mint a nem kívánt események ellenében hatni. Jelen dolgozatban a kontroll kifejezés alatt nem ellenőrzést értek, hanem biztonsági intézkedést! Bárki, aki egy munkafolyamat során annak érdekében cselekszik, hogy ne történjen nem kívánt esemény, e terminológia szerint kontrollt hajt végre. Az Information Systems Audit and Control Association (ISACA) a kontroll fogalmát a következő módon határozta meg: Az olyan irányelvek, szabályzatok, eljárások, gyakorlatok és szervezeti struktúrák összessége, melyeket arra hoztak létre, hogy ésszerű bizonyosságot adjanak arra, hogy az üzleti célkitűzések elérhetők, a nemkívánatos események megelőzhetők illetve felismerhetők, és helyesbíthetők. (ISACA, 2007.) Alább a kontroll-intézkedéseknek kétfajta, legelterjedtebben alkalmazott, és véleményem szerint legcélravezetőbb taxonómiáját fejtem ki. A kontrollok legalapvetőbb megkülönböztetése azoknak a nem kívánt eseményekhez való viszonyán, illetve a kontrollcélnak magának a megfogalmazásán alapszik. Alapvetően háromféle csoportot különböztetünk meg: megelőző, észlelő és helyesbítő, vagyis preventív, detektív és korrektív, ám ezeket a különböző módszertanok továbbiakra bontották. Az alábbiakban a kontrolltevékenységek öt szintjét mutatom be. A kontrolltevékenységek efféle osztályozása segít azok priorizálásában. A káros eseményeket leginkább megelőzni akarjuk, ha ez nem kifizetődő, akkor legalább értesülni szeretnénk azok bekövetkeztéről, illetve, ha az esemény megtörtént és értesültünk róla, akkor az okozott kárt csökkenteni, illetve helyreállítani igyekszünk. Az információbiztonsági kontrollok hatásmechanizmus szerinti tipizálását a legátfogóbban a COBIT 4.1 illetve a MEHARI 2010 módszertanok írják le. E források elemzésének és ötvözésének eredményeképpen az alábbi taxonómiát állítottam fel: Megelőző (preventív): az esemény bekövetkeztének teljes mértékben való megakadályozását célzó intézkedés, amennyiben kifizetődő lenne, minden esetben megelőző kontrollt használnánk. Pl.: a jelszavas védelem célja megelőzni, hogy illetéktelen személyek érjék el az adott rendszert. 14

15 Elriasztó (deterrent, dissuasive): Bár nem biztosítja a megelőzést, a nem kívánt esemény bekövetkezésének valószínűségét csökkenti azáltal, hogy a támadó motivációját csökkenti. Pl.: Ha kihirdetjük, hogy minden számítógépes aktivitást monitorozunk, akkor magának az intézkedés bejelentésének tényével, bár meg nem előzzük a visszaéléseket, de jó eséllyel csökkenthetjük azok számát. Felismerő (detective): Lehetővé teszi, hogy megfelelő gyorsasággal értesüljünk a nem kívánt eseményről, annak érdekében, hogy annak hatását csökkentsük és helyreállítsuk a működést. Pl.: egy ellenőrző összeg egy pénzügyi lista elektronikus átvitele során lehetővé teszi, hogy annak megérkezésekor az esetleges hamisítást vagy rendszerhibát észleljük. Hatáscsökkentő (mitigating, palliative): Az esemény bekövetkeztekor fellépő negatív hatást csökkenti. Pl.: a biztonsági mentések csökkentik egy bekövetkezett rendszerhiba hatását azzal, hogy rendelkezésünkre áll az adatnak egy korábbi verziója. Javító, helyreállító (corrective, recuperative): Az eredeti állapot visszaállítását célzó intézkedések. Ezeket is előre meg kell tervezni, sőt erre különös figyelmet kell fordítani, hiszen ahogy az 5.5. fejezetben tárgyalom, a veszteségesemények bekövetkeztének valószínűségét illetve káros hatását hajlamosak vagyunk alábecsülni. Fontos azonban, hogy maguk a helyreállító intézkedések ettől még nem lesznek preventív jellegűek, hiszen az eseményeket nem előzik meg. (IT Governance Institute, 2007.), (Club de la Sécurité de l Information Français, 2010.) A kontrolltevékenység szintjét tekintve azon intézkedések, melyek közvetlenül csökkentik egy-egy veszélyforrás kockázatát első szintű kontrollnak számítanak. Ezek gyakorlatilag magának a termelő vagy támogató illetve biztonsági folyamatnak a lépései, és végrehajtásukért célszerűen az adott folyamat szereplői felelnek. Annak érdekében, hogy biztonsági folyamataink és eljárásaink működéséről folyamatosan megbizonyosodhassunk, monitorozásra, felülvizsgálatra van szükség; ezt az ún. második szintű kontrollokkal érjük el. A második szintű kontroll elvégzésével bizonyosodunk meg az első szintű, közvetlen kontrollok (kontroll tevékenységek) működéséről és eredményességéről. Például első szintű kontrollnak számít, amikor egy tevékenységet jegyzőkönyveznek, vagy egy vezető jóváhagyja beosztottja hozzáférését egy adott informatikai rendszerhez. Amikor viszont megbizonyosodunk arról, hogy a dolgozó 15

16 jogosultsága élesítés előtt valóban jóváhagyásra került a megfelelő személy(ek) által, vagy arról, hogy jelen pillanatban is valós üzleti igényen alapszik, ezeket definiáljuk második szintű kontrollnak. Tipikusan a második szintű kontrollok során gyűjtött, a működést és eredményességet relevánsan jellemző és számszerűsíthető információk képezik az alapját a későbbiekben is tárgyalt metrikák és stratégiai mérőszámok rendszerének. Mindemellett definiálhatunk harmadik szintű kontrollt is, amely általában (ha a szervezetben létezik ilyen) a belső ellenőrzés, illetve a SOX 5 és hasonló kontrollkeretrendszereknek való megfelelésért felelős szervezet feladata. A harmadik szintű kontroll lényege mind az első, mind a második szintű kontrollok létezésének, helyénvalóságának, dokumentáltságának és nem utolsó sorban valós végrehajtásának, működésének biztosítása. A SOX és egyéb audit terminológia alapján a létezés, helyénvalóság és dokumentáltság biztosítása (vizsgálata) az ún. test of design (TOD). A valós működés és végrehajtás vizsgálata a test of effectiveness (TOE). (IT Governance Institute, 2006.) 5 Sarbanes Oxley Act of 2002 Az amerikai tőzsdén jelen lévő vállalatok belső kontrollkörnyezetének megerősítését célzó törvény 16

17 3. Az információbiztonság jelenlegi kihívásai és azok lehetséges okainak elemzése 3.1. Áttekintés Az információbiztonság, mint szakma az ezredforduló után, az informatika fejlődésével párhuzamosan rohamos fejlődésen ment keresztül. Mindazonáltal elérve egy bizonyos érettségi szintet, szembekerült a szervezet más területeivel való együttműködés kihívásaival. Az IT és az információbiztonság már nem az alagsorban rejtőző, teljes titokban működő részleg, ellenkezőleg: a cég folyamatainak integráns része. Az üzleti döntéshozók mindennapjait kitöltő problémák szignifikáns hányada valamilyen formában informatikai és információbiztonsági témákat érint az üzleti környezet változásainak követése IT változást tesz szükségessé, és fordítva: IT fejlesztéssel üzleti előnyökre tehetünk szert. Ugyanez igaz az információbiztonságra is! A fenti folyamat következményeként az információbiztonsági szakember újfajta kihívásokkal találja magát szembe: nem elég a tűzfal konfigurációját beállítani, és ismerni az egyes informatikai platformok legújabb sérülékenységeit, hanem érteni kell például a kockázatelemzés és menedzsment módszereihez, a megtérülési számításokhoz vagy a jogszabályi megfelelés témaköréhez is, ismerni kell a szervezet alapvető értékeit, céljait és működését, és nem utolsó sorban képesnek kell lenni a vezetők nyelvén kommunikálni! Sok esetben, amikor az információbiztonság eléri a fenti állapotot, a területért felelő szakember annak ellenére, hogy ő legjobb tudomása szerint mindent megtett azt veszi észre, hogy például a felhasználók továbbra is felírják jelszavaikat a billentyű alatt elrejtett cetlire. Emellett az alkalmazás-fejlesztők elfogadhatatlan minőségű és biztonsági szintű kódot szállítanak, szervezeti vezetők nincsenek biztonsági felelősségük tudatában, a felső vezetés pedig egész egyszerűen nem érzi, hogy az információbiztonság bármilyen értéket adna hozzá a szervezet működéséhez. A következőkben e problémák mögött megbújó okokat próbálom feltárni, amelyek hátráltatják vagy meggátolják az információbiztonsági szakterületnek, illetve 17

18 szakembereknek a szervezet folyamataiban, illetve a vezetőkkel folytatott párbeszédben való érvényesülését adott esetben magának a párbeszédnek a kialakulását. A problémák általam vélt fő okainak felsorolásával célom azok megoldásának első lépése: a felismerés Szervezeti széttagoltság Az Információbiztonsági csoport ideális esetben szervezetileg független azon területektől, amelyek számára követelményeket definiál, illetve amelyek fölött kontrollfunkciót lát el. Ez a gyakorlatban azt jelenti, hogy az információbiztonsági vezető vagy közvetlenül a szervezet első emberének (vezérigazgató, stb.), vagy legalábbis az egyik olyan felsővezetőnek jelent, aki viszonylag jól elkülönül magától a szervezettől, mint például a jogi igazgató, vagy biztonsági igazgató, ha ilyen a szervezetben van. A fentiek az információbiztonsági vezető feladataiból és felelősségi köréből adódnak. (Muha, 2008:56.) Azonban sok esetben az információbiztonságért felelős vezető, vagy szakember egy másik szervezetnek része, mint például az Informatika (IT). Ez nem szerencsés, mivel érdekellentét léphet fel, amikor az IT-n belüli biztonsági problémákról van szó. A védelmi intézkedések rendeltetésszerű ellátása ütközhet az informatikai, vagy egyéb vállalati érdekekkel, és ebben az esetben nem érhető el a biztonsági cél. (Vasvári, 2005.) Egy másik ilyenfajta probléma, amikor az információbiztonság, a fizikai biztonság, a jogszabályi megfelelésért felelős osztály, illetve a bankok esetében a csalások kivizsgálásáért felelős osztály más-más szervezeti egységek részei ilyenkor a közös célok elérése érdekében szükséges kommunikáció és koordináció igen nehézkes, illetve a szervezeti silókban való gondolkodás és működés miatt nem is valósul meg. Sőt, egyes esetekben az egymásra konkurensként tekintő biztonsági szervezetekben a szándék sincs meg az együttműködésre. (Vasvári, 2005.) (Collette Gentile Gentile, 2009:144.) A stratégiai információbiztonság egyik legfontosabb alapköve a holisztikus és rendszerben való gondolkodás. A silókban működő és gondolkodó kontrollszervezetek valójában saját magukat korlátozzák ennek elérésében. Ez a természetes evolúcióval kifejlődött, különböző folyamatok egyvelegében és az ad-hoc problémákra adott, szétszórt megoldásokban mutatkozik meg. (Harries-Harrison, 2008.) 18

19 3.3. Erőforráshiány Egy jól felépített információbiztonsági rendszer kialakítása megfelelő számú, jól képzett és motivált szakember közreműködését teszi szükségessé. Abban az esetben, ha valamilyen oknál fogva nem áll rendelkezésünkre elegendő idő, illetve elegendő számú szakember, szinte belekényszerülünk a következő fejezetben tárgyalt reaktív működésbe. Ez a probléma nem különbözik attól a kihívástól, amellyel bármely más szakterület képviselői küzdenek az erőforráshiányt valójában adottságként könyvelhetjük el, így annál fontosabb, hogy rendszeresen kitekintsünk a mindennapi munka során tényleges megoldások helyett alkalmazott gyorssegélyek és köréből! Jól ismert szervezeti sérülékenység a kulcsember esete, amikor egy kritikus szakmai területért vagy munkafolyamatért egyetlen ember felel, ráadásul a releváns szakmai tudás az illető fejében van, nincs kodifikálva. A kulcsszakértők kiesése a rendszer kiemelt megbízható működési szintű üzemeltetésében komoly gondot tud okozni, pótlásuk külső forrásból általában nehezen megoldható. (ITB 12, 1996: 94.) Ennek a helyzetnek a valódi kockázata általában akkor érződik, amikor a kulcsember valóban kiesik és pótlására van szükség, illetve amikor csalás történik, amelynek elkövetője vagy résztvevője belső ember Reaktív működés A vélt vagy valós erőforráshiány, és az azzal járó motivációcsökkenés folyamatos tűzoltáshoz vezet csak arra jut időnk, ami már a körmünkre ég. Ez ellehetetleníti bármilyen stratégia kidolgozását. Ennek az állapotnak tipikus tünete, amikor szinte csak az auditokra és az anyavállalat (ha létezik) jelentéskészítési követelményeire reagálunk, saját kezdeményezésekre nem futja erőnkből Széttagolt jelentési rendszerek Egy nagy cégnél, különösen, ha multinacionális cégről, vagy annak leányvállalatáról beszélünk, az információbiztonságért felelős szervezet többfelé kényszerül jelentéseket adni: az anyacég informatikai, biztonsági, kockázatkezelési szervezete, a helyi jogszabályi megfelelésért felelős szervezet, a helyi kockázatkezelésért felelős szervezet mind a saját formátumában és időzítésével igényli a számára releváns kontrollok állapotának 19

20 lejelentését. Emellett válaszolnunk kell a különböző audit megkeresésekre, és nem utolsó sorban saját működésünket is össze kell hangolni a társszervezetekével. Ez gyakorlatilag felesleges plusz munkának tűnik, ráadásul ugyanazt az információt akár többször is át kell adnunk a különböző igényekre válaszul ez többszörös munkát jelent. Ebben az állapotban a jelentések csak azért készülnek, hogy kielégítsük azok igénylőit, és ritkán használjuk fel ezeket konszolidáltan az információbiztonsági terület működésének stratégiai tervezéséhez Papírgyár Tipikus eset, amikor egy adott pillanatban, az akkori legjobb gyakorlat szerint megalkotott utasítás, illetve folyamat vagy sablon eleinte használatban van, ám ahogy az idők során tudásunk a témáról növekszik, és esetleg a felelős személyek is lecserélődnek, az utasítás, eredeti formájában már nem olyan jól használható. Ekkor, annak revíziója helyett kialakulnak a gyakorlatban jobban használható, dokumentált és jóváhagyott folyamattól eltérő módszerek, és eszközök. Ha egy-két évig nem vagyunk figyelemmel folyamataink és utasításaink frissítésére, egyszerűen elavulnak, és a gyakorlat eltávolodik tőlük. Ennek, azon túl, hogy egy audit során magas labdának számítanak, további hátránya, hogy amennyiben valóban személycserék vannak, a gyakorlati tapasztalat, amelyet ideális esetben a dokumentált folyamatunk tartalmaz, elveszhet, hiszen csak a fejekben van jelen. Ennek következménye, többek között, a következő fejezetben tárgyalt tudásciklusok kialakulása Tudásciklusok Az általam tapasztalt problémát a következőképpen írnám le. Az éppen aktuális kihívásokra tekintve sokáig hajlamos voltam azt hinni, hogy az adott szervezet egész egyszerűen itt tart fejlődésének útján. Vagyis, ha hiányzott például egy incidenskezelési folyamat, vagy a jogosultság-kezelésben voltak alapvető hiányosságok, akkor azt gondoltam, hogy ezek a problémák az adott szervezetben akkor merülnek fel először ami jogos feltételezésnek tűnt. A probléma kiváltó okát akkor ismertem fel, amikor lehetőségem nyílt átnézni adott vállalatok több, egymást követő IS vezetőjének azon terveit és első lépéseit, amelyeket akkor készítettek, amikor átvették a terület vezetését. Ekkor ugyanis gőzerővel készülnek 20