Mit érthetünk információbiztonság alatt, mire kell figyelnie egy vállalkozásnak az információbiztonság tekintetében?

Meg kell különböztetnünk informatikai és információbiztonságot. Az információbiztonság nagyon tág fogalomnak tekinthető. A szóban, írásban, informatikai vagy más elektronikus rendszerekben, vagy bármilyen módon kezelt információk védelmét jelenti. Az informatikai biztonság tekintetében pedig az informatikai rendszerek és azok elemeinek a védelméről, abban kezelt információk védelméről beszélhetünk.

Minden szervezetnek, vállalkozásnak védenie kell az üzleti információit a sérüléstől, elvesztéstől. Az internet felől érkező gazdasági bűncselekmények számossága az elmúlt 6-8 évben rohamosan növekedett, amely új kihívások elé állította a vállalkozásokat. Egyes elemzések szerint a KKV szektor különösen veszélyeztetett helyzetben van, mert sok KKV multinacionális cég beszállítója és a gyengébben védett szervezeteken keresztül könnyebben támadhatók a nagy vállalatok is. Mára már az informatikai biztonság és az információbiztonság közel azonos fogalmaknak tekinthető, amelyekhez szorosan kapcsolódik a személyes adatok védelme is.

A biztonság tekintetében szükséges egyenszilárdság megteremtéséhez folyamatos figyelmet kell fordítanunk ezen területekre.

Fontos kiemelnünk a személyes adatok védelmét, amelyet Európai Uniós és Magyarországi jogszabályok követelnek meg.

Sok anyagi ráfordítást igényel az információbiztonság?

A digitalizáció rohamos fejlődésével párhuzamosan nem minden esetben alakulnak ki megfelelő mértékben az információbiztonság iránti igények, ezzel ellentétben viszont az internet felől érkező károkozások számossága egyre nagyobb és a károkozók egyre kifinomultabbak, amelyeket kezelnünk kell. Napjainkban már nem elegendő a hardveres és szoftveres védelemre támaszkodni. Az internet felől érkező támadások tekintetében a felhasználók vannak a frontvonalon. Ebből kifolyólag kiemelt jelentőségű a felhasználók tudatosítása!

Sok esetben a digitális világban még nincsenek a megfelelő szinten olyan védelmi intézkedések, amelyek alapvetően szükségesek lennének napjainkban.

Az információbiztonság megvalósításakor fel kell tenni a kérdést magunknak, hogy MIT? MITŐL? HOGYAN? kell megvédeni, és az ezekre adott válaszok segítenek a gyakorlati megvalósításban.

Sok tényezőtől függ, hogy egy szervezet esetében mennyi anyagi ráfordítást igényel a teljes információbiztonság kialakítása, ezt előre nem is lehet megmondani. Minden esetben felmérést szükséges készíteni, annak érdekében, hogy egyértelmű legyen, hogy az esetlegesen bekövetkező károk – adatok sérülése, elvesztése – hogyan befolyásolná a szervezet gazdasági helyzetét.

Előfordul, hogy meg nem térülő befektetésnek érezzük az információbiztonság irányába tett lépéseket. Fontos megjegyeznünk, hogy az elszenvedett kár magas pénzösszegekbe kerülhet és ebből kiindulva viszont az el nem szenvedett kár haszonnak tekinthető.

A vállalkozásunk versenyképességét, esetleg jövedelmezőségét nagymértékben javítják a digitalizációban rejlő lehetőségek.

Mik azok a legfőbb szempontok, amit egy mai vállalkozónak szem előtt kell tartania ahhoz, hogy megőrizze a versenyképességét és betartsa kötelezettségeit?

Az üzleti folyamatok működését ma erős informatikafüggőség jellemzi. Az informatikai rendszerekben kezelt adatok, információk kockázatokkal arányos védelme kiemelt jelentőségű minden vállalkozás számára. A versenyképesség fenntartása érdekében előtérbe kell helyeznünk az információink biztonságos kezelését.

Az információbiztonságnak egy ciklikusan ismétlődő folyamatnak kell lennie, amelyben megtervezzük, végrehajtjuk, ellenőrizzük és ha szükséges javítjuk a biztonság irányába tett intézkedéseinket.

Kiemelt figyelmet kell fordítanunk információink bizalmasságának, sértetlenségének, rendelkezésre állásának biztosítására.

A szükséges információhoz csak az arra jogosultak férjenek hozzá (bizalmasság). A rendszereinkben kezelt adatoknak megfelelő tartalmúnak, tulajdonságúnak kell lennie, csak az arra jogosult módosíthassa azokat, az elvárt forrásból származzanak (sértetlenség). A szükséges információ a megfelelő tartalommal a szükséges időben rendelkezésünkre álljon (rendelkezésre állás).

Be kell tartanunk a kötelezően alkalmazandó rendeleteket, jogszabályokat.

Ilyen például az Általános Adatvédelmi Rendelet (GDPR).

A természetes személyek személyes adatainak védelme érdekében minden vállalkozásnak, szervezetnek szükséges foglalkoznia az Általános Adatvédelmi Rendelettel. Magyarországon az Alaptörvény VI. cikk 3. bekezdése is tartalmazza: „Mindenkinek joga van személyes adatai védelméhez”

A GDPR megtiltja a személyes adatok használatát?

A céltalan vagy túlzó adatkezelések tekintetében igen. A magyarországi adatvédelmi jogszabályok korábban is szigorúnak voltak mondhatók. A GDPR néhol szigorúbban rendelkezik az adatok védelmével kapcsolatosan és néhol engedékenyebb.

A GDPR nem tiltja meg a személyes adatok használatát, azonban szigorúan szabályozza azok gyűjtést, felhasználást, továbbítását.

Mik azok a jó gyakorlatok, amelyek segítik a vállalkozásokat a biztonságuk fejlesztésében?

Elsősorban a vállalkozás vezetője részéről szükséges egyfajta elkötelezettség, pénzügyi támogatás a kockázatokkal arányos védelem irányába tett lépések elősegítéséhez. Egyes elemzések szerint a károkozások 80-90% -a elkerülhető alapvető védelmi intézkedések betartásával.

Kiemelt figyelmet kell fordítani az informatikai, információbiztonsági aspektusok vállalati kultúrába való illesztésére!

A GDPR szempontjából is kiemelt jelentőségű ezen intézkedések megvalósítása a megfelelő technikai szervezési intézkedések érdekében. Fő szempontnak tekinthető az elszámoltathatóság, amely szerint az adatkezelőnek a személyes adatok kezelésének teljes időtartamában tudnia kell bizonyítania az adatkezelés jogszerűségét. Megfelelő jogalapot kell találni az adatkezelések tekintetében (jogszerűség), az adatkezelés egyértelmű célból történhet (célhoz kötöttség), amelynek megfelelőnek és relevánsnak kell, hogy legyen (adattakarékosság). A kezelt személyes adatoknak pontosnak és szükség szerint naprakésznek kell lenniük (pontosság), amelyek tárolását a célok eléréséhez szükséges ideig kell lehetővé tenni (korlátozott tárolhatóság). A személyes adatok hosszabb ideig való tárolása csak indokolt esetben lehetséges. Figyelmet kell fordítani az érintettek rendeletben meghatározott megfelelő tájékoztatására.