Fokozott biztonság a cégeknél

Fokozott biztonság a cégeknél

Fokozott biztonság a cégeknél

biztonság

2 perc

A legtöbb vállalatnál a biztonság és a megfelelőség fenntartásához rendszeresen szükség van a felhasználói hozzáférések felülvizsgálatára.

A felhasználói hozzáférések felülvizsgálata és hitelesítése hosszadalmas, monoton, visszatérő és gyakran feleslegesnek tűnő folyamat. A rendszeres procedúrát nem lehet megúszni egyetlen olyan szervezetnél sem, amelyre vonatkozik valamilyen megfelelőségi előírás, ezek ugyanis mind előírják, hogy a vállalatok csak a munkakörüknek megfelelő hozzáféréseket biztosítsák az alkalmazottak számára az informatikai rendszerekben, és rendszeresen ellenőrizzék is azokat – indokolja a NetIQ közleménye.

A megfelelőség nem garancia a biztonságra

Hol vannak rések az IoT pajzsán?

Maga a folyamat a vizsgálatot végző személy szempontjából nézve leginkább ahhoz hasonlítható, mintha biztonsági őrt kellene játszania egy moziban, és a film alatt rendszeresen ellenőriznie kellene minden egyes néző jegyét, hogy kiszúrhassa, ha valaki egy másik teremből surrant át, azaz nem az ott vetített filmre váltott jegyet. Az ilyen feladatra sokan felesleges adminisztrációs teherként tekintenek, és megpróbálnak valamilyen egyszerűbb utat választani. Egy moziban erre például olyan megoldást is bevezethetnének, hogy egy bizonyos mintával ellátott pecsétet nyomnak mindenkinek a kezére, aki kifizette a jegy árát.

Sok szervezetnél minden ellenőrzéskor egyszerűen végigszáguldanak a listán, és meghagyják a jogosultságokat különösebb módosítások nélkül, hogy készen legyenek a feladattal a határidőre vagy az audit idejére. Ezzel a megfelelőség kérdéskörét kipipálhatják az adott időszakra, de a szervezeten belül továbbra is túl sok ember rendelkezik túl nagy hatáskörrel. A NetIQ szakértői szerint viszont a megfelelőség nem mindig egyenlő a biztonsággal.

A megoldás: elemzés és súlyozás

Ez a feladat akkor kivitelezhető alaposan és hatékonyan, ha megadják a kontextust és a prioritásokat az ellenőrzésért felelős személyek számára a felülvizsgálati folyamat során. A mozis példával élve: ahelyett, hogy azt várnák tőlük, hogy minden egyes jegyet külön ellenőrizzenek, olyan rendszerre van szükség, amely felhívja a figyelmüket a 18+-os filmeket vetítő termekben a belopózott tinédzserekre. 

A hozzáférések ilyen módú automatizált ellenőrzése hasznosítható lehet akár egy okosotthon vagy bármilyen IoT-hálózat esetében. Itt a személyes adatok biztonságának garantálásához a központi egységnek tudnia kell, mely eszközök a hálózat mely részéhez férhetnek hozzá. Így például ha egy gyenge védelemmel ellátott okosvillanykörte szoftvere valamiért hozzáfér a személyes e-mailekhez, az kockázatos lehet, hiszen így egy hackernek csupán az izzó rendszerét kell feltörnie, és ezáltal megkaparinthatja a kényes adatokat is.