Mindenki ideges, a telefonok csörögnek, az e-mailek özönlenek. Pár óra elteltével megjelenik az ügyvezető az IT csapatnál és felteszi a kérdést: “Hogyan következhetett ez be? Miért nem tudtátok megakadályozni?”. Itt általában megáll a levegő és a legritkább esetben hangzik el olyan válasz, amely az ügyvezetőt megnyugtatná. Nem véletlenül. Az IT csapat sok esetben erre nem tud teljes körű választ adni és sokszor nem is csak tőlük kellene ezt várni.

Az igazi probléma az, hogy mind a vezetők, mind az IT üzemeltetői a rendszerek folyamatos működtetésében legtöbbször csak technikai feladatokat látnak. Az üzletfolytonosságra nemcsak a  hardver- és a szoftverhibák, de az emberi tényező is veszélyként leselkedik. Olyan emberi tényezőké, amelyek nem állnak meg a rendszergazdák szobájának ajtajánál.

Incidens és nem technikai probléma

Amennyiben egy ilyen eseményre incidensként és nem technikai problémaként gondolunk, máris többet tettünk a hatékony kezeléséért és a későbbi előfordulásának elkerüléséért. Az incidenskezelés ugyanis egy sokkal átfogóbb szemléletet kíván meg annál, minthogy feladunk róla egy IT hibajegyet.

Az incidenskezelés során nem csupán technikai problémákat kell megoldani, hanem egy olyan helyreállítási folyamatra van szükség amely figyelembe veszi a szolgáltatások  üzleti és emberi aspektusait is. Ahelyett, hogy csak az IT-tól várnánk el a rendszereink stabil működését, fontos, hogy az üzleti területek is aktívan részt vegyenek a megfelelő üzemeltetési folyamatok kialakításában. Ezek akkor jók, ha  amellett, hogy minimalizálni tudják a lehetséges incidensek előfordulásának esélyét, az esetleg bekövetkezett hatását is csökkenteni tudják, mind az ügyfeleink, mind pedig a munkatársaink irányba.

Amikor egy rendszer elérhetetlenné válik, az okok szinte sosem csupán technikaiak. Sok esetben emberi mulasztások állnak a háttérben. Ekkor merülhetnek fel többek között az alábbi kérdések:

• Biztosak vagyunk benne, hogy csak olyan emberek férnek hozzá az információs rendszerekhez, akik rendelkeznek megfelelő képesítéssel?
• Mindenki tisztában van az információs rendszert érintő felelősségével?
•  A kritikus folyamatokban megfelelő számú és jóváhagyó vesz részt?
• Minden munkatársunk tudja, hogyan kell megfelelően használni az információs rendszert?
• Mindenki csak ahhoz fér hozzá a rendszerben, amit a munkája valóban indokol?
• Tisztában vagyunk az IT személyzet jogkörével, az adminisztrátor felhasználók körével és azok  tevékenységét szokta bárki is ellenőrizni?
• Mennyire bízhatunk a külső beszállító vagy fejlesztő által  biztosított garanciákban? 
• Rendelkezünk vészhelyzeti forgatókönyvvel az incidensek kezelésére?

A fenti kérdésekre ma már viszonylag egyszerű válaszokat találni meglévő és régóta alkalmazott információbiztonsági keretrendszerekben és jógyakorlatokban. Tudatos döntéseket hozni az információbiztonság érdekében felsővezetői felelősség, amit nem lehet kizárólag a technikai csapatra delegálni.

| Nyitókép: Illusztráció, Adobe Stock