Biztonság biztosítási rendszer

◴ 2010.02.23. 18:50

A szervezetek a biztonsági rendszereiket csak a saját szükségleteikhez tervezik, vagy még azokhoz sem. Ha például egy webszerveren nincsenek szupertitkos fejlesztési adatok, minek törődni a biztonságával? Mit veszít egy cég, ha néhány ezer ügyfele személyes adata rossz kezekbe kerül? Jó eséllyel ki sem derül. De ha mégis, rá lehet fogni a gonosz crackerekre - az átlag ember nemigen érti, hogy lehetne ellenük védekezni, csak pénzbe kerülne.

Hirdetés

Amikor a sarki boltban lehúzzák a kártyám, amikor a videótékában lemásolják a személyimet, amikor beiratkozok egy egyetemre, vagy amikor repülőjegyet veszek, nem csak pénzt adok cserébe, de óriási bizalmat is, hogy az adataimat elvárható gondossággal kezelik majd. Elvileg hiszek benne, hogy a piaci verseny kikényszeríti a szereplőktől ezt a gondosságot, de az ehhez vezető út rengeteg veszteséggel van kikövezve.

Ahhoz ugyanis, hogy a fogyasztói tudatba bekerüljön ez az aspektus, rengetegszer kell rengeteg embernek az arcára esnie. Persze a média-hiszti sokat gyorsíthat az ügyön, de amíg igazi károkról nem szólnak hírek, addig csak annyira fogunk vele törődni, mint a Blikk harmadik oldalának szerencsétlen szereplőivel: sajnáljuk őket, de nem hisszük, hogy ez minket igazán érintene. Márpedig a károk meglehetősen ritkán kerülnek napvilágra...

Amit várok, az a minőségbiztosítási, minőségirányítási rendszerek meglétét bizonyító plecsnikhez hasonló tanúsítványok elterjedése az IT biztonságban. Ha például én egy autógyár vagyok, és szükségem van egy műanyag biszbaszra az index kapcsoló végére, amit jó kevés pénzért Magyarországon szeretnék gyártatni, de persze folyamatosan jó minőségben, akkor nincs más dolgom, mint megkövetelni egy minőségbiztosítási tanúsítványt a leendő beszállítótól. Ez a papír bizonyítja, hogy egy független szervezet vizsgálata szerint ennek a kis magyar fröcsöntőműhelynek van működő minőségbiztosítási rendszere.

Az ISO 9000 tanúsítványokhoz hasonlóan az ISO 27000 IT biztonsággal foglalkozó szabvány elterjedésének is lenne létjogosultsága, hiszen az egymással együttműködő vállalatok rengeteg érzékeny információt osztanak meg egymással. Az autóipari példánál maradva, a készletezési és gyártásirányítási rendszerek integrálása ma már kiterjed a beszállítókra is. Ez egyben azt is jelenti, hogy a beszállító IT biztonsági problémái gyengítik a megrendelő biztonságát is. Ennek ellenére mégsem általános gyakorlat, hogy a partnerek egymástól a minőségirányítási rendszeren kívül biztonsági auditot is megköveteljenek.

Ugyanígy a fogyasztók sem igen figyelik, hogy melyik cégnek van biztonsági szabályzata, és melyek szokták azt auditáltatni. Néha az illetékes ombudsman kinyilatkozza ugyan, mit kellene tenni, de véleményem szerint ez inkább a fogyasztóvédelem hatáskörébe tartozó probléma, akiknek ráadásul vannak jogosítványaik is szankcionálni.

Akárhogy is, szabályzói oldalról lehetne adni egy nagy lökést az IT biztonsági tanúsítványok terjedésének. Persze, kicsi az esély, hogy hazánk ezen a téren úttörőként viselkedjen, de azért reménykedhetünk, hiszen, mint tudjuk, bürokráciában mi vagyunk a császárok.

Kiss Attila marketing menedzser

Balabit Kft. - www.balabit.hu