„A kiberbiztonság közös felelősség, amiben az igazgatósági tagok szerepe is kiemelt, hiszen döntéseik hosszú távon befolyásolják a szervezet kitettségét és ellenálló képességét. Egy kibertámadás nemcsak közvetlen anyagi károkat okozhat, hanem hírnév- és bizalomvesztéssel is járhat, ami a piaci pozíciót veszélyezteti, és végső soron rombolhatja egy társaságról kialakult képet” – mondta Marsi Tamás, a Nemzetbiztonsági Szakszolgálat főosztályvezetője.
Azzal folytatta, hogy a kiberbiztonság befektetés is: a biztonságos rendszerek kiépítése és fenntartása jelentős erőforrást igényel, ugyanakkor a költsége töredéke lehet egy sikeres, átfogó támadás következményeinek. A feladat eszköz- és szakemberigényes, ezért a megfelelő költségvetés biztosítása elengedhetetlen. Nagyon fontos információ, hogy a pénzügyi háttér megteremtése nélkül nincs hatékony védelem. De lássuk ezt részleteibe menően.
Kiberbiztonság mint igazgatósági felelősség – 4 kulcsgondolat
1.A vezetői felelősség nem áthárítható
A kiberbiztonság kérdésköre ma már messze túlmutat az informatikai részlegek hatáskörén: a digitális fenyegetettségek és a jogszabályi megfelelés elvárásai olyan szintű komplexitást képviselnek, amelyek az igazgatóság szintjén is aktív, tudatos szerepvállalást igényelnek. A felelősség nem csupán elvi, hanem jogilag is számon kérhető – különösen a kritikus infrastruktúrákat vagy kiemelten szabályozott ágazatokat érintő esetekben. Ez azt jelenti, hogy az igazgatósági tagoknak nemcsak stratégiai, hanem operatív szinten is foglalkozniuk kell a megfeleléssel.
„A vezetői felelősség tehát nem csupán a »megfelelés kipipálásáról« szól, hanem arról, hogy a szervezet digitális ellenálló képessége valóban működőképes legyen – és ezt a hatóságok egyre inkább számon is kérik”
– hívta fel a figyelmet Bor Olivér, kiberbiztonsági szakértő.
- Incidenskezelés: a gyenge láncszem
A cégek többségénél nincs kialakult incidenskezelési protokoll, ami súlyos kockázatot jelent. „A gyakorlatban azt, hogy sok helyen nincs dedikált, házon belüli incidensbejelentő platform. Tehát ha valaki észlel egy incidenst, vagy akár azt tapasztalja, hogy valaki real time-ban szipkázza el a leveleit, nem tudja hová bejelenteni” – mondta Bor Olivér.
Egy hatékony incidenskezelési rendszer nemcsak a technikai válaszlépéseket foglalja magában, hanem a bejelentési csatornák, az érintettek tájékoztatása, a jogi megfelelés és az utólagos elemzés integrált működését is. Az igazgatóság felelőssége ebben a kontextusban nem merül ki a szabályzatok jóváhagyásában.
Biztosítaniuk kell, hogy az incidenskezelés ne csupán formális dokumentumként létezzen, hanem élő, működő gyakorlatként beépüljön a szervezet mindennapi működésébe. Ez magában foglalja a rendszeres tesztelést, az alkalmazottak képzését, valamint a vezetői szintű monitoringot.
Vezetői felelősség a kibertérben – 4 stratégiai felismerés
- A vezetői felelősség nem áthárítható
- Incidenskezelés: a gyenge láncszem
- Munkavállalói érzékenyítés: nem csak IT-s ügy
- Generációváltás a kiberbiztonság szolgálatában
- Munkavállalói érzékenyítés: nem csak IT-s ügy
A kiberbiztonság nem csupán technológiai védelem, hanem szervezeti kultúra kérdése is. Egy vállalat digitális ellenálló képessége nem kizárólag a rendszerek fejlettségén múlik, hanem azon is, hogy a munkavállalók mennyire tudatosan és felelősen viszonyulnak az információbiztonsághoz. Ez a fajta érzékenyítés nem korlátozódhat az IT-részlegre vagy a középvezetői szintre – a teljes szervezetnek, beleértve a felső vezetést is, aktívan részt kell vennie benne.
- Generációváltás a kiberbiztonság szolgálatában
„A fiatalabb vezetői generációk – különösen azok, akik már digitális környezetben szocializálódtak – sokkal nyitottabbak a technológiai innovációkra, az ESG-alapelvek integrálására, ennek következtében a kiberbiztonság stratégiai kezelésére is”
– mondta Bor Olivér.
Ez a szemléletváltás különösen fontos abban a kontextusban, hogy a fenntarthatóságra törekvő vállalatok egyre több okoseszközt, IoT-megoldást és automatizált rendszert alkalmaznak. Az ESG-célok pedig nem választhatók el a kiberbiztonságtól. Az új vezetői generációk előnye, hogy nem különálló területként kezelik az információbiztonságot, hanem integráltan, a vállalati stratégia részeként. Ez lehetőséget teremt arra, hogy a kiberbiztonság ne reaktív védekezésként, hanem proaktív versenyelőnyként jelenjen meg.
Mit kell látni, mérni és kezelni? A kiberbiztonság vezetői szemmel
„A kiberbiztonsági helyzet átláthatóságát rendszeres vezetői szintű beszámoltatással lehet biztosítani. Negyedévente célszerű, hogy a téma felelőse bemutassa az aktuális kitettségeket, a megtett intézkedéseket és a folyamatban lévő fejlesztéseket a boardtagoknak, így a vezetés folyamatosan nyomon követheti a haladást és a hiányosságokat, szembesülhet a kockátokkal”
– hívta fel a figyelmet egy a transzparenciát segítő megoldásra Marsi Tamás.
Hozzátette, hogy az alapvető feladatok közé tartozik a naprakész inventory, vagyis a rendszerek, eszközök és adatok pontos nyilvántartása. Ezt követi a kockázatértékelés és a gapanalízis, amely feltárja a hiányosságokat a kívánt biztonsági szinthez képest. A fenyegetéstérkép segítségével azonosíthatók a releváns támadási vektorok, míg a kockázatkezelési keretrendszer – az MK-rendelet előírásainak megfelelően – biztosítja az egységes irányítási alapokat. Ezekre építve kell kidolgozni az intézkedési tervet (feladatokkal, határidőkkel), amelynek a végrehajtása a folyamatos monitorozás és a beavatkozási képesség megléte mellett valósulhat meg.
A hatékony kiberbiztonság része a rendszerek naprakész frissítése és karbantartása, a biztonsági rések gyors befoltozása, valamint a felhasználók edukációja. A tudatosítás kulcsfontosságú, hiszen a támadások jelentős része emberi hibából fakad. Egy jól felkészült munkatársi közösség jelentősen csökkenti a kitettséget és támogatja a szervezet védekezőképességét. Ezek ismeretében a kiberbiztonságban kevéssé jártas vezetők is kontextusba tudják helyezni a kiberbiztonsági kérdéseket.
(Nyitókép: Unsplash)
