Az üzletfolytonosság emberi és szervezeti kérdés is – nem kizárólag technikai

Ha egy rendszer leáll, nemcsak a szerverek omlanak össze, hanem az emberek reakciói okozhatnak kihívásokat. Az incidenskezelés nem kizárólag az informatikai csapat felelőssége.

Az információbiztonság elsősorban nem IT-kérdés, hanem vezetői felelősség, ugyanis a  hatékony válaszokhoz ugyanis nemcsak technikai megoldások, hanem tudatos szervezeti működés, világos felelősségek és üzleti részvétel is szükséges.

Ha a rendszer megáll, nem csak a technika hibázott

Képzeljünk el egy reggelt, amikor a vállalat egyik kulcsfontosságú rendszere elérhetetlenné válik. A kollégák tanácstalanok, az IT csapat próbálja diagnosztizálni a hibát, miközben a vezetők egyre feszültebbek. Pár óra múlva az ügyvezető felteszi a kérdést:
„Hogyan történhetett ez? Ki hibázott? És miért nem voltunk erre felkészülve?”

A válaszok ilyenkor ritkán megnyugtatóak. Mert bár elsőre technikai hibának tűnhet az eset, a legtöbb rendszerleállás hátterében emberi mulasztás, hiányos szabályozás vagy félreértett felelősség húzódik meg.

Miért nem elég a technikai incidenskezelés?

A klasszikus IT-alapú hibakezelés sokszor nem lát túl a rendszerek működésén. Pedig az incidenskezelés átfogó, szervezeti szintű kihívás. Szükség van:

• a rendszereinkre és folyamatainkra leselkedő potenciális fenyegetettségek előzetes azonosítására
• világos folyamatokra és felelősségi körökre;
• megfelelő jogosultságkezelésre;
• emberi hibák megelőzésére szolgáló tudatosságnövelésre;
• és előre megtervezett, üzleti szempontokat is figyelembe vevő helyreállítási forgatókönyvekre.

Ezek a kérdések sokkal fontosabbak, mint gondolnánk

Egy váratlan incidens után érdemes elgondolkodni a következőkön:

• Mennyire volt váratlan az eset?
• Fel tudtunk volna jobban készülni a (negatív) következmények kezelésére? 
• Csak az fér hozzá az információs rendszerhez, akinek valóban dolga van vele?
• Munkatársaink tudják, mit jelent az információbiztonság a saját szerepkörükben?
• A kritikus jóváhagyások megfelelően szabályozottak?
• Az IT-adminisztrátorok tevékenységét bárki ellenőrzi?
• Tényleg ismerjük és értjük a beszállítóink garanciavállalását?
• Van vészhelyzeti protokollunk – és ismeri is azt minden érintett?

Ezekre a kérdésekre nem a technikai leírások adják meg a választ, hanem a szervezeti tudatosság és vezetői elköteleződés.

Minden incidens egyben egy lehetőség is

A modern incidenskezelés célja nem csupán a hiba elhárítása, hanem az, hogy a jövőben kevesebb, és kevésbé súlyos eset forduljon elő. Ehhez minden szereplő – nemcsak az IT – aktív részvétele szükséges.

A nemzetközi információbiztonsági szabványok (pl. NIST 800-53, ISO/IEC 27001), illetve az érettségmodell-alapú megközelítések régóta kínálnak olyan keretrendszert, amely segíti a szervezeteket az emberi, üzleti és technológiai aspektusok együttes kezelésében.

Amit egy vezető megtehet:

1. Ne csak az IT-t kérdezze. Vonja be az üzleti vezetőket is a folyamatok kialakításába.
2. Fektessen be a tudásba. Képzések, tudatosságnövelő kampányok minden szinten.
3. Értékelje újra a beszállítói kapcsolatokat. Különösen a digitális szolgáltatásoknál.
4. Készüljön előre. Ne csak backup legyen – legyen döntési szimuláció, teszt és gyakorlat is.
5. Legyen stratégiai szövetségese az IT-nak. Nem felettes, nem „ügyfél” – hanem partner.

„Az incidenskezelés nem akkor kezdődik, amikor baj van”

Az incidenskezelés valójában a szervezeti kultúra része. Egy olyan szemlélet, ahol az IT, a HR, a jog, az operáció és a vezetés együtt dolgozik azon, hogy a váratlan helyzetek ne bénítsák meg a vállalat működését – hanem kezelhető, tanulható és visszafordítható eseményekké váljanak.

A Grant Thornton digitális üzletága abban támogatja partnereit, hogy ezt a szemléletet és működést a gyakorlatba is át tudják ültetni – szabályozási keretrendszereken, kockázatelemzésen, üzletmenet-folytonossági tervek kialakításán keresztül.