A céges rendszerek és adatok őrei naponta küzdenek azzal, hogy megtalálják az egyensúlyt a produktivitás, az egyszerű használat és a biztonsági előírások hatékony érvényesítése között. Hogyan lehet anélkül prioritást adni a biztonságnak, hogy végeláthatatlan folyamatokkal és jelszavakkal terhelnénk a dolgozókat?

Biztonság és hatékonyság

Ichiro Ohama FujitsuHiszen ha a felhasználók úgy élik meg, hogy a biztonsági intézkedések túlzottan visszafogják a termelékenységüket, megpróbálják majd kikerülni vagy kijátszani azokat. Ez pedig komoly kockázatot és sérülékenységet jelent adott vállalat számára.

Ráadásul az egymással ellentétes szükségletek között olyan környezetben kell megtalálni a kényes egyensúlyt, amely folyamatosan mozgásban van. Változnak az internetes fenyegetések, új veszélyek jelennek meg.

Jó példa erre a Covid19-világjárvány. Sok munkavállalónak el kellett hagynia a biztonságos céges környezetet, és potenciálisan kevésbé biztonságos otthoni eszközökön és hálózaton kellett folytatnia a munkát, úgy, hogy közben hozzáfért a céges rendszerekhez és adatokhoz. A támadók kihasználták ezt a trendet, olyan témákra összpontosítva, amelyek relevánsnak tűntek az új viszonyok között.

Megjelentek a Covid19-ről exkluzív tájékoztatást ígérő adathalász e-mailek; az adománygyűjtéshez felhasználónév, jelszó és banki adatok megadását kérő álwebhelyek és segélyprogramokról vagy kormányzati hitelekről és támogatásokról szóló hamis hirdetések. A gond, hogy nem minden cég volt képes arra, hogy a kezdetektől fogva megfelelő infrastruktúrát építsen ki, és célravezető védelmi intézkedéseket vezessen be.

Az IT-biztonság növelésének ára van

Abban mindenki egyetért, hogy a biztonsági előírások frusztrálóak lehetnek a felhasználók számára, és ezért az internetbiztonsági szakembereket terheli is némi felelősség. Sok olyan dolog, amit a felhasználók szeretnének csinálni (vagy muszáj csinálniuk) munkanapjuk során, veszélyérzetet kelt az internetbiztonsági szakemberekben. Ilyen lehet például a naprakész vírusvédelmi szoftver nélküli személyi eszközök vagy az USB-memóriák ellenőrizetlen használata, ami akár a teljes céges infrastruktúrát megfertőzheti.

Ezért a cégek és intézmények szabályokat vezetnek be az ilyen tevékenységek tiltására. Ezzel a támadók dolgát szeretnék megnehezíteni – de mellékhatásként esetenként a dolgozói produktivitást is gátolják. Az embereknek dolgozniuk kell, és ezzel óhatatlanul megjelennek a kivételek, és néhány hét elteltével, amikor már mindenki kivételért folyamodott, a rendszer romokban hever.

Az informatika használatához nehézkes folyamatokat előíró biztonsági szakemberek magának az IT-nek az elérését is megakadályozhatják például a felhőerőforrások használatának tiltásával. Hogy ezt miért teszik? Mert az„árnyék IT” agilitás terén nyújtott előnyei biztonsági veszélyekkel társulnak.

Az üzleti funkciók gyakran az internetbiztonság és az IT-infrastruktúra holisztikus vizsgálata nélkül veszik igénybe a felhőszolgáltatásokat. Azt gondolják, ez nem az ő feladatuk. Ugyanakkor a céges szabályok be nem tartása sokféle – néha súlyos – komplikációkhoz vezet az adatbiztonság és a személyes adatok védelme, az adatmásolás és a biztonsági mentés terén.

A helyzetet tovább rontja, hogy a felhasználók időről-időre fejlettebb vagy kényelmesebb biztonsági intézkedésekkel találkoznak magánemberként. Mindannyian tapasztaljuk, mennyire felhasználóbarát művelet egy telefon feloldása ujjlenyomat-olvasó vagy arcfelismerő funkcióval, és mennyivel kényelmesebb ez, mint a 90 naponként jelszóváltoztatást előíró céges biztonsági szabályzat.

Hogyan lehetne jobban csinálni?

Biztosan lehet ezt jobban is csinálni. Fogyasztói szintű használati élményt kell nyújtani a lehető legmagasabb fokú biztonságot garantáló vállalati köntösbe csomagolva. Miközben az igények teljesítése gyakran szinte kizárja egymást, nehezen feloldható köztük az ellentét.

Kihívást jelent úgy jobb felhasználói élményt nyújtani, hogy közben biztonsági intézkedéseket kell megvalósítani a különböző országokban, több partnerrel működő vállalati szervezeten belül. Pénzügyi megfontolások miatt pedig bármilyen új rendszerrel hosszabb távra kell tervezni – ami azzal jár, hogy az mindig is elavultnak fog látszani a legújabb fogyasztói technológia mellett.

Egy dologban biztosan egyetértünk: a dolgok mai állása nem felel meg az elérni kívánt célnak. Az IT-részlegek évente készítenek terjedelmes szabályzatokat, elolvasásukra kényszerítve a munkavállalókat. A felszólításokat és a tiltásokat azonban dinamikusabban kellene megfogalmazni. Ez óriási változtatást jelent, de egyre többen kezdik felismerni a szükségességét.

Ennek hátterében az áll, hogy a biztonság emberi tényezői gyakran bonyolultabbak a technikaiaknál. Az új technológiák pedig ironikus módon tovább fokozhatják a felhasználók frusztrációját. Olyan biztonsági kultúrára lenne szükség, amelyben a felhasználókat a fogyasztókhoz hasonló módon kezelik, és az évi egy biztonsági oktatás helyett érdekesebb, motiválóbb és tartósabb módon készítik fel őket a biztonságos viselkedésre.

Ehhez szorosabb együttműködésre van szükség az üzleti és a biztonsági csapatok között, meg kell érteni és el kell fogadni az elkerülhetetlen kockázatokat, meg kell tervezni a rájuk reagáló biztonsági intézkedéseket, és azonosítani kell azokat, ahol a kockázat meghaladja a potenciális előnyöket. A biztonsági funkciónak kell az üzleti terület nyelvét beszélnie.

A biztonsági kontextus ismerete

Kiindulópontként az internetbiztonságnak jobban kell összpontosítani a felhasználókra. Jelenleg a hozzáférési jogosultságokat külön generálják az egyes szolgáltatásokhoz és rendszerekhez. Ez a személet túl elnagyolt és bonyolult. Mostanában kevesebb a személyes találkozó, miközben a vezetőknek változatlanul hozzá kell férniük távolról a vállalati rendszerekhez. Az egységes tiltás kivitelezhetetlen és felesleges is.

A biztonság egyre inkább elmozdul az adott személytől elvárható, ésszerű viselkedést leképező és dinamikusan alkalmazó, perszóna-alapú szabályok felé. Sok szervezetnél már ma is ilyenek vannak érvényben – még ha kezdetleges módon is. Valószínűleg még hiányoznak a kontextus-érzékeny szerepkör-profilok, amelyeket kifejezetten az adatokat munkaidőn kívül elérő különböző felhasználótípusokra,dinamikusan hoznak létre.

Az új digitális élményt nyújtó szerepkörök elősegítik a nagyvállalati informatika fogyasztói környezet mintájára történő átalakítását. Ebben a környezetben a szolgáltatások és a termékek pontosan igazodnak ahhoz, hogy a felhasználó mit szeretne, és mire van szüksége. A nagyvállalati felhasználóknak nem csupán az fontos, hogy mindez jól nézzen ki.

Itt a feladat sokkal inkább az emberi munkavégzés által biztosított értékfolyam védelme a munkafolyamatok teljes körű leképezésével. Az internetbiztonság és a céges használati élmény szempontjából is az a jövő útja, ha már a tervezés fázisában beépítik a rendszerbe a megfelelő biztonságot.

Útban az új biztonsági kultúra felé

Az új biztonsági kultúra kialakítását segíti, ha szimuláljuk egy új fogyasztói termék bevezetését. Vizsgáljuk meg az ügyfélnek nyújtott teljes élményt, és már a tervezés fázisában illesszük be a biztonságot az értékteremtő munkafolyamatba. Ha sikerül azonosítani a digitális élmény gazdáját, akkor megvan az a pont, ahonnan kiindulva értéket teremthetünk az értéket generáló emberek számára.

Persze a felhasználóknak is vannak szerepköreik. A biztonsági csapatoknak erőteljesen kell törekedniük arra, hogy mindent beépített módon (by design) biztonságossá tegyenek. Ennek ellenére, semmilyen okos technológia nem lesz képes tökéletesen biztonságossá tenni a szervezetet, ha a felhasználók nem érzik felelősségüknek, hogy megtegyék, ami rajtuk múlik.

Ha azt próbáljuk újragondolni, hogyan tud minden egyes dolgozó hozzájárulni a szervezet biztonságához és a beépített biztonságot tökéletesen integráló kultúra megteremtéséhez, mindenkire fontos szerep hárul.

A szerző a Fujitsu nagyvállalati és internetbiztonságért felelős alelnöke