Az információ védelmének – túl a GDPR adta szabályozás kötelmén – egyre nagyobb jelentősége van, hiszen az információ elvesztése nagy károkat idézhet elő, másik oldalról az információ megszerzése jelentős előnyökhöz juttathat vállalkozásokat, személyeket. Ennek érdekében az információ birtokosának a lehetőségeihez mérten mindent meg kell tenni a megfelelő védelem kialakításával.

Tisztában kell lenni azzal, hogy azok, akik valamilyen információt meg szeretnének szerezni, nem rettennek vissza még a legagyafúrtabb (akár illegális) eszközöktől sem annak érdekében, hogy szert tegyenek bizonyos dokumentumokra vagy adatokra.

Az adatkezelőknek és adatfeldolgozóknak mérlegelni kell a rendelkezésükre álló adatvagyont abból az aspektusból is, hogy

• az milyen értéket képvisel, illetve
• kik számára fontos az adott információ.

E két tétel egybevetése már segítség arra vonatkozóan, hogy milyen védelmi rendszert kell kiépíteni és folyamatosan üzemeltetni az adott információ biztonságos kezelése vagy feldolgozása érdekében. A veszélyforrások különböző területeken keletkezhetnek. Az alábbiakban azokat a területeket tekintjük át – a teljesség igénye nélkül – ahol kiemelt figyelmet kell fordítani az információbiztonságra.

Alkalmazott szoftverek

Alkalmazott szoftvereknek azok tekinthetők, amelyek részt vesznek az adott információt tárolásában, feldolgozásában, archiválásában. E terület veszélyforrásai lehetnek:

• a szoftver szakszerűtlen kiválasztása, amely nem biztosítja a kiválasztott szoftvertől elvárt funkciót – ahhoz, hogy ezt elkerüljük, a következőket célszerű megvalósítani:
  • igények, feladatok, erőforrások előzetes megismerése és erre a leghatékonyabb megoldás megtervezése
  • más forrásból tapasztalatok összegyűjtése
• a szoftver nem hozzáértéssel történő használatának veszélyei – elkerülésére a következőket célszerű megvalósítani:
  • a szoftver útmutató, kézikönyv, betanítás igénybevétele a szoftver használata előtt;
  • nem hozzáértő és illetéktelen személyek hozzáférésének korlátozása;
  • szükséges szoftverfrissítések rendszeres és hozzáértő szakember általi telepítése;
  • a kiválasztott szoftver rendszeres karbantartásának, hibajavításának rendszerszintűvé tétele;
  • a szoftver elavultságának első jeleit észlelve korszerűsítési igények felmérése.

Rendszerszoftverek

Rendszerszoftvereknek azok tekintendők, amelyek olyan hálót biztosítanak az alkalmazott szoftverek számára, amelyben azok biztonságosan tudnak üzemelni. E terület veszélyforrásai a következők lehetnek:

• átgondolt fejlesztési politika hiánya – ezt elkerülendő a következőket célszerű megvalósítani:
  • a belátható időre (bár ez az IT világban elég rövid) kialakított fejlesztési koncepció rögzítése;
  • megfelelő (lehetőleg a szektor sajátosságaiban) tapasztalattal rendelkező rendszergazda alkalmazása;
• illetéktelen behatolásoktól való rendszerszintű védelem kialakításának a hiánya – ezt elkerülendő célszerű a következők megvalósítása;
  • az egész rendszert átfogó és hatékony vírus védelmi rendszer kialakítása;
  • vírusvédelmi rendszer naprakészségének biztosítása;
  • tűzfalak, kiber-támadásoktól védő rendszer működtetése.

Hardverek és hálózatok

A cég működésében lévő számítógépek, illetve a hozzá tartozó perifériák (például monitorok, nyomtatók, routerek stb.) rendszerszintű működtetése, belső kiépített hálózattal, vagy virtuális hálózattal, potenciális veszélyben vannak. E terület veszélyforrásai lehetnek például:

• nem az igényeknek megfelelő rendszer működtetése (alultervezett vagy túlzott rendszer);
• elvi döntés a „föld” vagy „felhő” kérdésben;
• illetéktelenek rendszerre való csatlakozása;
• áramellátás biztosítása;
• a különböző időpontokban vagy más specifikációval beszerzett eszközök közötti összeférhetetlenségek, működési rendellenességek.

Mindezeket kivédendő  célszerű a következőket megvalósítani:

• összehangolt, átgondolt beszerzés politika;
• megfelelő időszakonként a hardver és hálózati elemek, perifériák szakszerű karbantartása;
• szünetmentes áramforrások beiktatása;
• megfelelő üzemi hőmérséklet biztosítása (légkondicionálás)
• biztonságos mechanikus tároló rendszerek (rack szekrények, tarolók) és megsemmisítő eljárások.

Épület, számítóközpont, szerverszoba

Azoknak a helyiségeknek a fokozott védelméről is gondoskodni kell, ahol információkat tárolnak, feldolgoznak. E terület veszélyforrásai lehetnek:

• fizikai behatolás (betörés)
  • megfelelő hatékonysággal bíró ajtók, zárak, rácsok megléte;
  • riasztórendszer kiépítése, működtetése;
• katasztrófa bekövetkezése
  • tűzvédelmi rendszer kialakítása;
  • villámcsapás elleni védelem kialakítás;
  • vízkárok, csőtörés esetleges kárhatásának csökkentése.

Személyek

A társaságnál dolgozók és a társasággal bármilyen kapcsolatban álló személyek, akik a kezelt, illetve feldogozott adatokkal kapcsolatba kerülhetnek, komoly információbiztonsági kockázatot jelenthetnek. E terület veszélyforrásai lehetnek:

• folyamatok nem megfelelően szabályozott volta miatt adatszivárgás valósul meg;
• információ kiszivárogtatás tájékozatlanság, jóhiszeműség miatt;
• célzott információkiadás, melynek oka megvesztegetés;
• információkkal való visszaélés valamilyen motivációval (bosszúállás);
• adatok továbbításánál keletkező tévutak;
• alvállalkozói kapcsolatban lévő vállalkozásokkal vagy más üzleti partnerekkel folytatott kommunikáció;
• az adott társasággal kiszolgálóként (részfeladatok átvállalása, infrastruktúra biztosítása kapcsán) kapcsolatba kerülő vállalkozások adatbiztonsági viselkedése;
• kommunikációs rendszerek működtetéséből eredő információ kiáramlás.

Ezek ellen célszerű tudatosítani mindenkiben, aki adatokkal, információval kerül kapcsolatba, az információbiztonsági kockázatokat és azok vélhető következményeit. Ennek formája lehet:

• belső rendszer áttekinthető felépítése;
• oktatások, képzések érintett (külső és belső) személyeknek;
• munkaköri leírásban való szerepeltetés;
• kiszolgálói szerződésekben való szerepeltetés;
• külső és belső információbiztonsági tesztek.

A fentiekből látszik, milyen sok vetülete van az információbiztonságnak, bármely cég vonatkozásában. (S most még nem is éleztük ki a könyvelőirodára a kérdést!)

Arra kell a vállalkozás vezetésének törekednie, hogy a kockázatokat reálisan mérje fel, a feltárt hiányosságokat, hibákat minél gyorsabban javítsa ki és az információbiztonsági kérdéseket megfelelő súllyal kezelje a tevékenységében. Számviteli szakemberként is ezeket a tényezőket és veszélyforrásokat kell feltérképezni. A megoldásokban kell mindvégig figyelemmel lenni arra, hogy – adatfeldolgozóként – még jobban figyelnünk kell a mások értékeire is.

* * *

A PENTA UNIÓ Zrt. szervezésében 2018. június 14-én megrendezésre kerülő GDPR könyvelői szemmel – „Adj király katonát” avagy „Adj könyvelő garanciát” című előadás során elméleti háttér áttekintésén túl igyekszünk a gyakorlati oldalról is megközelíteni a könyvelési szolgáltatás és a GDPR kapcsolatát, valamint a könyvelők teendőit az információbiztonság oldaláról. Jelentkezz ma még kedvezményesen!