A legtöbb incidensnél utólag nem az a kérdés, milyen tűzfal volt, hanem az, hogy miért volt elég egy rossz kattintás, egy sietős döntés, egy megosztott jelszó vagy egy „most kivételt teszünk” pillanat.
Az emberi tényező a valóságban nem mellékszál: a biztonság ott dől el, ahol a kollégák nap mint nap dolgoznak. A NIS2 ezt kimondja és el is várja: képzéssel, szabályokkal és vállalati kultúrával kezeld tudatosan azt, ami a legtöbbször hibázik: az emberi döntéseket. Mi is most készülünk az auditra, ezért foglalkozunk ma ezzel a témával.
Miért fáj igazán?
Ha egy munkatársad, vagy te magad hibázol, az azért fáj igazán, mert hiába van világszintű technológia, ha közben:
a jelszó körbejár „mert gyorsabb”,
mindenhova ugyanaz a jelszó megy „mert úgyis megjegyezhető”,
a csatolmányt megnyitják „mert a főnök kérte”,
a szabályt megkerülik „mert különben megáll a munka”.
Döntéshozóként itt van a lényeg: a biztonság nem akkor erős, ha papíron szigorú, hanem akkor, ha a valós működésben is betartható.
Képzés, ami tényleg számít
A kötelező anyagokkal az a baj, hogy gyakran mindenki ugyanazt kapja – pedig nem ugyanazok a kockázatok. Akkor lesz hatása, ha rendszeres, rövid, és szerepkörre szabott.
A vezetőknek például nem az a leghasznosabb, hogy milyen gombot hova kell kattintani, hanem hogy milyen döntési helyzetekben csúszik be a kockázat: kivételek engedélyezése, sürgetés miatti kontrollvesztés, jogosultságok „átmenetileg” megadása.
Az ügyfélszolgálatnak a megtévesztés felismerése és az azonosítási fegyelem a kulcs. A fejlesztőknek a biztonságos fejlesztés alapjai és a hozzáférések kezelése. Az üzemeltetésnek a jogosultsági rend, a változáskezelés és az incidenskezelés.
A jó képzés nem hosszú. Inkább legyen 15–20 perc, de rendszeres, és kapcsolódjon a saját napi helyzetekhez.
Szabályok, amiket nem utálnak az emberek
Ha a szabály túl bonyolult, a szervezet előbb-utóbb kitermeli a megkerülését. Ez törvényszerű. Ezért a „jó” szabály nálam mindig három szót bír ki: rövid, érthető, betartható.
A minimumok IT vezetői szemmel tipikusan ezek:
MFA a kritikus rendszereken,
jelszókezelő használata (legalább a kiemelt fiókoknál),
tiszta eszköz- és adatkezelési rend,
otthoni munkavégzés, mobil eszközök és BYOD keretei: mi fér bele és mi nem.
Nem kell regényt írni belőle. Sokszor egy jól összerakott, egylapos „mit csinálj / mit ne csinálj” többet ér, mint egy húszoldalas szabályzat, amit senki nem talál meg.
Folyamatok, amik nem kényszerítik ki a szabályszegést
Az ember nem gonosz, csak siet. Ha egy jóváhagyás annyira körülményes, hogy a munka leáll tőle, akkor a csapat meg fogja kerülni. Nem azért, mert felelőtlen, hanem mert teljesíteni akar.
A megoldás: úgy tervezd a folyamatokat, hogy a helyes út legyen a könnyebb.
legyen gyors és egyértelmű a jóváhagyás,
legyenek fix pontok, ahol nem lehet „okosban” átcsúszni,
a kritikus területeken legyen 4 szem elv (pénzügy, jogosultság, fontos rendszerbeállítások),
legyen tiszta felelősségi rend: ki kér, ki engedélyez, ki ellenőriz.
Ez a rész sokszor látványosan csökkenti az incidensek esélyét, mert nem az emberre tolja a fegyelmet, hanem a működésbe építi.
A beszállítók is a kultúra részei
Ha partner fejleszt, üzemeltet, ügyfélszolgálati feladatot végez, vagy hozzáfér rendszerekhez/adatokhoz, akkor ő is a kockázati kép része. Itt nem elég a „jó kapcsolat”, ezt érdemes kimondani és rögzíteni.
Szerződésben is jelenjen meg:
milyen oktatási elvárások vannak,
milyen magatartási szabályokat kell betartani,
mi az incidens bejelentésének rendje és határideje.
Ez nem bizalmatlanság. Ez üzembiztonság.
Ha az idei NIS audit még nincs kész……..
Nem minden fér bele azonnal, de az emberi tényezőnél van néhány olyan lépés, amit gyorsan, kézzelfoghatóan meg tudsz csinálni – és auditnál is jól „fogható” eredményt ad.
-
Indíts rövid, szerepkörös képzéseket (15–20 perc), és dokumentáld a részvételt + egy rövid visszakérdezést.
-
Fuss le egy próbatesztet megtévesztő levelekkel, majd küldj ki tanulságokat: mi volt gyanús jel, mire figyeljünk legközelebb. Ne szégyenítés legyen, hanem tanulás.
-
Tedd kötelezővé az MFA-t legalább a levelezésnél, távoli elérésnél és a kiemelt fiókoknál.
-
Írj meg egy egylapos szabálygyűjteményt otthoni munkára, mobilra, BYOD-ra és adatkezelésre.
-
Vezesd be a 4 szem elvet ott, ahol a legnagyobb a kár: pénzügyi műveletek, admin jogosultságok, hozzáférés-kiadás.
-
Egyszerűsítsd az incidens-bejelentést: egy csatorna, egy rövid sablon, és egy vezetői üzenet: „inkább szólj előbb, mint később”.
Ha ezeket végigviszed, máris lesz egy olyan alapod, ami nem csak rendben van papíron, hanem a napi működésben is erősíti a biztonságot. És ez az a pont, ahol a NIS2 nem teher, hanem valódi szervezeti stabilitás.
Ha beszállítóként, vagy ügyfélként addig is kérdésed van felénk ezzel kapcsolatban, állunk rendelkezésedre!
Adél
