Az IT-biztonsági vezetőknek idén még szigorúbb szabályozásokra kell készülniük az adatbiztonság és a személyes adatok védelme terén a Forrester beszámolója alapján. A Micro Focus szakértői szerint ezért fontos kiemelt figyelmet fordítani a kockázatok felmérésére, az új biztonsági gyakorlatok bevezetésére és a legmodernebb technológiák előnyeinek kihasználására.
A Forrester nemrégiben tette közzé a GRC (Governance, Risk and Compliance) területtel kapcsolatos előrejelzéseit, amelyben a biztonsági szakemberek számára szóló prognózisait és tanácsait foglalja össze. Az elemző cég szerint érdemes arra készülni, hogy újabb adatvédelmi előírások jönnek, illetve a meglévők ellenőrzésében és betartatásában is szigorúbbá válnak a hatóságok, beleértve a GDPR-t.
A világjárvány következtében a cégek még nagyobb hangsúlyt helyeznek alkalmazottaik biztonságára és egészségére, az ezzel kapcsolatos intézkedések révén pedig hatalmas mennyiségű egészségügyi információ keletkezik a munkáltatóknál. Az ilyen érzékeny adatok védelme kiemelkedő fontosságú, különösen akkor, amikor az egyre általánosabbá váló távmunka következtében a vállalati információk egyébként is nagyobb kockázatnak vannak kitéve. A megváltozott körülményekhez és a hozzájuk kapcsolódó, szigorodó elvárásokhoz nem könnyű alkalmazkodni, a Micro Focus szakértői szerint azonban sokat segíthet a szemléletmód megváltoztatása, valamint az új gyakorlatok és technológiák bevezetése.
Rendszerszintű kockázatok mindenhol
A rendszerszintű kockázatok ritkán kerülnek szóba a vállalatoknál, pedig ezek a céges szinten fellépő rizikófaktorok iparágakat is megingathatnak, vagy akár a teljes gazdaság összeomlásához vezethetnek. Ilyenek játszottak közre például a dotcomlufi kipukkadásában, a 2008-as pénzügyi válság kialakulásában vagy a jelenlegi járvány nyomában járó recesszióban. Ezek a kockázatok azonban csak hosszú távon jelentkeznek, és számos területet érintenek, ezért a legtöbb vállalatnál nem érzik sürgetőnek őket. Érdemes ezen változtatni, és a gyakori céges témák között foglalkozni az ilyen jellegű rizikófaktorokkal is. Ha rendszeresen szó esik róluk, könnyebb rájuk felkészülni.
Új gyakorlatok
A vállalatoknak célszerű átértékelniük a GRC területen alkalmazott gyakorlataikat és házirendjeiket. A világjárvány következtében villámgyorsan terjedtek el a napi használatban olyan új megoldások, amelyek hatékonyan segítik a munkavégzést az új körülmények között, a csoportmunka-eszközöktől kezdve a videókonferencia-appokon át a különféle online szolgáltatásokig. A szervezeteknek ezt a kockázatok kezelése és az adatok védelme szintjén is muszáj lekövetniük. A cégeknek tehát reagálniuk kell az ügyfelek magas szintű kiszolgálását segítő feltörekvő technológiákra és szolgáltatásokra, és azonosítaniuk kell a vásárlói és felhasználói tevékenységek kapcsán jelentkező új kockázatokat.
Mivel a hagyományos módszerek már nem elegendőek, így a kibervédelem újfajta megközelítésére van szükség mindehhez. A szervezeteknek átfogó ellenálló képességet kell kiépíteniük a kibertérben, ami magában foglalja az adatok, az alkalmazások és a felhasználói fiókok, személyazonosságok és hozzáférések teljes körű védelmét, valamint az esetleges támadások időben történő észlelését és elhárítását. Ezenfelül képesnek kell lenniük a fejlődésre, hogy mindig lépést tartsanak a változásokkal, és az aktuális fenyegetéseknek megfelelően alakítsák a biztonsági reakcióikat.
Gépek a kockázatkezelés szolgálatában
Mivel egyre több a rizikó, érdemes a mesterséges intelligencia és a gépi tanulás hasznos funkcióit igénybe venni a kockázatok kezeléséhez. Ezeket a technológiákat használja például a Micro Focus biztonsági információ- és eseménykezelő rendszere is a támadások gyors azonosításához.
De az adatvédelmet érintő kockázatok felméréséhez is használhatók ilyen eszközök. A fejlett fájlelemző szoftverek például képesek ezek segítségével megvizsgálni a cég teljes adatállományát, és jelentést készíteni arról, hol találhatók érzékeny információk, és hol érdemes megerősíteni azok védelmét.
A hozzáférésekkel járó kockázatok kezelésére szintén létezik fejlett megoldás, amely fel tudja mérni, hogy a felhasználó milyen körülmények közül kíván bejelentkezni a céges rendszerbe, és ahhoz igazítja a megkövetelt hitelesítési szinteket. Ha például egy munkavállaló a cég központjából szeretne belépni a céges gépéről reggel 9-kor, akkor elég a felhasználónév és a jelszó kombinációját kérni tőle, ám ha egy külföldi szálloda wifi-hálózatáról szeretné ugyanezt megtenni, akkor célszerű duplán megbizonyosodni a személyazonosságáról, például egy, a telefonjára küldött kódon keresztül.
