Üzleti szeminárium döntéshozóknak: miként válik szolgáltatóvá az informatikai szervezet?
Nem divat, a szükségszerűség hozta magával: a különféle informatikai rendeltetések összetartanak. A tűzfal például a vírus- és behatolásvédelemmel. E fölött jön azután létre egy kezelhető réteg, egységes felülettel. Ugyanígy a más-más hálózatot használó programokban a biztonság mindenhová beépül, ez is az összeolvadás egy módja.
Komáromi Zoltán, az IDC nemzetközi IT piackutató szervezet kutatásveztője elmondta: egyre fontosabb a költségcsökkentés, a kapacitások minél teljesebb kihasználása. Megállapítható továbá, hogy Magyarországon is lezárult a legnagyobb IT-beruházások korszaka, a jövő a fejlesztéseké lesz. Az idén a hazai IT-beruházások középpontjában az innovációk továbbfejlesztése és a költségcsökkentés áll. Fontos, hogy az IT-kiadások valós időben is mérhetők legyenek, de emellett emelkedjék a szolgáltatások szintje. Előtérbe kerülnek a különböző szabványok, mint az ITIL, a COBIT, az ASL. Bevezetésük, persze, kellemetlenséggel is járhat, de előbb-utóbb, miként más területeken, a minőségbiztosítás itt is általános követelménnyé lép elő. 
Fábián János, az ICON tanácsadási üzletágának igazgatója az ITIL (IT Infrastructure Library) metodológia gyakorlati alkalmazásáról beszélt. A „Dokumentált józan ész az üzemeltetők szolgálatában” című előadásában kiemelten foglalkozott a tudományos kutatási eljárások gyakorlati alkalmazásával, az üzemeltetés kihívásaival, a szolgáltatások életciklusával, az ITIL informatikai és vezetői hasznával, és bevezetésével. Az ITIL mára elengedhetetlen ahhoz, hogy egy IT-szervezet pontosan megfogalmazott célok és követelményrendszer mentén dolgozzon. A jól meghatározott munkafolyamatok pedig egyaránt csökkentik a stresszt, a kockázatot. Segítségükkel közvetlenül, üzleti igényekkel indokolhatunk fejlesztéseket és beruházásokat, aminek következtében a szervezet megítélése is javul. A téma egyébként csak nálunk ennyire aktuális. Európa nyugati felén az ITIL már 10-15 éve élő, elfogadott gyakorlat, olyannyira, hogy létezik a módszertanon alapuló szabvány is BS 15000 néven. Magyarországon az ehhez hasonló, MSZ 15100-as szabvány még csak előkészületben van, és az ehhez kapcsolódó gyakorlat még kevésbé elterjedt.
Keleti Arthurnak, az ICON IT-biztonsággal foglalkozó üzletág-vezetőjének szerfölött érdekes elődásának („Szelídítsünk IT-biztonságot!”) egy különösen időszerű részletét, íme, közreadjuk.KELETI ARTHUR ELŐADÁSÁNAK (ENYHÉN) SZERKESZTETT VÁLTOZATA
– Mit várnak el a biztonságért felelős személyektől?
– Biztonsági terv?
– Mit mondjunk a főnökeinknek?
(Rövid útmutató)
A vezetés (továbbiakban V) kérdez: Miért kell nekünk biztonság? Eddig nem történt semmi baj…
A felelős (továbbiakban F) válaszol: Valószínűleg nem tudjuk, hogy történtek-e biztonsági incidensek, mert keveset naplózunk, és nem minden eseményről van információnk. Emellett a múlttal nem célszerű indokolni a jövőt. Azért, mert eddig nem voltak biztonsági incidensek, a jövőben még lehetnek.
V: De nyilván kicsi a kockázata, hogy ilyen bekövetkezik, vagy nem?
F: Megállapítható, hogy mekkora a kockázat. Ez külön feladat, amelyet kockázatelemzéssel tudunk megoldani.
V: Mi szükség rá? Beszélgessünk külön a kockázatokról? Üljetek be egy szobába és találjátok ki!
F: Az egyértelmű kockázatokat meg tudjuk becsülni ezzel a módszerrel. De mivel itt az üzleti folyamatainkban rejlő biztonsági kockázatokkal kell foglalkoznunk, ezért más módszereket kell használnunk. Erre valók a szabványok, megoldások.
V: Te meg tudod ezt csinálni?
F: Ha sok időm lenne erre, akkor valószínűleg meg tudnám csinálni, a kockázatelemzés megtanulható. De most azt javasolnám, hogy kérjünk föl rá külső céget: szakemberei ismert szabványok szerint, rutinosan és gyorsan dolgoznak.
V: Lassítsunk! Rendben, megbízol egy céget. Mi lesz a folytatás?
F: Elkészül a kockázatelemzés, amiből megállapíthatók a valódi kockázatok.
V: És akkor ezzel vége is, nemdebár?
F: A kockázatok elemzését követően a feltárt problémákra megoldásokat kell majd találni.
V: Ha jól értem, akkor ez újabb feladatokat eredményez.
F: Igen, a kockázatokat rangsoroljuk és aztán az ezekkel arányos védelmet valósítjuk meg az egyes pontokon. Pl. kibővítjük a vírusvédelmünket, frissítjük a tűzfalunkat, biztonsági szabályzatokat írunk.
V: Mikor lesz ennek vége?
F: A kockázatok kezelése és az informatikai biztonság fenntartása folyamatos munkát követel. Olyan ez, mint a minőségbiztosítás.
V: Mennyibe fog kerülni?
F: Az összeg változó. Javaslom, hogy a kockázatelemzéssel kezdjük, mert az helyzetértékelést is tartalmaz, és kérhetünk terveket is a jövőre nézve. Kérjünk tehát ajánlatokat kockázatelemzésre külső vállalkozóktól.
V: Várj egy picit! Mi van, ha ezt az egészet nem figyelmen kívül hagyjuk?
F: Növekszik a kockázata annak, hogy bajunk esik. Például: leállhatnak a létfontosságú szerverek és ezzel a napi munka vagy a termelés, feltörhetik a weboldalunkat, a dolgozók adatokat lophatnak el.
V: És ha én felvállalom ezt a kockázatot? Szerintem nem lesz baj.
F: A törvények előírják, hogy foglalkoznunk kell az adatvédelemmel. A magyar jogszabályok ezen a területen szigorúak. Az ellenőrök (pl. PSZÁF, ÁSZ) és a könyvvizsgálók is ellenőrzik, hogy megtartjuk-e a törvényt. És én nem vállalom annak a felelősségét, hogy megvédjem a céget a kockázatoktól, megfelelő védelem nélkül.
V: Most már értem. Hogyan járul hozzá a cég hatékonyságához ez az egész? Sok pénzt kiadok, de várhatok-e bármiféle hasznosat?
F: Az informatikai biztonság olyan, mint a minőségbiztosítás plusz balesetbiztosítás. Folyamatosan fenntartjuk a biztonságot, ezzel csökkentjük a kockázatokat, elkerüljük a bajt, biztonságosabb hátteret teremtünk a működéshez és ezzel javítjuk a hatékonyságot. De ha ennek ellenére beüt a baj, akkor van tervünk a probléma kezelésére, elhárítására és a károk enyhítésére. Ez a kiesett munkaórák csökkenését eredményezi és ezáltal szintén növeli a hatékonyságot. A kellő biztonság olyan stabilitást eredményez, amely növeli a bizalmat a dolgozókban a vezetés, az ügyfelekben pedig a cég iránt. Ezzel megtartjuk a jó munkaerőt és javítunk a versenyhelyzetünkön a piacon.
V: De hogy védem én ezt meg a tulajdonos előtt? Nem fog ilyesmire pénzt adni.
F: Meg fogjuk győzni, ha elmondjuk neki mindazt, amiről eddig beszélgettünk: működési kockázatok csökkentése, hatékonyságnövelés, a botrány elkerülése, az adatlopás megakadályozása, a jó munkaerő megtartása, a piaci pozíció javítása, szabályozott munkafeltételek, a problémák hatékony kezelése és a hatályos rendeletek és törvények megtartása a sikeres könyvvizsgálatok és ellenőrzések céljából. Ilyen egyszerű az egész...
hírdetés
