Információbiztonság

Nem csak könyvelői kérdés!

iformáció

Az információ védelmének – túl a GDPR adta szabályozás kötelmén – egyre nagyobb jelentősége van, hiszen az információ elvesztése nagy károkat idézhet elő, másik oldalról az információ megszerzése jelentős előnyökhöz juttathat vállalkozásokat, személyeket. Ennek érdekében az információ birtokosának a lehetőségeihez mérten mindent meg kell tenni a megfelelő védelem kialakításával.

Tisztában kell lenni azzal, hogy azok, akik valamilyen információt meg szeretnének szerezni, nem rettennek vissza még a legagyafúrtabb (akár illegális) eszközöktől sem annak érdekében, hogy szert tegyenek bizonyos dokumentumokra vagy adatokra.

Az adatkezelőknek és adatfeldolgozóknak mérlegelni kell a rendelkezésükre álló adatvagyont abból az aspektusból is, hogy

  • az milyen értéket képvisel, illetve
  • kik számára fontos az adott információ.

E két tétel egybevetése már segítség arra vonatkozóan, hogy milyen védelmi rendszert kell kiépíteni és folyamatosan üzemeltetni az adott információ biztonságos kezelése vagy feldolgozása érdekében. A veszélyforrások különböző területeken keletkezhetnek. Az alábbiakban azokat a területeket tekintjük át – a teljesség igénye nélkül – ahol kiemelt figyelmet kell fordítani az információbiztonságra.

Alkalmazott szoftverek

Alkalmazott szoftvereknek azok tekinthetők, amelyek részt vesznek az adott információt tárolásában, feldolgozásában, archiválásában. E terület veszélyforrásai lehetnek:

  • a szoftver szakszerűtlen kiválasztása, amely nem biztosítja a kiválasztott szoftvertől elvárt funkciót – ahhoz, hogy ezt elkerüljük, a következőket célszerű megvalósítani:
    • igények, feladatok, erőforrások előzetes megismerése és erre a leghatékonyabb megoldás megtervezése
    • más forrásból tapasztalatok összegyűjtése
  • a szoftver nem hozzáértéssel történő használatának veszélyei – elkerülésére a következőket célszerű megvalósítani:
    • a szoftver útmutató, kézikönyv, betanítás igénybevétele a szoftver használata előtt;
    • nem hozzáértő és illetéktelen személyek hozzáférésének korlátozása;
    • szükséges szoftverfrissítések rendszeres és hozzáértő szakember általi telepítése;
    • a kiválasztott szoftver rendszeres karbantartásának, hibajavításának rendszerszintűvé tétele;
    • a szoftver elavultságának első jeleit észlelve korszerűsítési igények felmérése.

Rendszerszoftverek

Rendszerszoftvereknek azok tekintendők, amelyek olyan hálót biztosítanak az alkalmazott szoftverek számára, amelyben azok biztonságosan tudnak üzemelni. E terület veszélyforrásai a következők lehetnek:

  • átgondolt fejlesztési politika hiánya – ezt elkerülendő a következőket célszerű megvalósítani:
    • a belátható időre (bár ez az IT világban elég rövid) kialakított fejlesztési koncepció rögzítése;
    • megfelelő (lehetőleg a szektor sajátosságaiban) tapasztalattal rendelkező rendszergazda alkalmazása;
  • illetéktelen behatolásoktól való rendszerszintű védelem kialakításának a hiánya – ezt elkerülendő célszerű a következők megvalósítása;
    • az egész rendszert átfogó és hatékony vírus védelmi rendszer kialakítása;
    • vírusvédelmi rendszer naprakészségének biztosítása;
    • tűzfalak, kiber-támadásoktól védő rendszer működtetése.

Hardverek és hálózatok

A cég működésében lévő számítógépek, illetve a hozzá tartozó perifériák (például monitorok, nyomtatók, routerek stb.) rendszerszintű működtetése, belső kiépített hálózattal, vagy virtuális hálózattal, potenciális veszélyben vannak. E terület veszélyforrásai lehetnek például:

  • nem az igényeknek megfelelő rendszer működtetése (alultervezett vagy túlzott rendszer);
  • elvi döntés a „föld” vagy „felhő” kérdésben;
  • illetéktelenek rendszerre való csatlakozása;
  • áramellátás biztosítása;
  • a különböző időpontokban vagy más specifikációval beszerzett eszközök közötti összeférhetetlenségek, működési rendellenességek.

Mindezeket kivédendő  célszerű a következőket megvalósítani:

  • összehangolt, átgondolt beszerzés politika;
  • megfelelő időszakonként a hardver és hálózati elemek, perifériák szakszerű karbantartása;
  • szünetmentes áramforrások beiktatása;
  • megfelelő üzemi hőmérséklet biztosítása (légkondicionálás)
  • biztonságos mechanikus tároló rendszerek (rack szekrények, tarolók) és megsemmisítő eljárások.

Épület, számítóközpont, szerverszoba

Azoknak a helyiségeknek a fokozott védelméről is gondoskodni kell, ahol információkat tárolnak, feldolgoznak. E terület veszélyforrásai lehetnek:

  • fizikai behatolás (betörés)
    • megfelelő hatékonysággal bíró ajtók, zárak, rácsok megléte;
    • riasztórendszer kiépítése, működtetése;
  • katasztrófa bekövetkezése
    • tűzvédelmi rendszer kialakítása;
    • villámcsapás elleni védelem kialakítás;
    • vízkárok, csőtörés esetleges kárhatásának csökkentése.

Személyek

A társaságnál dolgozók és a társasággal bármilyen kapcsolatban álló személyek, akik a kezelt, illetve feldogozott adatokkal kapcsolatba kerülhetnek, komoly információbiztonsági kockázatot jelenthetnek. E terület veszélyforrásai lehetnek:

  • folyamatok nem megfelelően szabályozott volta miatt adatszivárgás valósul meg;
  • információ kiszivárogtatás tájékozatlanság, jóhiszeműség miatt;
  • célzott információkiadás, melynek oka megvesztegetés;
  • információkkal való visszaélés valamilyen motivációval (bosszúállás);
  • adatok továbbításánál keletkező tévutak;
  • alvállalkozói kapcsolatban lévő vállalkozásokkal vagy más üzleti partnerekkel folytatott kommunikáció;
  • az adott társasággal kiszolgálóként (részfeladatok átvállalása, infrastruktúra biztosítása kapcsán) kapcsolatba kerülő vállalkozások adatbiztonsági viselkedése;
  • kommunikációs rendszerek működtetéséből eredő információ kiáramlás.

Ezek ellen célszerű tudatosítani mindenkiben, aki adatokkal, információval kerül kapcsolatba, az információbiztonsági kockázatokat és azok vélhető következményeit. Ennek formája lehet:

  • belső rendszer áttekinthető felépítése;
  • oktatások, képzések érintett (külső és belső) személyeknek;
  • munkaköri leírásban való szerepeltetés;
  • kiszolgálói szerződésekben való szerepeltetés;
  • külső és belső információbiztonsági tesztek.

A fentiekből látszik, milyen sok vetülete van az információbiztonságnak, bármely cég vonatkozásában. (S most még nem is éleztük ki a könyvelőirodára a kérdést!)

Arra kell a vállalkozás vezetésének törekednie, hogy a kockázatokat reálisan mérje fel, a feltárt hiányosságokat, hibákat minél gyorsabban javítsa ki és az információbiztonsági kérdéseket megfelelő súllyal kezelje a tevékenységében. Számviteli szakemberként is ezeket a tényezőket és veszélyforrásokat kell feltérképezni. A megoldásokban kell mindvégig figyelemmel lenni arra, hogy – adatfeldolgozóként – még jobban figyelnünk kell a mások értékeire is.

* * *

A PENTA UNIÓ Zrt. szervezésében 2018. június 14-én megrendezésre kerülő GDPR könyvelői szemmel – „Adj király katonát” avagy „Adj könyvelő garanciát” című előadás során elméleti háttér áttekintésén túl igyekszünk a gyakorlati oldalról is megközelíteni a könyvelési szolgáltatás és a GDPR kapcsolatát, valamint a könyvelők teendőit az információbiztonság oldaláról. Jelentkezz ma még kedvezményesen!

Hozzászólások

Jelenleg nincs hozzászólás, légy te az első!

Értékelés, hozzászólás
Az értékeléshez és hozzászóláshoz kérjük jelentkezz be!