A Noreg által fejlesztett, ingyenesen használható Üzletbiztonsági Kalkulátorral felmérhetõ, hogy milyen szintû megoldások szükségesek egy kockázatarányos biztonsági rendszer kialakításához.

Napjaink digitalizált világában a legféltettebb üzleti titkokat is elektronikus formában tároljuk. Adataink biztonsága azonban veszélybe kerülhet a vállalat informatikai környezetét érõ hatások (pl.: külsõ- és belsõ támadás, nem biztonságos kommunikációs csatorna vagy adathordozó használata, biztonsági mentés hiánya vagy adatvesztés) miatt, így veszélyeztethetik a vállalat mindennapos mûködését, az üzletfolytonosságot is.

Míg korábban kizárólag a nagyvállalatok fordítottak figyelmet informatikai rendszereik védelmére, ma már a vállalatok biztonság iránti igényét nem a méret határozza meg. A digitális rendszerek és az e-business fejlõdésével párhuzamosan a kis- és közepes vállalatoknak is egyre inkább szem elõtt kell tartaniuk mindazon kockázatokat, amelyek kritikus fontosságú üzleti adataik biztonságát veszélyeztetik, és ezáltal kihatással lehetnek üzletmenetükre. Ma már az adott vállalat fõ tevékenységi területéhez mérten határozzuk meg az informatikai rendszer optimális biztonsági szintjét, a vállalat Üzletbiztonsági Szintjét.

A Noreg Üzletbiztonsági Szint meghatározó tényezõi például:

• A vállalat rendelkezik-e Internet kapcsolattal, és milyen célra használja azt. Az Interneten kívül rendelkezik-e más (pl.: telefonos, mobil) távoli eléréssel. A vállalat alkalmazottai munkájuk során használnak-e mobil eszközöket (notebook, PDA), illetve üzleti szempontból kritikus fontosságú alkalmazásokat, vagy rendszereket (könyvelés, levelezés, HR, ügyfél adatbázisok stb.). A vállalat informatikai rendszerének optimális biztonsági szintjét befolyásolja az is, hogy milyen mértékben függ a cég tevékenysége az informatikai rendszertõl. Nem mindegy, hogy a cég tevékenységét csak kiegészíti az informatikai rendszer, vagy versenyelõnyének megtartásához és növeléséhez elengedhetetlen; esetleg a cég alaptevékenysége az informatikai rendszerre épül. Az is kiemelkedõ szempont, hogy nyilvános vagy szigorúan bizalmas adatokat tárolnak-e az informatikai rendszerekben, az adatok esetleges elvesztése milyen erkölcsi és anyagi következménnyel jár a vállalatra nézve. Fontos továbbá, hogy adatvesztés esetén könnyen pótolhatók-e az információk, vagy az adatok illetéktelen kezekbe kerülése csak nehezíti, vagy egészben meg is bénítja a vállalat mindennapi mûködését, ami piacvesztéssel jár és lehetetlenné teszi a további mûködést.
• A komplex IT biztonsági megoldások iránti növekvõ kereslet egyik oka az egyre összetettebb törvényi szabályozásoknak való megfelelés, ezért az informatikai rendszer biztonsága szempontjából fontos az is, hogy vonatkozik-e bármilyen IT biztonságot érintõ törvényi elõírás (pl. PSZÁF, NHH) a vállalatra.

Természetesen a nagy létszámmal, sok munkaállomással, heterogén és összetett informatikai rendszerrel rendelkezõ szervezeteknél magasabb szintû védelemre van szükség, de fontos megjegyezni, hogy ma már elsõsorban nem a méret számít.

A Noreg Kft. IT-biztonsági szakértõi a fenti tényezõk figyelembe vételével állították össze a Noreg Üzletbiztonsági Kalkulátort, egy térítésmentesen elérhetõ online eszközt. A kifejezetten kis- és középvállalatok vezetõinek, döntéshozóinak készített Noreg Üzletbiztonsági Kalkulátorral a cégvezetõk felmérhetik, hogy vállalatuk számára milyen szintû biztonsági megoldás ajánlott ahhoz, hogy üzleti adataik kockázatát reális ráfordítással a lehetõ legkisebbre csökkentsék.

Kovács Tamás, a Noreg Kft. mûszaki igazgatója a Biztonságportál alábbi kérdéseire adott válaszaiban hangsúlyozta, hogy a kis- és középvállatoknak is komolyan foglalkozniuk kell az informatikai biztonsággal. A szakember az Üzletbiztonsági Kalkulátor kapcsán szerzett elsõ tapasztalatokról is beszámolt.
Magyarországon a kis és középvállalatok figyelme az informatikai biztonság mely részeire koncentrálódik, és melyek az elhanyagolt területek?

A kis- és középvállalatok jelentõs része még vagy egyáltalán nem foglalkozik az informatikai biztonsággal, vagy ez kimerül abban, hogy valamilyen vírusirtó programot használnak, esetleg alkalmaznak egy tûzfalat, ami sok esetben nem is dedikált eszköz, hanem az ADSL vagy bérelt vonali routerbe integrált funkció. A többi területe az informatikai biztonságban elhanyagoltnak tekinthetõ. Amire a hangsúlyt helyeznénk az az lenne, hogy maga az informatikai biztonsági tudatosság nincs meg, azaz nincsenek tudatában annak, hogy náluk is foglalkozni kellene ezzel a kérdéssel, mert a cég/vállalat tevékenységi köre, informatikától való függése, az alkalmazott technológiák ezt megkövetelnék. Ma már ugyanis az informatikai biztonság kérdése nem csak a bankok és nagyvállalatok privilégiuma, számos KKV cégnek is foglalkoznia kell(ene) ezzel a kérdéssel. Az Üzletbiztonsági Kalkulátornak pont az a célja, hogy felhívja a vállalatok figyelmét arra, hogy ezen a területen is tenni kellene valamit.

Az Üzletbiztonsági Kalkulátor és a biztonsági szintek kialakítása során figyelembe vettek-e hazai valamint nemzetközi szabványokat, illetve ajánlásokat (pl.: ISO 27001)?

Természetesen, hiszen a szabványok illetve ajánlások biztosíthatják azt, hogy egy kiépített rendszer auditálható és tanúsítható legyen, ezzel együtt mûködõképesebbé váljon. Emellett az Üzletbiztonsági Kalkulátor kialakításakor a sokéves felgyûlt tapasztalatra és szakmai tudásra építettünk, hiszen cégünk régóta tevékenykedik ezen a területen, sõt magunk is rendelkezünk különbözõ ISO tanúsításokkal.

Meddig lesz elérhetõ a szolgáltatás, és terveznek-e a késõbbiekben további fejlesztéseket a változó fenyegetettségek "követése" érdekében?

A szolgáltatás a jelenlegi terveink szerint június közepéig lesz elérhetõ. Hogy ez folytatódik-e és milyen módon azt majd ezután tudjuk eldönteni. Azonban nagyon fontos lenne azt kiemelnem, hogy ez a felmérés nem arról szól, hogy a cégnél megvalósított IT biztonság milyen szinten van. A felmérés célja az, hogy egy képet kaphasson a kitöltõ cég, hogy a tevékenységi köre, informatikától való függése, az alkalmazott technológiák alapján milyen Üzletbiztonsági Szintbe tartozik, és ezen a szinten lévõ cégek tipikusan milyen IT biztonsági megoldásokat alkalmaznak. Hogy a kitöltõ cég ezt teljesíti-e azt a kitöltõ maga tudja meghatározni, és ennek függvényében eldönteni, hogy neki foglalkoznia kell-e az IT biztonsággal, vagy már most is megközelítõleg megfelelõ megoldásokat alkalmaz, vagy adott esetben már túl is biztosította magát.

Az elsõ napok tapasztalatai alapján mely felhasználói csoportok keresik fel leginkább az új oldalt, és közülük mely biztonsági szintekhez tartoznak a legtöbben?

A kalkulátor április 24-e óta elérhetõ, de már így is számos kitöltés történt. A kitöltésnél az adatmegadás természetesen önkéntes, ezért konkrét cégnév nem nagyon található, de eddig jellemzõen elmondható, hogy a legtöbb kitöltés a fõvárosból érkezett, a kitöltõk nagy része a 100 millió forint alatti 10-20 fõt foglalkoztató cégek, akiknél az Üzletbiztonsági Szint átlaga 3-4 közötti.

A Noreg milyen segítséget tud nyújtani az üzleti felhasználók számára abban az esetben, ha a kalkulátor által elvégzett "számítás" kedvezõtlen eredményekre vezet, és nem megfelelõ biztonsági rendszerre hívja fel a figyelmet?

A kalkulátor alapvetõ célja a figyelem felkeltése, annak a tudatosítása, hogy az IT biztonsággal a KKV szektorban is foglalkozni kell. Ha ennek hatására a kitöltõk közül többen megkeresnek IT biztonsággal foglalkozó cégeket, akkor a kalkulátor elérte a célját.

Természetesen ha a kitöltõ minket keres meg, annak még jobban örülünk, és készséggel állunk a rendelkezésére. Elsõ lépésként mindenképpen egy tanácsadói konzultációt javaslunk, ahol célzottan és testre szabottan lehet felmérni a pontos helyzetet, meghatározni mely területeken és mit javasolt végrehajtani, mik amikre fókuszálnia kell a partnernek. Ezek alapján összeállítható egy intézkedési terv a konkrét költségkeretekkel, ütemezéssel. Emellett az intézkedési terv megvalósításában is szívesen közremûködünk azokon a területeken, amik a Noreg kompetenciájába tartoznak (IT biztonsági szabályzatok, katasztrófatervek kidolgozása, IDS/IPS eszközök, elektronikus aláírás, tûzfalak,...).

A felmérés és a Noreg Üzletbiztonsági Kalkulátor kitöltésének folyamata
A Noreg Üzletbiztonsági Kalkulátor kérdéseire válaszolva a felhasználó felmérheti, hogy vállalata jelenlegi informatikai rendszere a megállapított optimális Noreg Üzletbiztonsági Szinthez képest milyen hardver-, szoftver-, és humán erõforrás- felszereltséggel rendelkezik. A Noreg Kft. IT-biztonsági szakértõi 1-tõl 5-ig osztályozták a fenyegetettségi szinteket, pontosan megállapítva azok jellemzõit, és a különbözõ szinteket Noreg Üzletbiztonsági Szint 1-tõl Noreg Üzletbiztonsági Szint 5-ig. Minden egyes fenyegetettségi szint egy-egy Noreg Üzletbiztonsági Szinthez van rendelve, így a felhasználó a Noreg Üzletbiztonsági Megoldások táblázatból kiolvashatja, hogy az adott vállalat biztonságos mûködéséhez és zökkenõmentes üzletmenetéhez szükséges megoldásokhoz képest megfelel-e az elvárásoknak, esetleg hol lépi túl azokat, vagy melyik ponton mutatkoznak hiányosságok.


Noreg Üzletbiztonsági Szintek

A vállalat informatikai rendszere üzletbiztonsági szempontból a legalacsonyabb veszélyeztetettségnek van kitéve, viszont a cég méretétõl függetlenül ajánljuk az alapvetõ biztonsági megoldások használatát. Ide tartozik a biztonságos internet-kapcsolat kiépítése, tûzfal, és egyéb vírusvédelmi szoftverek telepítésével. Célszerû, ha a biztonsági megoldások kiválasztását az a szakértõ végzi, akit a rendszer telepítésével, illetve karbantartásával is megbíznak. A szakértõnek a továbbiakban rendszeresen kell ellenõriznie a napi frissítéseket, a rendszer beállításait, valamint ügyelnie kell a szoftverlicencek érvényességére és jogtiszta használatukra is.

A vállalat informatikai rendszere üzletbiztonsági szempontból alacsony veszélyeztetettségnek van kitéve. A Noreg Biztonság 2. szintjéhez tartozó vállalatoknak egy esetleges támadásból vagy adatvesztésbõl ritkán származik piaci hátránya, ennek ellenére javasoljuk - a megfelelõ szintû információvédelem érdekében - az alapvetõ biztonsági megoldások kiépítését. Az internet-kapcsolat biztonsága miatt nélkülözhetetlen a vírusvédelmi szoftverek és integrált tûzfal használata. Az IT biztonsági- és rendszergazdai feladatok ellátására javasolt egy dedikált munkatárs (a vállalt méretétõl függõen) rész-, vagy teljes munkaidõben történõ foglalkoztatása, akinek kérhetik szakértõi véleményét a biztonsági megoldások kiválasztása során. A munkatársak számára ajánlott minimum évente egyszer egy 2 órás IT biztonsági oktatást tartani, hogy teljes körû tájékoztatást kapjanak az internet használatával járó veszélyekrõl és azok kiküszöbölési módjáról.

A vállalat informatikai rendszere üzletbiztonsági szempontból közepes veszélyeztetettségnek van kitéve. Vállalatánál ismerik a veszélyforrásokat, és fontosnak tartják a védekezést is. Mivel az Ön vállalata már a Noreg Biztonság 3. szintjéhez tartozik, a vírusirtón és integrált tûzfalon kívül további védelmi eszközök és megoldások (pl. hálózati IDS/IPS, spamszûrõ, VPN megoldás) használatát is javasoljuk informatikai rendszerének zavartalan és hatékony üzemeltetéséhez. Érdemes szétválasztani a rendszergazdai-, és IT biztonsági feladatokat, és erre vagy külön szakértõt foglalkoztatni, vagy szolgáltatót megbízni. A rendszer tervezését, kiépítését és frissítését érintõ kérdésekben ajánlatos mind a rendszergazda, mind az IT biztonsági szakértõ véleményét egyeztetni. A munkatársak számára érdemes évente egy vagy két alkalommal IT biztonsági oktatást tartani, mert így tájékoztatást kaphatnak az internet használatával járó veszélyekrõl, és ezek kiküszöbölési módjairól.
A vállalat informatikai rendszere üzletbiztonsági szempontból fokozott veszélyeztetettségnek van kitéve, hiszen az információ és annak folyamatos, biztonságos rendelkezésre állása az üzletvitel részét képezi. A Noreg Biztonság 4. szintjéhez tartozó vállalatok esetében ajánlott az informatikai rendszer és az elektronikusan tárolt információk védelmére magas szintû védelmi megoldásokat alkalmazni. Így az integrált tûzfalon, spamszûrõn és VPN megoldáson túl birtokláson alapuló azonosításra, high-end tûzfalra és diszk titkosításra is szükség van. A vállalat informatikai rendszerének felmérése alapján egy szakértõk által összeállított IT biztonsági szabályzat pedig nélkülözhetetlen. A szabályozás a biztonság egyik alappillérét jelenti, így az informatikai döntések meghozatalánál (rendszerbevezetések és azok költségvonzatai) célszerû kikérni az informatikai igazgató és az informatikai biztonsági vezetõ tanácsát is. A dedikált IT biztonsági részlegnek megelõzõ jellegû tevékenységet is kell végeznie, illetve gondoskodnia kell a már meglévõ információk megfelelõen titkosított formában való tárolásáról. A munkatársak számára ajánlott évente kétszer IT biztonsági oktatást tartani, amelynek során tájékoztatást kapnak az internet használatával járó potenciális veszélyekrõl, és ezek kiküszöbölési módjairól. Az adatvesztéssel járó fenyegetésekre különös figyelmet kell fordítani az oktatás során, hiszen a jóhiszemû és nem kellõen odafigyelõ felhasználók súlyos károkat okozhatnak.

A vállalat informatikai rendszere üzletbiztonsági szempontból a legmagasabb veszélyeztetettségnek van kitéve. A mindennapi munka során használt információk az üzletvitel alapját képezik, így elvesztése/illetéktelen kezekbe kerülése az üzletmenet összeomlását jelentheti. A Noreg Biztonság 5. szintjéhez tartozó vállalatok esetében fontos az informatikai rendszer folyamatos, zökkenõmentes rendelkezésre állása. A teljes körû, többszintû IT biztonsági rendszernek védelmet kell nyújtania a külsõ és belsõ támadások ellen egyaránt. A vállalat informatikai rendszerének felmérése alapján egy szakértõk által összeállított IT biztonsági szabályzat mellett ajánlott katasztrófatervet is készíttetni. Egy dedikált IT biztonsági szakértõi csapat alkalmazása nélkülözhetetlen, véleményüket pedig nem csak a rendszer tervezése, kiépítése és folyamatos karbantartása során, hanem új eszközök, új megoldások tervezett használata elõtt is ajánlott kikérni. A munkatársak számára ajánlott évente kétszer IT biztonsági oktatást tartani, mert így tájékoztatást kaphatnak az internet használatával járó potenciális veszélyekrõl, és ezek kiküszöbölési módjairól. A személyazonosság és hozzáférés alapú biztonsági megoldások mellett az adatvesztéssel járó fenyegetésekre is különös figyelmet kell fordítani az oktatás során, hiszen a jóhiszemû és nem kellõen odafigyelõ felhasználók súlyos károkat okozhatnak.


Magyarország Üzletbiztonsági Térképe
A Noreg Üzletbiztonsági Kalkulátor utolsó kérdéseként a felhasználó megadhatja, hogy vállalata melyik megyében található, és ezzel részt vesz Magyarország Üzletbiztonsági Térképének elkészítésében. Az adatokat megyénként és országos szinten is összesítjük, és az aktuális állást a kitöltõknek megmutatjuk. A kalkulátorral kapcsolatos promóció végén (2007. június 13.) a végleges eredményt közzé tesszük.

Folyamatosan alakul Magyarország Üzletbiztonsági Térképe

A Noreg Üzletbiztonsági Kalkulátor a www.uzletbiztonsag.hu weboldalon érhetõ el.