IT biztonsági Vezetői összefoglaló Jelen dokumentumban foglaltuk össze IT biztonsági portfóliónk azon legfontosabb elemeit. A szolgáltatás portfólió összeállításánál alkalmazott legfontosabb szempontunk a versenyképességet támogató informatika megalapozása volt. Javaslataink egyben és külön- külön is alkalmazhatóak. Konkretizálódó igények esetén a javasolt megoldás személyre szabottan is összeállítható. IT biztonsági tanácsadás Az IT biztonság feladata, hogy biztosítsa az adatok: Bizalmasságát Sérthetetlenségét Integritását Rendelkezésre állását Ezen feladatnak csak egy ciklikus, önmagába visszatérő folyamattal lehet megfelelni. Ezen folyamat megfelel a minőségbiztosításban megszokott PDCA ciklusnak. Az IT biztonságalapja a megfelelő időközönként elvégzett biztonsági audit. Ennek első lépéseként fel kell tárni a leselkedő fenyegetettségeket és veszélyforrásokat. Ezt követően meg kell vizsgálni a jelenlegi szabályozói környezet mennyire ellenálló a feltárt fenyegetettségeknek, sérülékenységeknek. A vizsgálat eredményeképpen jelentés készül, amely részleteiben tartalmazza a szabályozói környezet egyes eleminek vizsgálatát, megfelelőségének értékelését. A jelentés jellemzően a tapasztalat nemmegfelelőségekkel foglalkozik. Minden feltárt nemmegfelelőségeket megindokolunk, azaz a vezetés elé tárjuk azon bizonyítékokat melyek alapján a következtetést levontuk feltárjuk a nem, vagy nem megfelelően kezelt fenyegetést, veszélyforrást megoldási javaslatot teszünk A talált nemmegfelelőségek és az adott megoldási javaslatok segítségével akció terv állítható össze a vállalt vezetése által meghatározott prioritások alapján. Az akció terv alapján kialakított új szabályozói környezetet a következő biztonsági audit során kerül értékelésre. A vállalat egy folyamatosan változó üzleti környezetben működik, amelyhez alkalmazkodnia kell, továbbá meg kell valósítania a tulajdonosok által kijelölt üzleti célokat. Ezen célok megvalósítása az un. felelős vállalat irányítás, melynek keretében a vállalti stratégia folyamatosan hangolásra kerül. Az informatikai irányítás a vállalati stratégiából határozza meg saját céljait. A fejlesztési irányok kijelölésére és egyes célok megvalósításának ütemezésére készül el az informatikai stratégia. Az informatikai stratégiát folyamatosan hangolni kell az üzleti stratégiához, illetve a lehetőségekben bekövetkező változásokhoz. IT_biztonsagi_szolgaltatas_csomag.doc 1 (5)
Alkalmazások megfelelőségének vizsgálata Az üzleti folyamatokat támogató informatikai alkalmazások működése nélkül ma már Menedzsment elvárások Változás kezelés A megújult alkalmazás megfelelőségének értékelése. Versenyképesség vizsgálata Auditori feladatok meghatározása Vizsgálati célok deklarálása Visszacsatolás a rendszerbe: alkalmazás fejlesztés, változások bevezetése Alkalmazás megfelelőségének vizsgálata Módszertani támogatás Audit jelentés Folyamatos termékfejlesztés Alkalmazkodás a környezeti változásokhoz Üzleti stratégia, IT stratégia elképzelhetetlen lenne bármely vállalt működése. A megfelelő, a vállalat igényeihez igazított kellően integrált alkalmazás komoly erőforrás megtakarítást eredményez használójának. Ezzel szemben a nem megfelelő alkalmazás csak bosszúságot okoz. E mellett nagyon fontos szempontnak tekintendő a használt alkalmazások üzemeltethetősége és továbbfejleszthetősége. Ezen két paraméter teszi lehetővé, hogy az alkalmazások igazíthatóak legyenek a folyamatosan változó üzleti igényekhez. Az alkalmazások vizsgálata szolgáltatásunk első lépése a jelenlegi üzleti igények feltárása, illetve annak vizsgálata, hogy az adott alkalmazások mennyire tudnak megfelelni ezen igényeknek. Ezek után szoktunk foglalkozni a jövőben várhatóan bekövetkező igényekkel. A jövőbeni igények kezelését a COBIT szoftver életciklus menedzsment módszertanának felhasználásával végezzük, hogy meghatározzuk: az alkalmazás jelenleg mennyire szolgálja ki az üzleti folyamatokat a jelenleg alkalmazott technológia meddig élvez gyártói támogatást milyen továbbfejlesztési lehetőségeket tartalmaz a jövőbeni üzleti igények kiszolgálására A fentiek értelmében meghatározzuk, hogy várhatóan mikor következik el az alkalmazás lényeges módosításának, esetleg cseréjének ideje. A nagyobb alkalmazások esetében a frissítéseket, átállásokat előre tervezni kell a zökkenőmentes kivitelezés érdekében. A vizsgálat elvégzésé eredményeképpen adott jelentésünk alkalmazásonként, vagy üzleti funkciónként értékeli a megfelelőséget, és konkrét javaslatot tesz az üzleti folyamatokat akadályozó feltárt nemmegfelelőségek kiküszöbölésére. Javaslatainkat az alkalmazás szállítójával is egyeztetjük, és az esetleges módosításokat közösen priorizáljuk és ütemezzük. A cél a vállalti hatékonyság fokozása, azaz a vizsgálatunk eredménye költségmegtakarítást okoz. IT_biztonsagi_szolgaltatas_csomag.doc 2 (5)
Üzleti folyamat elemzése A vállalt működését a végzett üzleti folyamatok határozzák meg. Az üzleti folyamatok a vállalt szervezeti és működési szabályzatában, valamint szabályzatokban kerül leírásra. Az informatikai alkalmazások ezen szabályzók által meghatározott üzleti folyamatok számítástechnikailag támogatható részét képezik le. A hatékonyan meghatározott üzleti folyamatok nagymértékben hozzájárulnak a vállalat megfelelő működéséhez. Viszont a nem megfelelő üzleti folyamatok gyakorlatilag béklyóba kötik a vállalatot, pazarláshoz vezetnek. Ahhoz, hogy javaslatot tudjunk adni az üzleti folyamatok megfelelő kialakítására, meg kell ismernünk a vállalti értékteremtés folyamatát, valamint tevékenységenként fel kell mérni végrehajtás feltétele tevékenység eredménye bemenő információk elvégzéshez szükséges szakképesítés végzett információ átalakítás A fentiek megismerése után fel tudjuk állítani a folyamat mátrixot és meg tudjuk határozni azon pontokat, ahol korrekció elvégzése szükséges. Javaslatainkat jelentésben foglaljuk össze, ahol az átszervezendő területeket megfogalmazzuk és a megrendelő elé tarjuk. Üzemeltetési folyamatok vizsgálata Az alkalmazások és infrastruktúra elemek elvárt színvonalú működésének fenntartása elképzelhetetlen megfelelően szervezett üzemeltetés nélkül. Az üzemeltetés megfelelő szervezése szempontjából egyszerre fontos a magasan képzett szakember és az üzemeltetési folyamatok hatékony megszervezése. Az üzleti folyamatok megszervezésére az ITIL módszertan alkalmazásával teszünk javaslatot. Az ITIL módszertan értelmében az üzemeltetési folyamatokat a szükséges tudás szempontjából osztjuk fel az ábrán látható három kategóriába. A help desk, vagy felhasználói támogatás fogadja és megfelelően dokumentálja a felhasználói hiba bejelentéseteket. A hibabejelentések egy részét maga a help desk is meg tudja oldani. pl. felhasználói támogatás, vagy jelszócsere. Azon hibabejelentéseket, melyeket a help desk maga nem tud elhárítani, továbbadja az üzemeltetők felé. Az üzemeltetők jellemzően szaktudásuk szerint kapják meg a hiba bejelentéseket. A hibaelhárítás után visszajeleznek a help desknek. A help desk pedig jelzi a bejelentőnek, hogy a hibaelhárítás megtörtént. Amennyiben az üzemeltetők úgy látják saját erőből nem tudják megoldani a bejelentett hibát, specialistát vesznek igénybe. Ezen specialisták csak igen ritka esetben vannak a vállalat alkalmazásában, hiszen kiemelt szaktudásukat csak akkor tudják fenntartani, ha elegendő IT_biztonsagi_szolgaltatas_csomag.doc 3 (5)
mennyiségű szakmai felkészültségüknek megfelelő problémamegoldást végezhetnek. Továbbá viszonylag ritkán kerül sor specialista alkalmazására. Ezzel a help desket érdemes teljes egészében a vállalton belül tartani, mert az alkalmazandó munkaerő nem drága, illetve a help desk működése alapvetően meghatározza az informatika megítélését cégen belül. Az üzemeltetők házon belül tartását alapvetőn a birtokolt szakértelem iránti igény határozza meg. ezen túlmenően az üzemeltetők végzik az alkalmazások és infrastruktúra elemek cseréjét, frissítését is. Informatikai stratégia Az IT stratégia feladata, hogy kb. 3-5 évre kijelölje az informatikai fejlesztési feladatokat az üzleti stratégia figyelembe vételével. Azaz az Informatikai stratégia alkotás során meg kell születnie azon fejlesztési koncepcióknak, melyek megvalósulása alátámasztja az üzleti tervet. Azaz, ha az üzleti tervben új értékesítendő funkció szerepel, akkor az informatikai stratégiában meg kell fogalmazni az búj termék bevezetéséhez szükséges fejlesztést, illetve az üzemeltetési igényeket. Az informatikai stratégia alkotás folyamatában szembesülni kell a meglévő erőforrásokból (humán és tárgyi) adódó kötöttségekkel, továbbá a rendelkezésre álló anyagi forrásokkal. Továbbá az elvégzendő feladatokat a rendelkezésre álló szakmai tudással is össze kell hangolni. Az informatikai stratégia végső soron projekteket határoz meg, melyekhez humán és anyagi erőforrást rendel a belső lehetőségek figyelembevételével. Az elkészülő stratégiát érdemes félévente felülvizsgálni, frissíteni. Azaz meghatározni az előző évben elvégzett feladatokat, illetve kijelölni a tárgyéve feladatait. Üzletmenet folytonosság és katasztrófa elhárítás tervezése Az üzletmenet folytonossági és katasztrófa elhárítási tervek azért készülnek, hogy az informatikai szolgáltatás kimaradása esetén a legfontosabb üzleti folyamatok működőképesek maradjanak. Ahhoz, hogy megfelelő üzletmenet folytonossági tervet tudjunk készíteni, el kell készíteni az egyes folyamatok üzleti hatáselemzését. Az üzleti hatáselemzés alapján kerül meghatározásra, hogy mely folyamatok esetében szükséges üzletmenet folytonossági terv kidolgozása. A kidolgozott terv a helyettesítő folyamat, amely erőforrás kiesés esetén biztosítja az ügyfél elégedettséget a vezetés által meghatározott színvonalon. Azaz az elkészülő tervekben vizsgáljuk az üzleti folyamatok erőforrások (humán és anyagi) kitettségét, illetve megoldást próbálunk találni ezen erőforrások kiesésére. Az alkalmazandó megoldás nagymértékben függ a helyettesítendő folyamat által termelt üzleti bevételtől, illetve a kimaradás esetén fellépő bevétel kieséstől és ügyfél reputáció csökkenéstől. Ezen költségelemek alapján kerül meghatározásra, hogy a helyettesítő által felhasználható erőforrások köre. IT_biztonsagi_szolgaltatas_csomag.doc 4 (5)
A helyettesítő folyamat csak egy ideig tartható fenn. Ezen idő alatt gondoskodni kell az eredendő erőforrások működésének visszaállításáról. A visszaállás során gondoskodni kell, hogy a helyettesítő folyamat által rögzített adatok az éles rendszerbe is átkerüljenek. A katasztrófa elhárítási terv feladata, hogy meghatározza azon lépéseket, melyek az infrastruktúra elem visszaállításához és újbóli működésbe állításához szükségesek. A katasztrófa terv nincs tekintettel az erőforrás hibaelhárítási folyamatára. Hanem megközelítése értelmében a terv életbe léptetésekor a feladat egy teljesen új infrastruktúra elem az éles környezetben történő használatához szükséges feladatok elvégzési sorrendjének és konkrétan a végzendő tevékenységek dokumentációja. IT_biztonsagi_szolgaltatas_csomag.doc 5 (5)