Mi is képviseltettük magunkat, az ügyvezetőnk, Horváth Tamás házon belül is adott egy rövid összefoglalót saját előadásának részleteiről.

Klasszikus hibák az adatvédelemben

Ha egy vállalat digitális megoldást szeretne alkalmazni egy problémára és alkalmazás fejlesztésbe kezd akár házon belül, akár kiszervezve a fejlesztési tevékenységet, számos kockázattal kell, hogy számoljon. Igaz ez már a tervezés legelső szakaszában is. A frissítések hiánya és ezeknek a betervezése már a fejlesztési szakaszban egy folyamat szintű hiba. Az is gondot jelent, hogy a biztonsági tudatosság az alkalmazottaknál és ennek az oktatása nem elég hangsúlyos.

„Általában a fejlesztők nagyon értenek a fejlesztéshez, de az infrastruktúra üzemeltetés az teljesen más terület. Abba az irányba halad a világ, hogy a fejlesztések önmagukban egyre inkább egyszerűsödnek. Vannak no code platformok, amin gyakorlatilag majdhogynem programozói tudás nélkül lehet alkalmazásokat kiadni. Nyilván ez azt eredményezi, hogy az adott alkalmazást készítő szakember bizonyára nagyon ért a no coding technológiákhoz, de az alatta lévő infrastruktúrákhoz és ezeknek a működéséhez már kevésbé.  Ez egy komoly hiányosság. Ő így fel sem tudja mérni, hogy egy infrastruktúra üzemeltetés, fejlesztés és ezeknek a biztonsági kockázata hogyan arányulnak egymáshoz. Ő elkészít egy alkalmazást, azon van egy funkció, ez nagyon jól működik, azonban az, hogy ezalatt a komplett infrastruktúra sérülékeny. Ezzel viszont –  én azt látom – hogy nem is foglalkoznak most már  fejlesztők.”

Két kedvezőtlen alapvető hiba

Tipikus probléma, hogy az alkalmazás elkészül, ez lehet egy teljesen zöldmezős fejlesztés, vagy lehet egy CMS (content management system) rendszerhez kiegészítő modul fejlesztése, azonban, mivel hiányzik a security a DevOps részből, vagy akár pusztán a fejlesztési részből, ezért a későbbiekben a folyamatos  fejlesztést illetve frissítést nem tervezik bele a projektekbe, ezért miközben elavul az alkalmazás vagy akár az azt futtató környezet, erre nincs felkészülve a szervezet.

„Ettől fogva egyre nagyobb és nagyobb számosságú sérülékenység található meg a rendszerekben. Ezt fogják tudni  előbb vagy utóbb kihasználni a támadók még akkor is, ha nem célzottan minket támadnak hanem csak véletlenül érik el  ezt az alkalmazást és ez egy olyan probléma, amit a gyakorlatunkban az ügyfeleinknél is látunk. Ez az egyik fő területe a betöréseknek és az adatszivárgásnak.”

A másik problémagóc a felhasználói végpontokon található. A felhasználóknál jellemző a biztonság- és adatvédelem terén aktívan alkalmazott tudatosság nem megfelelő szintje, illetve a végpontvédelem hiánya.

DevSecOps szemlélet szerepe

Korábbi bejegyzésünkben írtunk egy rövid összefoglalót a DevSecOps-ról, most az adatvédelem komplex problémakörében elfoglalt helyéről esik pár szó. Pár lépést távolodva a megelőző lépések és a szoftverfejlesztési szakasztól meg kell értenünk, hogy milyen egyéb szempontoknak kell megfelelnie a terméknek a felhasználó oldalán.

„A biztonság az mindig egy kényelmetlenséget jelent mind a mai napig. Az, hogy jelszavakat kell használnunk és nem csak belépnünk egy weboldalra, ez egy kényelmetlen dolgok. Meg kell jegyeznünk jó esetben a jelszószéfünknek a jelszavát. Legrosszabb esetben meg emlékeznünk kell rá, hogy milyen jelszót adtunk meg egy adott rendszerben. A kétfaktoros azonosítást nagyjából minden támogatja, de ennek a beállítása sem feltétlenül intuitív. Egy átlag felhasználó, most gondolok itt a közvetlen környezetemre, akik nem informatikusok, nekik az egy elérhetetlen dolog.”

A biztonsági funkció kényelmetlen. Az adatvédelemhez szükséges rutin lépések a mindennapokban terhet jelenthetnek azoknak, akik nem látják át mélységében miért is van erre szükség.  Ezért létrejön egy nagyon erős ellentmondás. Az üzlet azt akarja, hogy a lehető legkényelmesebben, lehető leghatékonyabban dolgozzon a munkavállaló, külső partner, vagy az ügyfél, ezzel szemben kell bevezetnünk egy kényelmetlen funkciót. Azt fel tudják mérni egy közvéleménykutatással, hogy hányan fognak az új rendszerbe regisztrálni, ha ez kényelmetlen a konkurenciáéval szemben, ami kevésbé biztonságos, de kényelmesebb. Oda fognak menni, mert egyszerűbb a bejelentkezés.

A megrendelő szempontjai

A szoftvert megrendelő ügyfelek oldaláról sem feltétlenül szempont a valódi biztonság. Persze legyen biztonságos, meg GDPR elvárásoknak megfelelő, de ez önmagában nem egy specifikáció, ez egy igény, vagy egy vízió, amit definiálni kell.

Ha nincs jelen ebben az IT security munkatárs, és nincs C levelre emelve, akkor a vezető jellemzően nagyon egyszerűen elmondja az ő vízióját, az lesodródik a megvalósítási szintre, a és mivel a fejlesztő nem IT biztonsági szakember, és az üzemeltető sem az, ezért bizonyára mindkét réteg elvégzi a maga feladatár, de a komplett architektúra szintű IT információ- és adatvédelmi biztonsági lépéseket nem hajtják végre. Lyukas marad a rendszer.

Az optimális működés

A biztonsági szakembernek az a feladata, hogy amikor egy vállalkozás, agy egy cég arra adja a fejét, hogy egy egyedi alkalmazást, vagy egy egyedi modult fejleszt, elmondja, hogy hogyan is lesz GDPR compliant, meg hogyan lesz biztonságos az adott infrastruktúra, érvényesülni az adatvédelem irányelvei és nem az fogja meghatározni, hogy ez milyen nyelven programozzon a fejlesztő kolléga, vagy milyen üzleti funkciókat lásson el a termék, hanem képviseli a biztonságot, mint önálló funkciót azon túl hogy például a számlákat fel lehet benne rögzíteni.

„A Brightdea Solutionsnál a Rapid 7 működésében és a tudásában hiszünk, ezt szoktuk ajánlani az ügyfeleinknek, hogy ezt a fajta automatikus sérülékenységvizsgálatot biztosítsák a hálózatukon belül az alkalmazásukra. […] Minden olyan szervezetnél, ahol külső-belső fejlesztés van, szoftverfejlesztés, azonban az üzemeltetés akár házon belül, akár házon kívül van, ott azt a kapcsolatot meg kell tudni teremteni, ami a security mind a fejlesztés, mind az üzemeltetés között áll fenn. Arra mi abszolút tudunk támogatást adni, akár harmadik külsős félként, hogy az egyébkénti külső fejlesztést és külső üzemeltetést security szempontból legalább ugyanarra a platformra hozzuk és az üzleti elvárásnak  megfelelő alkalmazást tudjanak szállítani úgy, hogy annak az üzemeltetése is biztosított legyen.”

Azon felül, hogy rendszeresen vizsgáljuk a felmerülő esetleges sérülékenységeket, tehetünk további adatvédelmi lépéseket. A határvédelem legalább olyan fontos, hogy a plusz kontroll szintet be tudjuk vezetni. Fenntartja a biztonságos működést, amíg az alkalmazások frissítése ciklikusan és egymás után újra és újra ki nem kerülnek a rendszerekre, erre a PaloAlto Networks határvédelmi termékeit ajánljuk.

Adatvédelem, adatszivárgás, a teljes kép

Az elmúlt viharos időszak és a megszaporodó kibertámadások áldozatául sokszor már nem csak a tényleges célpont esik. Több a „véletlenszerű” esemény nagyvállalatok rendszereiben, így a védelmi funkciók beépítése sokkal hangsúlyosabb szerepet kell, hogy kapjon. Leszűkíthetjük a támadók lehetőségeit, de mindent kivédeni nem tudunk. Mégis, nagyon fontos, hogy megnehezítsük a támadók dolgát, és megakadályozzuk az adatszivárgást.

Az adatvédelem közös célunk és feladatunk kell hogy legyen.

Összefoglalva a fentieket:

Biztonság beépítése a fejlesztésbe egy folyamatos szkenneléssel és felderítéssel biztosítja, hogy a lehető leghamarabb értesüljünk a lehetséges és ismert sérülékenységekről. Ehhez három rétegben kell gondolkodnunk

1. egyrészt a fejlesztési szakaszba be kell, hogy kerüljenek a biztonságtudatossági lépések,
2. másrészt, folyamatos szkenneléssel, folyamatos átláthatósággal fel kell derítenünk, hogy milyen sérülékenységeink vannak a hálózaton,
3. harmadrészt pedig amíg a frissítéseket ki nem tudjuk tenni ezekre az alkalmazásokra, egy olyan kontroll eszközt kell tudnunk bevezetni, ami folyamatában védi ezeknek az alkalmazásoknak a sérülékeny részeit.

Ezzel a hárommal tudjuk a legalacsonyabbra csökkenteni az adatszivárgások és a betörések kockázatát.

The post Adatvédelem a fejlesztésben – DevSecOps appeared first on Brightdea Solutions Kft..

Szinte elképzelhetetlen volt már 10 évvel ezelőtt is, hogy elsajátíthatunk egy szakmát anélkül, hogy életünk végéig tovább ne képezzük magunkat. Mára már lassan az is elképzelhetetlen, hogy csak egyféle szakismerettel tudjunk karriert építeni. A munkapiac rohamosan változik körülöttünk. A munkavégzés módja, helye, ideje, jogviszonyának formája is rengeteg lehetőségek óceánját biztosítja számunkra. Hibrid. Ez az új hívószó. Ebben a változatos környezetben magunknak is legalább kétélttűvé kell válnunk, hiszen a körülöttünk lévő vízben már nem csak élőlények úszkálnak, de mesterséges intelligenciával felruházott cápák is.

Stratégiai blokk

A konferencia első blokkjában a stratégiai tervezésről volt szó.

A hibrid megoldások szolgálhatják a hatékonyságnövelést. Látjuk azonban, hogy az önvezető autók, a teljesen automatizált emberi feladatok egyelőre még nem fogják pótolni a humán munkaerőt. A legfontosabb kulcseleme a modern innovációk használatának a bizalom. A leghétköznapibb példa, amikor navigációs applikációt használunk az útvonaltervezéshez. Bízunk benne, hogy a közlekedésben résztvevő társaink hozzánk hasonlóan rögzítik a megfigyeléseiket az úton, és az elérhető információ mindig friss. Ahhoz, hogy egyes megoldásokat egy teljes szervezetre kiterjesszünk, ezt a fajta bizalmat népszerűsítenünk kell azoknak a körében, akik azt használni fogják. ellenkező esetben nem áll elő az az adat, ami vezetői döntéselőkészítésre alkalmas, és a befektetett idő, és erőforrás kárba vész.

Azt is megtudhattuk, hogy a hibrid megjelenik, ha akarjuk, ha nem. Az új megoldások taktikai versenyelőnyt jelentenek. A legtöbb, amit tehetünk, ha a vállalat zászlajára tűzzük a rezilienciát értékként, és a változásmenedzsment egészséges részt kap a mindennapi működésben, valamint a munkatársaink készségfejlesztésre komolyabb hangsúlyt fektetünk. Az IT palettán gyakorlatilag mindegyik tudásintenzív szakma. Ez az irány megkerülhetetlen.

Kihívást jelenthet a hibrid megoldás a KKV szektorban, ahol erősen képviselteti magát az „ezer éve így csináljuk, miért kellene változtatni?” szellemiség. Egyes innovációk akkor tudnak érvényre jutni, ha képesek vagyunk interdiszciplinális együttműködést létrehozni. Ehhez a fenti parancs is rettentően fontos. Nem elég folyamatosan fejlődni. Ez a klasszikus T-modellt leváltó π-modell. A felszínes, de széleskörű ismeretek és egy terület elmélyült ismerete helyett legalább kettőre van szükség.

A digitalizációs trendek pedig azt mutatják meg számunkra, hogy a sok rendszerből arra törekszünk, hogy lehetőleg egy nagyot kelljen csak kezelni.

Humán blokk

Magyarországon a digtalizációs index (DESI) alapján a 27 EU tagállam közül a 23. helyen áll. Elhangzott, hogy a digitalizációs projektek mindössze 30%-a zárul sikerrel. Ennek számos oka van. A digitális eszközhasználat nő, ugyanakkor a magabiztos digitálisismeretekkel jól felvértezett humántőke csökken. Az adatbiztonság terén már-már közhelynek számít, hogy az egyik legjelentősebb kockázati faktor ez az ismerethiány a végfelhasználó oldalán. A legtöbben nem bíznak az új technológiákban, mert nem értik a komplex működést, és ebben az esetben egy új innováció bevezetése is magas kockázattal jár. A szervezet számára a hibrid hibrid munkavégzés alkalmazásánál a teljes transzparencia segíthet ezekben az időszakokban, ha mindenki számára világos, hogy mi a célja a változásnak, az újdonságok elfogadása is gördülékenyebb. A „bárhonnan dolgozás” kihívások elé állítja a stratégákat és a teljes menedzsmentet. Ha nincs kellőképpen oktatva az adatvédelmi protokoll, a vállalati adatvagyon könnyen hozzáférhetővé válhat idegenek számára.

Mindemellett első sorban persze az ember áll a középpontban. Az elmúlt két évben alkalmazkodnunk kellett a korlátozásokhoz, tilalmakhoz, a munka és magánéletnek is követnie kellett ezeket a változásokat. A vezetőkön is nőtt a nyomás emiatt. Globálisan megfigyelhető trend a „the great resignation”, vagyis a nagy felmondási hullám, ennek kell ellentartaniuk. A hibrid megoldás hatékonysága az egyéni preferenciák mentén növekedhet, vagy eshet vissza. Azzal, hogy az otthonunkból is dolgozunk, néhányunknak nehezebb koncentráltan végezni a mindennapi feladatainkat, hiszen azok a feladatok, amik munka után várnának, most egész nap velünk vannak. Akárcsak a család.

Ezek mind elvonhatnak bennünket a feladatainktól, növelve az elhalaszott feladatok okozta stresszt. És vannak olyan kollégák is persze, akik számára az irodai körnezet volt korábban megterhelő, és most látványosan nagyobb teljesítmény leadására képesek, könnyedén kihasználják az otthoni munka előnyeit. A vezetőknek meg kell oldaniuk, hogy a csapatok ennek ismeretében is megfelelően kooperáljanak, és a fő folyamatok tekintetében ne legyen fennakadás.

Jól kérdezni nehéz. A válasz 42

Ezzel az anekdotával vezették be az elégedettségmérés komplex problémakörét. Kihívást jelent, hogy jó kérdést tegyünk fel ahhoz, hogy a hibrid munkavállalkók igényeit pontosan fel tudjuk mérni, így teremtve egyensúlyt az irodai fenntartási költésggel, és a sűrűbb szociális interakciókat igénylő munkatársag igényei között. Persze emellett számos lehetőségünk van a kapcsolatok fenntartására, de a megfelelő program megválasztása csapatonként változhat. Egyes esetekben a közös reggeli kávézások online térben is kényelmesen megejthetők, míg, máshol az effajta kísérlet már az első próbálkozásoknál kudarcba fullad. A három fő építőelem: Bricks, Bites, és Behaviour, ahol is az első az iroda fenntartása, irodai jelenlét, a második a használt technológia a távmunka biztonságossá tételéhez, a harmadik pedig a közös szokások kialakítása a megváltozott környezetben végzett csapatmunkához.

Az irodai jelenlét tekintetében pedig érdekes módon épp a vezetők, akik ragaszkodnak a bejáráshoz. Az irodai környezet fizikai változás előtt áll. Megnőtt az igény a kolalborációs helyiségek kiépítésére. CRM és ERP rendszerekbe ültetett folyamatokkal áttekinthetőbb a közös együttműködés. Ezek némelyikébe is kaphattunk rövid betekintést az előadások során. Többségük nagyválallati környezetben jelenthetnek biztosabb megoldást. Láthatóan a megfelelő technológiák használatához kapcsolódó oktatás mellett autonómiát, bizalmat és felhatalmazást kell biztosítanunk a kollégák számára.

Ezek figyelembevételével kell HR stratégiát építeni.

Technológia

Az adatközpontunk is hibrid. Legalábbis abban a tekintetben, hogy most már a felhőtechnológia elég elterjedt, mégis gyakran tartunk fent saját adatközpontot. Szerencsére számos faltól-falig hiperkonvergens hibrid megoldás áll rendelkezésre. A munkavállalók életkori diverzitása üdvös a szervezet működésére nézve, ezzel együtt jár azonban – ahogy a humán blokkban is többször szó esett róla – azzal, hogy az idősebb kollégák attitűdje negatívabb a fejlesztések bevezetése során.

Így a folyamatainkat nem tudjuk teljesen automatizálni, meg kell találnunk ebben is az egyensúlyi állapotot. A manualitás csökkentésével a folyamat nem változik meg teljesen. Vegyük például a számlázás folyamatát, pénzügyekkel minden szervezetnek foglalkoznia kell. Számos lehetőség közül válogathatunk, viszont 6000 – 10 000 számla felett érdemes abban gondolkoznunk, hogy a teljes folyamatot bízzuk a technológiára.

Találhatunk olyan low-code megoldásokat is, ahol modulokból személyre szabható csomagot állíthatunk össze az alapvető működésünk mozzanataira ültetve.

IT biztonság

Meghívott előadóként Horváth Tamás, a Brightdea ügyvezetője is mesélt arról, milyen kihívásokkal találkozik az IT biztonsági tanácsadó, ha fejlesztőkkel dolgozik együtt. A szakmai megoldások, és új szemléletmódok közül jó irány a DevSecOps, ha azt megfelelően implementálja a csapat. Erről korábbi posztunkban bővebben írtunk.

Szó esett a távoli elérés kockázatáról, a dokumentáció mennyiségének elégségességéről és arról, hogy ez jelenleg sok helyen nem megoldott. A biztonságtudatosság nem állhat annyiból, hogy megvásárlunk egy dobozos terméket, és nem tervezünk előre hosszú távon.

Az aktuális szakmai irányokról bővebben későbbi posztjainkban számolunk be.

The post Hibrid verseny küszöbén appeared first on Brightdea Solutions Kft..

DevOps és DevSecOps

A 2009-ben indult DevSecOps szemlélet az új technológiák térhódításával válik egyre népszerűbbé, lássuk, hogy miről van szó pontosan.

A hagyományos DevOps megközelítésben a biztonsági tesztelés a fejlesztési folyamat vége felé történik – jellemzően akkor, amikor az alkalmazást már telepítették a termelési környezetbe. Ennek oka, hogy a biztonsággal kapcsolatos feladatok, például a biztonságos konfigurációkezelés és a sebezhetőségi vizsgálat meglehetősen időigényes lehet, ami lelassítja a fejlesztési folyamatot.

A DevSecOps szemlélet ezzel szemben a biztonsági tudatosság folyamatos integrálásának gyakorlata a szoftver, vagy alkalmazásfejlesztés teljes életciklusa során.

Annyit tesz, mindenki felelőssé válik a biztonságért, hogy a fejlesztési és üzemeltetési döntéseket azonos mértékben és sebességgel hajthassuk végre.

A megfeleltetés költségei csökkennek, a szoftverek pedig hamarabb szállíthatóak, a fokozott automatizálás és a teljes szoftvertovábbítási pipeline kiküszöböli a hibákat, csökkenti a támadásokat és az állásidőt

Új kockázati környezet

A felhőtechnológia, valamint a konténerek és mikroszolgáltatások térhódítása alapvetően megváltoztatta a szoftverfejlesztés módját, megkövetelve a szervezetektől, hogy újraértékeljék biztonsági irányelveiket, gyakorlataikat és eszközeiket.

A DevOps-kultúrában az alkalmazásprogramozási interfész (API) és konfigurációs eszközökre van szükség az infrastruktúra kódként való lebontásához, amelyet aztán a fejlesztőcsapat adaptálhat és átdolgozhat. Ez lehetővé teszi a fejlesztők számára, hogy külön infrastrukturális csapat bevonása nélkül biztosítsák és skálázzák a szükséges infrastruktúrát.

Ugyanakkor a szerver nélküli funkciók, mikroszolgáltatások és konténerek fejlesztők általi elterjedése új biztonsági kockázatokat hozott, amelyekkel számolni kell. Az IT-nek meg kell felelnie annak a kihívásnak, hogy konzisztens biztonságot tartson fenn az adatközpontjában és a nyilvános felhőkörnyezetben, ahol az alkalmazásokat telepítik.

Szembe kell nézni a jól kidolgozott eszközök hiányával is, amik a konténerek, az API sebezhetőségek és egyéb problémák megoldására szolgálnak.

A virtuális gép (VM) alapú felhőalapú telepítésekben a biztonsági eszközök és a legjobb gyakorlatok kiforrottabbak, és teljesebb körű felismerést és átláthatóságot biztosítanak a fenyegetések és a teljesítményproblémák tekintetében. Ugyanez nem mondható el a mikroszolgáltatásokat és konténereket kihasználó cloud native környezetekről. Röviden, a fenyegetési modell megváltozott.

Best practice a DevSecOps csapat felkészítésénél

Az új szemlélet szerint a legjobb, ha a biztonsági tesztelést a fejlesztőcsapat végzi el, illetve lehetővé kell tenni számukra a tesztelés során feltárt problémák kezelését és megoldását.

Lehetőség szerint automatizáljunk! A DevOps a gyorsaságról szól, és ezt nem kell, hogy változzon az új szemléletmód miatt. A fejlesztési ciklus korai szakaszában automatizált biztonsági ellenőrzéseket és tesztek lehetővé teszik az alkalmazás gyors átadását.

Bátran használjunk speciális alkalmazásokat! Számos open source megoldás lehet segítségünkre (például CyberArk Conjur) már a kódírás közben is, ezek képesek átvizsgálni és megtalálni bizonyos biztonsági problémákat.

Végezzünk kockázati modellezést! Ezzel megmutatható eszközeink sebezhetősége (Forcepoint dinamikus adatvédelem).

A legpraktikusabb, ha a DevOps csapaton belül kijelölünk egy dedikált információbiztonsági vezetőt. Rendelkezzen szakértelemmel. Olyan jelölt legyen, aki az alkalmazásbiztonság terén a csapat többségénél magasabb szintű képzést végzett ezen a területen. Ő felülvizsgálhatja a biztonsági javításokat és segíthet meghatározni és kidolgozni az alkalmazáshoz szükséges biztonsági ellenőrzéseket.

Az IT terület változékonysága elengedhetetlenné teszik, hogy az IT csapatot időről időre képezzük tovább. A biztonsági szemlélet korábban nem tartozott a DevOps-mérnökök vagy szoftverfejlesztők alapvető feladatai. Így itt a lehetőség, hogy tantervet vagy képzési programot dolgozzunk ki, hogy az IT-csapatukat felkészítsük a DevSecOps alapelveire.

Ha egy lépést teszünk hátrafelé, a vállalat szabályozási környezetét is meg kell vizsgálnunk.

Fontos, hogy végezzünk kockázat/haszon elemzést a szervezet jelenlegi kockázattűrő képességének meghatározásához.

Legyen átfogó, beépített biztonsági stratégiánk, amely a biztonsági környezet meglévő sebezhetőségeit és ismert fenyegetéseit kezeli.

Így az informatikai folyamat minden egyes fázisába beépül a biztonsági szemlélet. Ezáltal

• minimalizálhatóak a sebezhetőségek és
• biztosított a megfelelőség
• a kiadási ciklusok sebességét nem befolyásoljuk.

The post A DevSecOps szemléletben rejlő lehetőségek appeared first on Brightdea Solutions Kft..

The post A stratégiai változásokhoz nélkülözhetetlenek a kibervédelmi megoldások appeared first on Brightdea Solutions Kft..

Cikksorozatunk előző részeiben már rávilágítottunk arra, hogy a vezető vállalatok milyen megoldásokkal próbálják csökkenteni az emberi munkaerő rendelkezésre állásától való kitettségüket és milyen kérdéseket szükséges feltenniük az IT biztonsági stratégia és az „elfelhősödés” felülvizsgálata során önmaguknak.

Most a kérdéseken túl a felülvizsgálatok elvégzése során alkalmazható lépéseket, a felülvizsgálat végrehajtása során jól használható eszközöket/megoldásokat, valamint az IT biztonsági stratégiai egy-egy kiemelt területein alkalmazható megoldásokat szeretnénk bemutatni Önöknek.

Az, hogy vállalatunk milyen biztonsági szintet képvisel a „leggyengébb láncszem” aktuális biztonsági szintje határozza meg.

Az elmúlt időszakban végbement technológia változások (lásd: „elfelhősödés”, IT (IoT) és OT rendszerek határainak elmosódása), a megváltozott munkakörnyezet, a fokozódó kibertámadások, mind abba az irányba mutatnak, hogy nem elég csak „leporolni” az elmúlt évi IT biztonsági startégiát, hanem újra egy komplex elemzésnek kell alávetni a teljes IT rendszerünket, ami nem egy esetben már IoT eszközöket és OT rendszerekkel való összekapcsolódásokat, OT eszközöket is jelent.

1. Assetek meghatározása

Első és legfontosabb felülvizsgálati lépésként mindenképp szükséges meghatároznunk azt, hogy milyen elemek (assetek) és szolgáltatások alkotják valóban az IT, IoT, OT infrastruktúránkat.

Erre számos „explorer” funkcióval rendelkező szoftver is rendelkezésünkre áll, melyek mind IT (IoT) és OT környezetben is használhatóak.

Fontos kiemelni, hogy az explorer funkcióval az IT (IoT) és OT eszközök láthatóságát kell megteremtenünkezért érdemes olyan terméket választani, mely az eszközökről a lehető legtöbb adat rögzítésére képes.

Az explorer funkció alkalmazása a hagyományos IT rendszerek tekintetében nem kérdés (és számos eszköz rendelkezésre áll), azonban OT rendszerek használata esetén érdemes olyan eszközöket választani melyek képesek OT környezetben is a forgalmak monitorozására, vagy képesek a hálózati eszközök SPAN portján keresztül a hálózati forgalmat kitükrözni, illetve TAP-ek és packet broker eszközök elhelyezésével lehallgatni, majd gyűjteni és szűrt adatok formájában továbbítani az információkat az elemzést végző berendezésnek.

Az eszközök láthatóságának megteremtése után nagyon fontos kérdés, hogy meg tudjuk határozni azt, hogy a feltárt eszközök milyen kapcsolatban vannak egymással, illetve milyen kapcsolatban állnak a külvilággal. Ebben nagy szerepe van az explorer funkcióval rendelkező szoftver esetén a vízuális megjelenítés lehetőségének, mely a hálózati kapcsolatokat, alhálózatokat, topológiai kialakítást is képes megjeleníteni.

Az egyes eszközök vízuális megjelenítésén túl a biztonsági stratégia kialakítása kapcsán fontos szerepe van annak, hogy pontosan meg tudjuk határozni az adott eszköz (vagy eszköz csoportok) milyen protokollokon keresztül, milyen információkat cserélnek egymással vagy a külvilággal, továbbá a kommunikáló eszközök milyen operációs rendszerrel, firmware verzióval vannak ellátva.

2. A sérülékenységek meghatározása és kezelése

Ha már az előző pontban meghatározottak szerint ismerjük az infrastruktúránkban lévő eszközöket és a kommunikációs protokollokat, akkor egy sérülékenység vizsgálati és menedzsment eszköz alkalmazásával azok releváns sérülékenységei is feltárhatók. Mindezt manuális és automatikus és ütemezett vizsgálatok megadásával akár folyamatosan is megtehetjük.

Az üzemeltető személyzet munkát és a biztonsági javítások végrehajtását segíti, hogy a napjainkban használt sérülékenység vizsgáló eszközök nem csak egyszerűen meghatározzák a sérülékenység típusát, hanem ha arra létezik azonnali – gyártók által kiadott- javító csomag akkor azok telepítésére vonatkozó javaslatokat is felajánlanak (CVE számok). A javítócsomagok tesztelését, telepítést és utólagos ellenőrzését segíti, hogy a rendszerek nyomon követik azt is, hogy mikor és milyen biztonsági javító csomagok kerültek telepítésre. (és természetesen megmutatják azt is, ha két vizsgálat között ezen feladat nem, vagy csak részben került végrehajtásra.

 

3. Biztonsági események figyelése, anomáliák felfedezése és kezelése

Az előző pontban bemutatott sérülékenységek meghatározása és folyamatos javítása rutinszerűen végrehajtandó feladat kell, hogy legyen az IT üzemeltetési és biztonsági személyzet számára az IT rendszerek tekintetében. De mit tudunk kezdeni az OT rendszerekkel? Mit tudunk kezdeni az olyan sérülékenységekkel melyek javítása nem oldható meg?

Ebben az esetben javasoljuk, hogy azok folyamatos monitorozását, az eszközök SIEM rendszerbe való integrálását, amennyiben az eszköz a külvilággal is kommunikál a tűzfalakkal, tűzfal szabályokkal való integrálását (és megfelelő szabályrendszer alkalmazását, rendszeres felülvizsgálatát!) tegyék meg.

Az üzemeltető és biztonsági személyzet munkáját segítik (sőt kiegészítik!) a SIEM (Security Information and Event management) rendszerek, melyek az észlelésen túl több különálló esemény között összefüggéseket is keresnek és beépített intelligencia segítségével képesek azokat egy eseménnyé korrelálni, riasztási határértékeket kezelni. Így az üzemeltető személyzet figyelmét az eredő okok elhárítására fókuszálni.

A biztonsági események figyelése kapcsán napjainkban már egyre több mesterséges intelligenciával ellátott viselkedés figyelő rendszer is megtalálható mely a hálózati forgalmak, felhasználói és adminisztrátori viselkedések folyamatos monitorozásával nyújthat segítséget a „normális” eseményektől való eltérések gyors és hatékony felderítésében.

A biztonsági események felfedezése után az események kezeléséhez ma már számos automatizmus is rendelkezésünkre áll SOAR (Security Orchestration, Automation, and Response) rendszerek formájában. Ezek lehetővé teszik egy szervezet számára, hogy adatokat gyűjtsenek a biztonsági fenyegetésekről, és emberi beavatkozás nélkül reagáljanak az alacsony szintű biztonsági eseményekre.

 

4. Határ- és vépontvédelem kialakítása, hálózati kapcsolatok védelme

Az IT biztonsági stratégia kialakítása kapcsán nem elhanyagolható tény, hogy az IT rendszereink határvonalai köszönhetően a covid járványnak, távoli- és mobil munkavégzésnek jelentősen eltolódtak. A korábbi klasszikus irodai munkavégzés áttevődött az IT infrastruktúra felhasználóinak otthonaiba, mobil eszközökön keresztül akár külföldi, vagy helytől független lokalizációból történő munkavégzésre.

Ez a „helytől független és rugalmas” munkavégzés a számos előnnyel járt a munkaerő rendelkezésre állása szempontjából és a munkafolyamatok végrehajtása tekintetében, azonban számos problémát, sőt potenciális biztonsági fenyegetettséget is magával hozott.

Gondoljunk csak bele, hogy otthoni munkavégzés során az internet kapcsolatot biztosító router konfigurálása hány esetben tartalmazhat gyári beállításokat, milyen gyakran történik meg az otthonokban az eszközök firmware frissítése egy átlag felhasználónál?

Gyakran heteik- sőt manapság akár hónapokig- a felhasználó nem jut be az irodába, így a központi hálózat védelmében kialakított biztonsági beállítások eljuttatását és alkalmazását is meg kell oldani a felhasználói munkaállomásokon, mobil telefonokon.

Ezekre és még további fenyegetettségekre az általunk is forgalmazott végpontvédelmi megoldások adnak választ. Legyen az:

• Ransomware elleni védelem,
• tűzfal,
• anti-phising és webszűrés,
• ávoli felhasználók valós idejű ellenőrzése,
• USB-szkennelés és az összes rosszindulatú program belépési pontjának blokkolása,
• fejlett malware elleni védelem és gépi tanulás,
• végpontok kockázatkezelése és -elemzése.

Az otthoni környezetben végrehajtott munka során szükséges a védett vállalati hálózathoz való csatlakozás, de ezt kellően védett csatornákon keresztül teszik meg a felhasználók? Adatvédelmi szempontból pedig tudjuk-e szabályozni azt, hogy a vállalati szempontból bizalmas és „kényes” adatok szivárgását távolról is megoldjuk? Erre a DLP megoldások nyújtanak hathatós segítséget!

Az általunk védettnek gondolt vállalati hálózat határvédelmi megoldása (tűzfala) egy szofisztikált és több hálózati végpontról érkező, akár napokig és nem nagy intenzitással kivitelezett támadást is képes kiszűrni/észrevenni? Az alkalmazott tűzfal megoldás olyan technológiát használ, mely képes ezeket felfedezni? Ma már csak NGFW technológiával ellátott tűzfalakkal tudunk hatékonyan védekezni a kibertámadások ellen!

5. Jogosultságok és azonosítási megoldások kezelése

Végül, de nem utolsó sorban fontos és kiemelt témakörként kell megvizsgálnunk az IT és OT eszközök tekintetében használt jogosultságkezelési megoldásokat, azonosítási megoldásokat is.

A rendszerek felhasználói, üzemeltetői és karbantartói, sőt sok esetben külső beszállítók, alvállalkozók is hozzáférnek az infrastruktúra elemekhez, a rendszerekben tárolt információkhoz.

A hozzáférési azonosítók felhőben, on-premise rendszerekben, vagy hibrid megoldásoknál is, admin felhasználók esetén adott hálózati eszközöknél, szervereknél, felhasználóknál a munkaállomásokon laptopokon is azonosíthatnak bennünket. De mindez kellően biztonságos? Egy jelszót alkalmazunk mindenhol? A jelszó kellően összetett-e? Az authentikációs folyamat legalább két lépcsős hitelesítéssel történik? Hol és milyen védelmi mechanizmussal tároljuk a felhasználói azonosítókat, kulcsokat?

Az azonosítási és hitelesítési problémákra, legyen az onpremise, felhős vagy hibrid rendszer az általunk forgalmazott felhasználó azonosítás és identitáskezelő eszközök nyújthatnak segítséget Önnek.

Bár az „elfelhősödés” a pandémia helyzetben számos előnnyel járt a munkaerő rendelkezésre állása és a munkafolyamatok végrehajtása tekintetében, a fenti három pontban összegzett (automatizáció, távoli munkavégzés kialakítása, OT&IT eszközök közötti összekapcsolások) szempontjából azonban számos problémát, sőt biztonsági fenyegetettséget is magával hozott, kiemelten a gyártó- és logisztikai ipar területén.

Épp ezért az „elfelhősödés”, és annak hatásainak vizsgálata véleményünk szerint nem tűr halasztást.

Ha a cikk olvasása közben valamelyik kérdés megválaszolásában elakadt és segítségre van szüksége a felülvizsgálatok lebonyolításában, vagy akár célzott védelmi megoldások kialakításában is Társaságunk szakértői és a forgalmazott védelmi megoldásaink a rendelkezésükre állnak!

The post IT&OT biztonsági stratégia kialakítás kihívásai – 3. rész appeared first on Brightdea Solutions Kft..

Cikksorozatunk első részében már rávilágítottunk arra, hogy a vezető vállalatok milyen megoldásokkal próbálják csökkenteni az emberi munkaerő rendelkezésre állásától való kitettségüket.

Ebből három fő területet emelnénk ki:
– automatizáció,
– távoli munkavégzés kialakítása (IT és pár helyen már OT eszközök esetén is),
– gyártási környezetekben használt vezérlő- és telemetriai rendszerek egyre több esetben a hagyományos vállalati informatikai hálózatokhoz kapcsolódnak.

Az IT és OT rendszerek közötti összekapcsolások révén az átjárhatóság már egyre több helyen biztosított.

Miközben cikksorozatunk következő része íródott egy véleményünk szerint nagyon fontos gondolat megjelent Mester Sándor 2021.02.14.-i „Inflexiós pontot hozott 2020” ITB cikkében, az „elfelhősödésről”.

Sándor gondolatait idézve „a legtöbb esetben a túlélést, a megmaradást lehetővé tevő, kétségbeesett felhőbe költözés (bizonyos funkciók, folyamatok költöztetése a felhőbe) következményeit javasolt átvizsgálni, példának okáért a jövőállóság és a kiberbiztonság szempontjából. Általában is javasolható, hogy a szervezetek tekintsék át az IT-stratégiájukat, éppen a tavalyi év tapasztalatai alapján, különös tekintettel arra, hogy a felhőben rejlő lehetőségeket milyen mértékben gondolják kiaknázásra érdemesnek.”

Ez számos helyen a Társaságunk által képviselt szakmai állásponttal és stratégia alkotási feladataink során alkalmazott nézőpontunkkal is szorosan összecseng.

Bár az „elfelhősödés” a pandémia helyzetben számos előnnyel járt a munkaerő rendelkezésre állása és a munkafolyamatok végrehajtása tekintetében, a fenti három pontban összegzett (automatizáció, távoli munkavégzés kialakítása, OT&IT eszközök közötti összekapcsolások) szempontjából azonban számos problémát, sőt biztonsági fenyegetettséget is magával hozott, kiemelten a gyártó- és logisztikai ipar területén.

Épp ezért az „elfelhősödés”, és annak hatásainak vizsgálata véleményünk szerint nem tűr halasztást.

A felülvizsgálat végrehajtása során a következő területke és kérdések átgondolását mindenképp javasoljuk:

1. IT stratégia felülvizsgálata

Minden szakirodalom azt javasolja, hogy „évente vagy nagyobb rendszerváltozások esetén” célszerű az IT Stratégia és az Információbiztonsági Irányítási rendszer felülvizsgálatát végrehajtani. Az elmúlt egy évben úgy láttuk, hogy számos változás következett be minden cég életében, gondolva a felhasználók távoli munkavégzésére, az üzleti (sales) megbeszélések, projektegyeztetések online térbe kerülésétől, a webes applikációk és webshopok, ügyfélszolgálati chat robotok kialakításáig számos példát lehetne felhozni.

Sok esetben mindez a pandémia időszaka alatt egy-egy vállalat túlélést biztosították, azonban most, szükséges megvizsgálni az átalakításoknak a hosszútávú létjogosultságát, az alkalmazott megoldások biztonságát is! Ehhez a következő kérdések megválaszolását javasoljuk:

– A kialakított felhős megoldások hosszútávon (a pandémia mérséklődése vagy lecsengése, hibrid munkavégzés bevezetése után) is használhatóak számunkra?

– Biztos, hogy a kialakított online megoldások a legalkalmasabbak számunkra és az üzleti folyamatainkat szolgálják? Esetleg azóta ugyanerre a probléma megoldására vannak-e más alternatív megoldások?

– Van még olyan üzleti folyamatunk esetleg még digitalizálható, automatizálható?

– A kialakított felhős megoldások fenntartása, további fejlesztése mekkora terhet, folyamatos fenntartási költséget jelent a vállalat számára?

– A kialakított felhős megoldások biztonsága milyen szintet képvisel most, és hosszútávon hogyan szavatolható ezek biztonsága? Mindez az IT és OT rendszerek átjárhatósága szempontból is elfogadható? Milyen károkat okozhat az, hogyha az IT rendszeren kihasználható sérülékenység az OT rendszereinkre is átterjedhet?

Bár minden részlet továbbra sem ismert az incidens kapcsán a károkat és azok hatásait jól szemlélteti a tavalyi évben bekövetkezett Norsk Hydro esete. A világ egyik legnagyobb alumínium gyártó cégét bezárták, miután a céget megtámadta LockerGoga vírus. A Norsk Hydro állítólag 40 millió dollárt veszített, és napokig küzdött az automatizált műveletek végrehajtásának visszaállításán, bár olyan részletek nem derültek ki, hogy mindez csak IT vagy esetleg OT rendszereket is érintett volna-e.

2. Átfogó eszközlefedettség felülvizsgálata/feltérképezése

Az egységes biztonsági stratégia kialakítása magában foglalja a vállalat összes felügyelt, nem felügyelt IT vagy ipari eszközét. Egy összekapcsolt környezetben csak akkor lehet biztosítani az OT biztonságot is, ha ezzel együtt biztosítjuk mind az IT mind az OT terület biztonságát.

Mit is jelent mindez? HVAC rendszereket, a fizikai védelmet ellátó IP kamerákat, a tűzjelző rendszereket, az épülethozzáférés-kezelő és automatizáló rendszereket (és még számost fel sem soroltunk) OT rendszerek oldaláról, valamint a tűzfalakat, a vezeték nélküli hozzáférési pontokat, szerverek, IT oldalról, valamint ezek átjárhatóságát és összekapcsolását biztosító eszközöket, megoldásokat.

Lássuk be ezek feltérképezése és nyilvántartása sem könnyű feladat a jelenleg rendelkezésre álló technikai eszközökkel, de stratégiai időtávban olyan eszközök (technológiák) használatát javasoljuk, melyek közös kommunikációs platformok alkalmazására képesek így a felülvizsgálatuk.

Az ipari és gyártó szervezeteknek tapasztalatunk szerint olyan biztonsági stratégiára van szükségük, amely mind az OT és IT (IOT eszközök használatát is beleértve) környezetben is egységesen használhatók. Figyelmet kell fordítani arra, hogy az IT (IOT) és OT eszközök a jövőben várhatóan a vállalati rendszereknek komplementer és egységes részét fogják képezni és nem lesz a mostani állapothoz hasonló elszigeteltség a rendszerek között. (silók)

Ezért véleményünk szerint egységesen célszerű kezelni az ebből fakadó biztonsági kihívásokat és az abból adódó válaszokat is!

Cikksorozatunk következő részeiben kitérünk még a felhős (és nem felhős is!) megoldások felülvizsgálatára, valamint a technikai eszközökkel nem kivitelezhető védelmi megoldások felülvizsgálatára is.

 

Ha a cikk olvasása közben valamelyik kérdés megválaszolásában elakadt és segítségre van szüksége a felülvizsgálatok lebonyolításában, vagy akár célzott védelmi megoldások kialakításában is Társaságunk szakértői és a forgalmazott védelmi megoldásaink a rendelkezésükre állnak!

The post IT&OT biztonsági stratégia kialakítás kihívásai – 2. rész appeared first on Brightdea Solutions Kft..

A gyártó- és logisztikai ipar kiszolgáltatott helyzetére a Covid járvány kirobbanása és az azóta is tartó pandémia időszak világított rá igazán, mert mit lehet tenni akkor, ha az emberi munkaerő fizikai értelemben tényleg nem elérhető? Gyárak, logisztikai központok, sőt egész iparágak álltak le hetekre – nem egy példa van arra, hogy akár hónapokra -, mert vagy a szükséges alapanyagok, az összeszereléshez szükséges alkatrészek nem érkeztek meg a beszállító partnerektől, vagy mert az egészségügyi óvintézkedéseket megszegték volna az üzemekben.

Számos vezető vállalat most annak lehetőségét keresi, hogy milyen megoldásokkal tudják csökkenteni az emberi munkaerő rendelkezésre állásától a kitettségüket. Ennek jövőbeni elkerülése érdekében igyekeznek a stratégiák átgondolásával alkalmazkodni a változó piaci körülményekhez.

Ipari, gyártói környezetben évek óta vizsgálják az Ipar 4.0 (vagy néha már 5.0-nak is nevezett) rendszerek minél széleskörűbb alkalmazási lehetőségeit. Ebben kap igazán nagy szerepet az automatizáció.

Az egyes munkafolyamatok automatizálásában – ezek az OT eszközök – a gyártási folyamatok távolról való elvégzésében bár valóban segítséget nyújthatnak, használatuk számos biztonsági probléma megjelenésével jár.

Az operatív technológiai (OT) rendszerek alkalmazása- nagy számban nemzeti kritikus infrastruktúrát is magában foglal – fontos észrevenni azt, hogy ezek a rendszerek viszont egyre inkább ki vannak téve a kibertámadásoknak. Ez a legmagasabb fokú kockázati kitettséget jelenti. (városok, országrészek ideiglenes leállásával járhat -szélsőséges esetben akár emberi életek is veszélybe kerülhetnek.)

Az ipari üzemekben és gyártási környezetekben használt vezérlő- és telemetriai rendszerek egyre több esetben a hagyományos vállalati informatikai hálózatokhoz kapcsolódnak (Ethernet vagy Wi-Fi).

Az eszközgyártók OT eszközöket és vezérlőrendszereket főleg az IoT kihasználhatósága miatt már úgy építik, hogy közös operációs rendszerek alkalmazásával – Windows, Linux, Android és VxWorks – is működtethető legyen, eközben már a felhasználó központú eszközöket ipari és gyártási környezetbe is egyre nagyobb számban integrálják. Azonban ezek a fejlesztések sebezhetővé is teszik az ellenőrző rendszereket a vállalati informatikai hálózatok eszközeinek veszélyeztetésére használt támadásokkal szemben.

Az új fenyegetések enyhítése érdekében a szervezeteknek ki kell dolgoznia az OT rendszerek alkalmazásából eredő IT biztonsági kihívásokra a védelmi intézkedéseket. A környezet biztonságossá tételéhez nem csak az eszközöket célszerű felülvizsgálni, hanem a biztonsági stratégiáikat, mert az összekapcsolt eszközök ipari és informatikai környezetben történő védelmére és kezelésére a kockázatokkal arányosan célszerű a védelmet biztosítani.
Cikksorozatunk következő részeiben kitérünk a biztonsági ellenőrzések és keretrendszerek használatától az eszközlefedettség kialakításig minden olyan területre, amely az IT & OT biztonság alapját, vagy a keretét alkotja. A Brightdea Solutions segít az igények felderítésében, a megfelelő megoldás kiválasztásától az implementálásig. Abban is tudunk segítséget nyújtani, hogy miként lehet az IT és az OT gondolkodásmódját összeegyeztetni és a munkafolyamatokat összecsiszolni.

The post IT&OT biztonsági stratégia kialakítás kihívásai appeared first on Brightdea Solutions Kft..

Fontos téma a vállalati digitalizáció, ahogy annak tényleges és költséghatékony megvalósítása is, mert a globális járványhelyzet alapjaiban változtatta meg a munkahely fogalmát. Sokat és sokszor hallhatunk arról, hogy pontosan hogyan és miért is lenne szükség arra, hogy a kis- közép- vagy akár a nagyvállalkozások meg tudják határoznia virtuális térben való optimális működésüket. Arról azonban – egyelőre – kevés adatunk, vagy kutatásból származó elemzésünk áll még rendelkezésre, hogy a kibervédelemben valójában milyen és mekkora hatása van a HR területnek.

A kialakított üzleti célok mérése és a vállalati stratégia folyamatos kontrollja korábban azt biztosították, hogy a vállalatok vezetése mindig pontosan tudta, hogy hová tart.
De hogy vizsgáljuk meg, a jelen bizonytalan környezetben – amikor a vállalat nem rendelkezik vagy nehezen tud alkalmazkodni a körülményekhez – azt, hogy a jelenlegi képességeivel hová is tudja összpontosítani, hova helyezze el a stratégiai fókuszt? Tapasztalataink alapján ilyenkor a kibervédelem sajnos nem kap elég figyelmet, aminek következménye lehet egy biztonsági rés kialakulása, hosszabb távon pedig ennek eredményeként akár egy biztonsági incidens, üzleti folyamatok leállása is. Tapasztalatunk, hogy egy agilis intézkedési csomag bevezetése esetén az IT védelmi vonalai is átrendeződnek, és ebben az esetben már kiemelt szerepet kap a HR.

A felmerülő hibalehetőségek kiküszöböléséhez egy változáskezelési folyamat szükséges, illetve felmerül az a kérdés is, hogy honnan érkeznek a kollégák tájékoztatását megalapozó, a folyamat előrehaladtának mérését bemutató adatok, mert a vezetőknek, azért, hogy a kialakult helyzetben a munkavállalókat megfelelő információkkal lássák el az átalakulás folyamán adatokra és mérhető információkra van szüksége. A vállalkozások számára kiemelten fontos, hogy rendelkezzenek biztonsági megoldásokkal, vészhelyzeti tervekkel, mert csak ezek a megoldások nyújtanak megfelelő szintű védelmet az alkalmazásokon és az őket támogató szervereken, adatbázisokon keresztül a vállalat üzletmenet folytonosságának biztosításához. A biztonsági rendszerek ugyan technikai szinten biztosítják a szervezet kiberbiztonsági ellenállóképességének alapjait, azonban ennek teljes biztosításához a biztonságtudatosságnak és a folyamatok résztvevőinek támogatásának is stratégiai célnak kell lennie. A vállalati kultúra változásában vagy átalakításában a megfelelő kiberbiztonsági szint fenttartása, a gyors változások bevezetése és menedzselése miatt így létrejön egyfajta új szinergia a HR és az IT között.

Mindíg felhívjuk partnereink figyelmét arra, hogy a kockázatalapú védelem kialakítása elengedhetetlen a kibertérben, de saját tapasztalatainkat az elmúlt időszak eseményei alapján számos esetben nemzetközi hírek és felmérések is alátámasztják.
A pénzügyi szolgáltatások esetében az alapvető műveletek és folyamatok digitalizálását a megkérdezett felsővezetők 29% -a az első helyen látja kiemelt prioritásként. Tehát az IT védelmet az átalakuló környezetben az egész cégnek közös célként célszerű szem előtt tartania, mert minden személynek egyfajta felelősséget kell vállalni. A HR-nek nagyon fontos feladata van abban, hogy a biztonság érdekében akár az információbiztonságért felelős személlyel vagy csoporttal közösen egyeztetve segítse és támogassa a munkavállalókat.

A COVID járvány okozta változás iránt érzett kényszer miatt azt tapasztaljuk, hogy bár lenne lehetőség a vállalat digitális átalakulást apróbb részletenként végrehajtani, és egy elemezhető, számokkal tisztán mérhető és könnyen áttekinthető un. „teszt területet” kiválasztásával és kevesebb kockázat vállalással végrehajtani a digitális átalakulást, a vállalatok többsége nem ezt a megoldást választja. A távmunka által kikényszerített otthonmaradás például soha nem látott átalakítási pánikot szült az otthoni és munkahelyi munkavégzés alatt. Miközben a vállalati értékteremtés alapot adhat a szélesebb körű – de már a digitális térben működő – stratégia kidolgozásához. Partnereinkkel közösen az üzemeltetési tapasztalataink, kiberbiztonsági tudásunk és a szervezetfejlesztési lehetőségek beiktatásával tudtuk hatékonyan megvalósítani a válság alatti átalakulás miatt „IT-s projekt” -ként induló digitalizációt, megőrizve a vállalati adat-vagyon védelmét, az üzletment-folytonosságot és a kontrollálható munkavégzés sikerkritériumait.

A közelmúltban készült nemzetközi kutatásban, melyet a HR vezetők körében végeztek a válság hatására a következő készségeket találták a legfontosabbnak:
– üzletértés esetében a fókuszok, prioritások szerepe
– insight, vagy üzletfejlesztés – tehát behozni olyan gondolatokat, amelyre a szervezet más területein nem gondoltak
– output vagy stratégia- eredmény- és hatásorientáltság.

A COVID-19 utáni világban rejlő lehetőségek, vagy a hosszú távú értékteremtés közös eleme jelenleg, hogy a vállalkozások újra tervezik az üzleti modelljüket, stratégiájukat, azért, hogy képesek legyenek megragadni a kínálkozó lehetőségeket. Ehhez az átalakuláshoz azonban a munkavállalót előtérbe helyező mentalitásra is szükség lesz, amely személyes közelség nélkül is kollektív viszonyt alakít ki a munkahelyeken, illetve a vállalatok ügyfeleivel. A szükséges innovációt összehangolva a realitásokkal a HR-nek is képesnek kell lennie – rendelkeznie kell egyfajta tolmácsolási képességgel-, hogy az érintett területeknek az üzeneteit a dolgozók részére az új vállalati kultúra részeként megfelelő módon legyen képes átadni. Ennek a képességnek a hiányában a szervezet továbbra is ki lesz téve annak a veszélynek, amit a kibervédelmi kockázatok rejtenek.

A pandémia közben beiktatott egészségvédelmi korlátozások érintették közvetlenül a fogyasztót elérő értékesítési stratégiákat is. Egy nemzetközi felmérés szerint egyik napról a másikra lehetőségből szükségszerűvé vált pl. az online tranzakciók fokozottabb bevezetése, átalakulása. Az átlagos online tranzakciós érték évről évre 74%-kal emelkedett a kutatás szerint. Ez érinti azokat a jelenleg nem elterjedt, vagy bevezetett, illetve nem használt online tranzakciókat is, amik új kihívásokat támasztanak, ezzel innovatív megoldások irányába tolva a kereskedelemben érdekelt vállalkozásokat.

A Koronavírus-járvány miatt az ügyfelek és munkavállalók cégbe vetett bizalmának erősítése hosszú távon magas prioritássá vált, így minden lehetőséget célszerű megragadni, mert magasabb ügyfélelégedettséget lehet kialakítani vállalatunk belső ügyfelei – tehát a munkavállalók – és a megrendelők irányában is.

Tapasztalatunk alapján az alapvető üzleti műveleteket, szervezeti egységeket és folyamatokat biztosan érinti ez az átalakulás, azonban ez az átalakulás számos új kockázattal jár, mert a kibertérben eltolódnak a védelmi határok. A virtuális, vagy távoli együttműködés, az automatizálás, vagy az ellátási lánc adatbiztonsága és annak elemei ellen indított támadások – vagy szándékos károkozások – végzetes hatással lehetnek a vállalatra és annak adatvagyonára. (melyekre a COVID járvány alatt számos példát láthattunk- pl. Garmin)

Mindenekelőtt fontos azt hangsúlyozni, hogy egy csapatként tudjunk szembenézni a kihívásokkal és a fejlődéssel. A digitalizáció esetében nem hagyható ki a fókuszból az adatvezéreltség. Így a HR analitikai képességének a lehetőségeit- akár a fejlődéshez is biztosítani kell, mert ez gyakran még nem erőssége a humán területnek. Ennek tudatosítása a szervezetben azért nélkülözhetetlen, mert nem mutat jól, ha azokat a technológiai lépéseket, fejlődést, ami a szervezet többi részében lezajlik, a HR nem tudja követni, miközben többnyire ő a felelőse a szervezet átalakításának. A digitalizáció megvalósításánál, egyedül egyik terület sem fog tudni eredményes és sikeres implementációt biztosítani, csak ha együtt dolgoznak.

A Brightdea Solutions mind a teljes digitális működéshez szükséges tudás megszerzésében, digitális stratégia kialakításban és annak üzemeltetésében is hiteles hátteret biztosít kihívások előtt álló vállalatoknak, tanácsadások vagy konkrét technikai, szervezetfejlesztési megoldások által.

The post HR és Kibervédelem appeared first on Brightdea Solutions Kft..

A legfrissebb nemzetközi kutatások alapján a vezetők egyre jobban fókuszálnak a jövő évi stratégiák kialakításánál – főleg a változások gazdasági tapasztalatai miatt – arra, hogy vállalataikat digitálisabbá vagy virtuálisabbá tegyék.

Az alapvető üzleti műveleteket, szervezeti egységeket és folyamatokat biztosan érinti ez az átalakulás, azonban ez új kockázatokkal jár, mert a kibertérben eltolódnak a védelmi határok. A virtuális, vagy távoli együttműködés, az automatizálás, vagy az ellátási lánc adatbiztonsága és annak elemei ellen indított támadások – vagy szándékos károkozások – végzetes hatással lehetnek a vállalatra és annak adatvagyonára.

Egy globális felmérésben az információbiztonsági költségvetésre a válaszadók közel kétharmada az éves árbevétel kevesebb mint 5 százalékát költi míg az IT-biztonságra – a válaszadók 38 százaléka – még 1 százaléknál is kevesebbet. Azonban a jövő üzletfolytonosságának fontos alappillére lesz a stratégiai tervekben a „kibervisszaélések” kockázatának a minimalizálása és tervezése. A teljesen az online megoldásokon alapuló vállalati stratégia tervezés – egy a változás hatását vizsgáló nemzetközi kutatás alapján az érettebb szervezetek esetében már felsővezetői szintre került át (41%)-ban -, mert itt kapcsolható leginkább össze az üzletfolytonosság és az innováció.

A proaktív üzletfolytonosságra vonatkozó stratégiák vizsgálatakor a 2008–2010-es időszakban, mára már meggyőző bizonyítékok szólnak arról, hogy ezek a típusú üzletfolytonosság érdekében alkalmazott kibervédelmi beruházások és stratégiák megtérültek. Az tapasztaljuk, hogy a COVID-19 közepén alkalmazott hasonló átgondolt stratégiák a versenyképességet és a hosszú távú érték megteremtését eredményezhetik.

Az informatikai rendszerek védelménél a legnagyobb probléma a szakmai fórumokon megjelentek alapján legtöbbször az emberi tényezővel van, tehát főként még mindig a figyelmetlenség, a felelőtlenség, vagy a felkészítés hiánya miatt lehetnek sikeresek a támadások. Az információbiztonsági helyzetfeltárás vagy egy válsághelyzet okozta elkerülhetetlen változáskezelés egyben egy később megtérülő preventív intézkedés. Ez egy befektetés, vagy innováció, aminek a segítségével az informatikát érintő lehetséges kockázati tényezők, biztonsági vagy üzemeltetési hiányosságok egyértelműen feltárásra kerülnek. Speciális helyzetek esetében a korábban alkalmazott eljárások elavulttá válhatnak és az IT biztonsági szint csökkenhet, ezért kiemelten fontos a szervezetek és a munkavállalók tudatossági szintjének maximalizálása a lehetőségekhez képest. Ennek eredményeképpen elkerülhetővé válhatnak az adott szervezet teljes IT rendszerére veszélyt jelentő támadások.

A nemzetközi és hazai tapasztalatok megerősítik, hogy kialakulóban vannak új teljesen a kíbertérben működő üzleti modellek. A korábbi vezetői elvárások, most már empirikus úton alátámasztják, hogy tartósnak tekinthető, hogy a változásokból, vagy kényszerűségből megtett lépések funkcionálisan beépülnek a mindennapokba – gyakorlati tapasztalatunk alapján tartósan képesek funkcionálni. Prognózisok alapján növekedni fognak a távoli együttműködés, az automatizálás, az az ellátási lánc biztonsága felé történő innovációs lépések.

Uniós felmérés szerint a magyar vállalatok korlátozott mértékben alkalmazzák a digitális technológiákat. Arra számítunk, hogy a mostani válság alapjaiban fogja megváltoztatni az IT- és vállalati kultúrát. A kockázatalapú védelem megjelenése elengedhetetlen a kibertérben, mert nemzetközi felmérések alapján a pénzügyi szolgáltatások esetében az alapvető műveletek és folyamatok digitalizálását, a megkérdezett felsővezetők 29% -a az első helyen látja kiemelt prioritásként.

Versenyelőnyre tehetnek szert azok a vállalatok, akiknek a reakcióképessége függ attól, hogy a szervezet miként tudja fenntartani az agilitást, vagy fontos számára az, hogy új lehetőségeket, hogy vegyen figyelemebe, és nem azért mert kell, hanem azért, mert azt szeretné. A Brightdea Solutions a projektjeinél kockázatalapú megközelítés mentén rangsorolja az intézkedési tervekben a kockázat nagyságát, vagy annak bekövetkezési valószínűség, mert ezek a prioritások hozzáadott értéket képviselnek.

The post Üzletfolytonosság és kockázat alapú adatvédelem appeared first on Brightdea Solutions Kft..

Arany, kőolaj, kincs, gyémánt, Szent Grál – manapság a legnagyobb elemzőházaktól kezdve a tradicionális sajtó utolsó neves képviselőéig ezekkel a kifejezésekkel illetik az adatot, ami a 21. században az egyik legértékesebb dologgá nőtte ki magát. A pátoszos retorikai hangulatkeltésen túl a minden napra jutó szalagcímek is azt harsogják az olvasó arcába, hogy bizony a XIV. Lajos világhírű gyémántja a maga felbecsülhetetlen történelmi mivoltával elbújhat egy napi business adathalmaz mögött. Legalábbis, ha az üzleti oldalát szemléljük.

„Sok esetben tapasztaljuk, hogy adattörlés általában csak akkor következik be, ha drágul az adattárolás, és nem azért, mert nincs rá szükség. A korlátlan és átgondolatlan adattárolás, »adathörcsögség« jellemzi azokat a cégeket, amelyeknél az adatok osztályozása és használati, tartalmi alapokon történő besorolását nem oldják meg. Ezért nagyon fontos a szabályzás, és a GDPR valamilyen formában meg is oldja az adattárolás aggályosabb vonatkozásait, de jogszabályi szintre kellene emelni az adatgyűjtés korlátlanságának visszaszorítását, mert a nem megfelelő osztályozással együtt akár alapvető jogokat tud sérteni”, fejtette ki véleményét Horváth Tamás, a Brightdea ügyvezetője, CISSP.

„Főként a kkv és a nagyvállalati méretnél derül ki hamar az, ha nem adatvezérelt a szervezet. Az adattudatosságot mindenképp magasabb szintre kell emelni a cégek és a magánszemélyek esetében egyaránt, és nemcsak a jogszabályok miatt. Ennek az egyik megoldását az oktatásban látom, amely jelenleg le van maradva a gyakorlatban alkalmazott technológia és napi használati eszközök tanrendbe iktatásával. Sőt, sajnos az IT-oktatásban sem foglalkoznak megfelelően ezekkel a kérdésekkel. Azt várjuk el egy általános iskolástól, hogy készségszinten használja az okoseszközt, de emellett kevés olyan család van, ahol az adatvédelem és az adattudatosság jelen van. Egyszerűen muszáj bevinni mindezt az oktatásba és a köztudatba”, fogalmazta meg Horváth Tamás.

Az itbusiness.hu -ban megjelent teljes cikket elolvashatja itt.

The post Hosszú út vezet a hétköznapi adatkupacból az értékes adatvagyonhoz – itbusiness.hu appeared first on Brightdea Solutions Kft..