Akár nagyobb ipartelepről, kisebb gyárról, irodaházról vagy irodáról beszélünk, a biztonság fontos szerepe vitathatatlan. Üzleti vállalkozásunk léte függhet attól, ha az első védelmi vonal összedől a betolakodók, a tűz, a természeti katasztrófák és bármilyen más bomlasztó esemény ellen.
Sok vállalkozó már csak egy kritikus esemény bekövetkezése után foglalkozik biztonsági rendszerének felülvizsgálatával, rendbetételével, pedig nagyon sok "költség" megspórolható hosszútávon a veszteségek megelőzésével. A veszteség pedig nem csak anyagi eredetű lehet, bár sokszor visszahat oda: amikor cégünk hírnevén csorba esik vagy néhány kényes és bizalmas üzleti információ rossz kezekbe kerül, az ugyanúgy árthat vállalkozásunknak.
Ahhoz, hogy megbizonyosodjunk vállalkozásunk védelméről, lehetőség szerint egy átfogó sebezhetőségi tanulmányra van szükség. A sebezhetőségi vagy sérülékenységi tanulmány magába foglalja a biztonsági kockázat csökkentésének két kulcsfontosságú elemét: 1) a környezetben található sebezhetőségek megértését és 2) az ezekre megfelelő reagálást.
A sebezhetőségi tanulmány elkészítése egy olyan folyamatot jelent, amelynek célja a vállalat környezetében található biztonsági rések azonosítása és számszerűsítése. Egy komplex sebezhetőségi tanulmány kiterjedhet a vállalkozás legkülönbözőbb területeire:
- Fizikai biztonság – paraméterbiztonság, termék/alkatrész/személy/ be- és kiléptetés, kamerarendszer, őrszolgálat, tűzvédelem, stb.
- IT biztonság – rendszerátvilágítás, szerver szobák, jelszavak, adatkezelés, alkalmazottak felkészítése
- HR – alkalmazottak kiválasztása, személyes adatok kezelése, stb.
- Fontos üzleti információk kezelése – tárolás, hozzáférés
- Alvállalkozók/beszállítók/üzleti partnerek szűrése és kiválasztása
Arra, hogy van-e szükség komplex tanulmányra, a vállalkozás profilja ad választ. Azt pedig, hogy mit tartalmazzon egy ilyen tanulmány, esetleg csak fizikai biztonsági felülvizsgálatot vagy IT ellenőrzést és egyebet is, egy szakember által tett előzetes felmérés tudja megválaszolni.
A tanulmány elkészítése magában foglalja az információ begyűjtését, kiértékelését és amennyiben szükséges, konkrét ajánlásokat a kijavítandó specifikus területekre. Fontos, hogy a végeredmény megfeleljen számos szabályozó testület és szabványügyi szervezet követelményeinek, ideértve a tanúsító hatóságokat vagy akár a kormányzati ügynökségeket is.
Az alábbiakat nyerhetjük egy sebezhetőségi tanulmánnyal:
- Azonosítja az ismert biztonsági sebezhetőségeket, mielőtt a támadók megtalálják azokat.
- Meghatározza a létező kockázatok szintjét.
- Leltár készül az egész biztonsági rendszerről és a hálózaton lévő eszközről. Ez magában foglalja az adott eszközökhöz kapcsolódó sebezhetőségeket is. Ez a későbbi, tervezett eszközfejlesztésekben is segítséget ad.
- Létrehoz egy biztonsági kockázati pontszámot és egy üzleti kockázat/haszon görbét vagy mátrixot, és optimalizálja a biztonsági beruházásokat.
Sokan vallják, hogy egy átfogó sebezhetőségi tanulmány nélkül szinte lehetetlen üzleti vállalkozásainkat magas szintű kockázat nélkül kezelni. A biztonsági kockázat csökkentését célul kitűző vállalatok számára a sebezhetőségi tanulmány jó kiindulási pont. A vállalat átfogó tanulmányozása során, a biztonsági rendszer alapos értékelésén keresztül azonosítható a sebezhetőség is. A tanulmány megoldást kínál a felfedett kockázatok kezelésére, figyelembe véve az állandóan változó fenyegetést is, hogy egy esetleges támadás (lopás, csalás, sikkasztás, stb) ne érje felkészületlenül cégünket.
