Ha egy vállalat vezetőjeként eljutok arra a felismerésre, hogy az informatikai illetve információs rendszer védelmére – már csak a vállalat működésének biztonsága érdekében is – áldoznom kell, akkor még nem tudom, hogy ezt hogyan tegyem!   Milyen védelmet építsek ki, ezt hogyan tegyem?   Mennyi a szükséges, és mennyi az elégséges védelem?   No és persze mindez mennyibe kerül? És egyáltalán, a védelemre fordított összeget hogyan tudnám a leghatékonyabban felhasználni?   Nyilvánvaló, hogy ezek a költségek nem termelő költségek, tehát gazdaságossági szempontból meg kell próbálnom a szükséges minimumra csökkenteni azokat! Ez szélsőséges esetben könnyen csapdahelyzetté válhat, mert egy kis szerencsével sokáig büntetlenül figyelmen kívül lehet hagyni a kérdést! És ha meg mégis bekövetkezne valami…?   Másrészt jó volna minél jobban bebiztosítani magamat és a céget a különböző veszélyekkel szemben, hogy akármi is történik, akkor se álljon le a működés, akkor se veszíthessen nagyot a vállalkozás.   Ez több, sokszor ellentétes szempontot és kérdést is felvet! Ezeket a szempontokat célszerű végiggondolni, mielőtt meghatároznám, hogy mennyit és hogyan is költsek a védekezésre:

1. Milyen biztonsági szintet akarok elérni? A „100 %-os biztonság” szépen cseng, de a gyakorlatban nem létezik. Viszont minél jobban megközelítjük, annál drágább annak elérése, és az már a szükségtelen hatékonyságcsökkentés irányába hat. Hol van tehát az optimális egyensúly?
2. Mit is akarok védeni? Mi az az esemény, aminek a bekövetkezésétől félek? És ha bekövetkezik, akkora mekkora lehet a veszteség? Nyilvánvaló, hogy az elkerülésére fordított összegnek kisebbnek kell lennie, mint a bekövetkezésekor várható kár nagysága!
3. Ha egyszerre több kockázati tényező (veszélyhelyzet, fenyegetettség) ellen is kell védekezni, akkor hogyan határozom meg az optimumot? Melyik kockázati tényező esetén milyen legyen a védelmi szint?
4. Általános irányelv az egyenszilárdságú védelem kialakítása! Természetesen nagyobb rendszereknél, sok kockázati tényező elleni együttes védekezés kialakításakor az egyes eljárások egymással is sokszor kölcsönhatásban vannak, egymást erősíthetik, illetve egy-egy eljárás egyszerre több fenyegetettség ellen is véd. Szóval ilyenkor már sokkal árnyaltabb és összetettebb a kép!
5. Mi van, ha a támadó fejével gondolkodok? Mennyit ér meg pl. az ellopott információ, vagy nekem okozott kár a támadónak? Mennyit ér meg neki befektetni a „támadás” végrehajtásába? Tulajdonképpen lehet, hogy annál többet nekem se éri meg a védekezésbe fektetnem!
6. És végül minderről hogyan győzöm meg a tulajdonost, vagy adott esetben tulajdonosként magamat (!), hogy ez mind szükséges kiadás volt?

Dr. Horváth Zsolt