Adatbiztonság az üzleti életben

Mióta világ a világ, a cégek (és persze a magánemberek is) vagyonokat költenek arra, hogy az értékeiket megvédjék. Míg száz évvel ezelőtt egy vállalkozásnak a kézzel fogható értékeit és a papírjait kellett lakat alatt tartania, manapság a legtöbb cég életében az informatikai biztonság a legfontosabb. Felsorolni is nehéz, hányféle és mekkora mennyiségű adat halmozódik fel napjainkban egy átlagos vállalkozásnál. Ezek egy jelentős része pedig érzékeny adat vagy éppen üzleti titok, melyekhez illetéktelenek semmiképp sem férhetnek hozzá. Komoly anyagi és presztízsveszteséggel számolhat az a cég, amelyik nem veszi komolyan, vagy nem költ eleget az adatbiztonságra. Cikkünkből kiderül, hogy milyen technikai és szervezési intézkedéseket érdemes foganatosítani adataink védelméhez.

Miért lett az adat az új “olaj”?

A rövid válasz erre a kérdésre az lenne, hogy azért, mert akinél az adat, annál a pénz és a hatalom. Éppen úgy, ahogy valaha az olaj esetében. Napjainkban az a vállalkozás tud hatékonyan működni, sikeresen értékesíteni és megfelelő ügyfélélményt kínálni, aki rengeteg – és ügyesen kezelt – információval rendelkezik. Nem véletlen, hogy az olyan óriáscégek, mint a Facebook vagy a Google a felhasználók minden rezdülését mérik és tárolják.

Az adatokat azonban nem elég összegyűjteni, gondoskodni kell azok bombabiztos tárolásáról is. Hogy miért? Nos, pontosan azért, mert az adat az új olaj. Olyan érték, amire mások is szemet vethetnek, és megpróbálhatják eltulajdonítani tőlünk. A kiberbűnözők sajnos a legkreatívabb és legagyafúrtabb módszereket eszelik ki az információk ellopására, méghozzá pénzt és időt nem kímélve.

A digitalizáció hurrikánként söpört végig a világon az elmúlt évtizedekben, ami az adatok tárolásában is új megoldásokat hozott magával. A fizikai adathordozóknak végleg leáldozott: napjainkban az adatok gyűjtése, tárolása és megosztása is online zajlik. Ezért az adatokhoz – hiányos védelem esetén – gyerekjáték hozzájutni másoknak is. Az elmúlt években számos szivárgásról olvashattunk, ami bizony a világcégeket sem kímélte. De vajon mivel jár egy ilyen „malőr?”

Milyen kockázatokkal jár a nem megfelelő adatbiztonság?

A nem megfelelő adatbiztonsági intézkedések legfőbb okai

Több oka is lehet, amiért egy cég vagy intézmény hiányosan bánik a fontos, titkos és személyes adatok kezelésével. A legtipikusabb ok az, hogy nincsenek pontosan tisztában azzal, hogy milyen adatok szorulnak védelemre. Könnyen lehet, hogy úgy vélik, az általuk kezelt és tárolt információk nem bírnak értékkel, ezért nem szükséges a megóvásukról sem gondoskodni.

Hasonlóan gyakori magyarázat a nem megfelelő adatbiztonságra az is, amikor egy vállalkozó úgy véli, az ő cége garantáltan nincs kitéve a kibertámadásoknak. Talán azért, mert túl kicsinek ítéli a vállalkozását vagy úgy gondolja, az általa kezelt adatok érdektelenek. A bűnözők természetesen egész másképp gondolják, és kapva kapnak a kínálkozó alkalmon.

A veszély azonban sokszor nem kívülről jön. Amennyiben egy cégnél nincsenek kialakítva jogosultsági szintek (azaz mindenki hozzáfér minden adathoz), komoly belső biztonsági kockázat alakul ki. Ugyanilyen rizikót jelet az is, ha nem létezik egységes adatkezelési policy, ami minden kolléga előtt ismert. Végül említsük meg a kockázatok között azt is, hogy egyetlen biztonsági rendszer sem tart az örökkévalóságig. Nem elég egyszer kiépíteni azt, hanem folyamatosan frissíteni és modernizálni kell.

Ezért veszélyes félvállról venni az adatok védelmét

Védenünk kell tehát az adatokat, méghozzá oly módon, hogy azok semmiképp ne kerülhessenek jogosulatlanok birtokába. De mi történik, ha minden erőfeszítésünk ellenére ellopják a tulajdonunkban lévő adatokat? Nos, többféle kár és veszteség is ér minket. A bűnözők bevett módszere, hogy az adatokat csak „váltságdíj” fejében adják vissza, vagy éppen pénzt kérnek azért, hogy újra hozzáférhessünk az e-mailjeinkhez. A zsarolás összege akár több millió forint is lehet.

Ehhez még vegyük hozzá az erkölcsi kárt és azt, hogy mekkora mértékben sérül a vállalkozásunk imidzse. Ezeket a károkat talán nem vesszük észre azonnal, de könnyen lehet, hogy az ügyfeleink lassan lemorzsolódnak, és inkább a konkurenciát választják, akik ügyelnek az adatbiztonságra. A negatív sajtó, az elveszett adatok visszaállítása pedig további károkat jelent. Arról nem is beszélve, hogy az információk egy részének akár örökre búcsút mondhatunk. A szükséges adatok nélkül pedig a cég napi működése kerül veszélybe.

Ezekkel a módszerekkel növelheted az adatbiztonságot

Az alábbiakban olyan biztonsági megoldások alkalmazásáról olvashatsz, amelyek segítenek elkerülni, hogy áldozattá válj. Önmagában egyik módszer sem jelent varázsszert, ezeket kombinálva azonban kialakíthatsz egy olyan rendszert, amivel minimálisra csökkentheted a bűnözők esélyeit.

Adattudatosság

Az adatbiztonság ott kezdődik, hogy tisztában vagyunk azzal, hogy milyen adatokat kezelünk, azokra milyen szabályozás vonatkozik, és mit kell tennünk a megóvásuk érdekében. Első körben tehát mérjük fel, hogy pontosan mely adatok szorulnak védelemre, és ezek közül melyek számítanak különösen kényes adatnak (például a személyes vagy egészségügyi adatok). Már itt érdemes lehet egy külső partnert bevonni, hiszen a nagy mennyiségű adat rendszerezése bonyolult feladat.

Belső szabályzat

Az adatok megismerése és rendszerezése után érdemes írásba is foglalni, hogy a cég milyen lépéseket vár el az adatbiztonság terén. A dokumentum térjen ki arra, hogy miként kell az adatokat tárolni, megosztani és törölni – az online és az offline térben egyaránt. Akár továbbképzéseket is tarthatunk a kollégáknak, sőt játékos módon is el lehet magyarázni az adatvédelem legalapvetőbb lépéseit.

Adathozzáférés

A marketinges kollégának aligha van szüksége a cég pénzügyi beszámolóira, a könyvelőre pedig nem tartoznak az ügyfelek személyes adatai. Sok cégnél mégis az a bevett módi, hogy mindenki hozzáfér minden adathoz. Ez az egyik legkomolyabb biztonsági rés, hiszen minél több emberen fut át az adat, annál nagyobb az esélye, hogy kiszivárog vagy elveszik. A jogosultsági szintek kialakításával könnyen megelőzhetjük ezt: bőven elég, ha mindenki csak azokhoz az adatokhoz kap hozzáférést, amikre valóban szüksége van.

Hozzáférési pontok

Az adatokat manapság sok helyen tároljuk, és különféle módokon férünk hozzájuk. A tárolás történhet felhőben, szerveren, valamilyen fizikai adathordozón, a hozzáférés pedig történhet PC-ről, tabletről vagy akár okostelefonról is – és ezeket mind-mind biztosítani kell. Például úgy, hogy csakis biztonságos, jelszóval védett WiFi-hálózatot használunk, a számítógépeket alvó módba kapcsoljuk, ha nem vagyunk az asztalnál, a mobilokat pedig mindig magunknál tartjuk. Home office esetében ezekre a tanácsokra még jobban oda kell figyelnünk!

Erős jelszavak

123456, password, qwerty, welcome – csak néhány példa a legnépszerűbb és éppen ezért legveszélyesebb jelszavak közül. Az ilyen megoldások tárt kapukat jelentenek a bűnözőknek, hiszen semeddig sem tart kitalálni őket. Egy igazán erős jelszó legalább 8 karakterből áll, tartalmaz kis- és nagybetűket, számokat és speciális karaktereket (pl: /*?). A teljes biztonsághoz azonban sokszor ez is kevés, ezért érdemes olyan jelszógeneráló és -tároló alkalmazást használni, mint a KeePass vagy a LastPass.

Biztonsági mentés

Az adatok rendszeres biztonsági mentése az egyik legfontosabb dolog, amivel biztonságban tudhatjuk az értékes információkat. Akárhol tároljuk is ugyanis az adatokat (szerver, felhő stb.), ezek sérülhetnek, leállhatnak, és máris búcsút inthetünk nekik. A biztonsági mentésnek több válfaja is létezik: a teljes mentés mellett igen gyakori a különbségi (csak az új és módosított fájlok kerülnek másolásra), illetve a növekményi biztonsági mentés is (csak az új és módosított fájlok kerülnek mentésre).

Frissítés

Akármilyen biztonsági rendszert alakítunk is ki, előbb-utóbb sajnos elavulttá válik. Ezért is lényeges, hogy folyamatosan monitorozzuk az állapotát, és végezzük el a szükséges korszerűsítéseket, javításokat. Érdemes minden programból, vírusírtóból a legújabb verziót használni, és bekapcsolni az automata frissítés funkciót. A fejlesztők is folyamatosan zárják be a biztonsági réseket, így a támadóknak még kevesebb esélye marad.

GDPR

A 2018-ban elfogadott, minden EU-tagállamban érvényes GDPR (General Data Protection Regulation, Általános Adatvédelmi Rendelet) igen szigorú szabályok közé szorítja a természetes személyek adatkezelését. Márpedig ezeknek a rendelkezések lényegében minden vállalkozásra érvényesek, hiszen személyes adatokat mindenki kezel (ügyfelekét vagy alkalmazottakét). A GDPR teljes szövege ezen a linken érhető el.

Maximális adatbiztonság a Salesforce-szal

Megtippelni is nehéz, hogy egyetlen évben világszerte mekkora károkat okoz az adatlopás. Az összeg biztosan csillagászati, de ahogy cikkünkben bemutattuk, számos módszer létezik melyekkel elkerülhetjük, hogy a vállalkozásunk áldozattá váljon. Arra azonban még nem adtunk választ, hogy hol érdemes tárolni az adatokat. Nos, a szakértők egyetértenek abban, hogy napjainkban a felhőalapú megoldások számítanak a legbiztonságosabbnak.

Az adattárolást pedig érdemes olyan szoftverre bízni, amelyik mindent megtesz a védelemért. A Salesforce felhőalapú CRM pontosan ilyen. Az ügyfélkapcsolat-kezelő rendszer kis- és nagyvállalatok számára egyaránt elérhető, a szoftver fejlesztése során pedig külön hangsúlyt fektetünk az adatbiztonságra.

Ehhez kapcsolódik az átláthatóság is: a Salesforce valós idejű információkat biztosít a rendszer állapotáról, a frissítésekről, illetve a támadási kísérletekről.