Internetes biztonság, biztonsági stratégia (x)

Portfolio

2003. január 23. 10:19

Antal Lajos a PricewaterhouseCoopers (PwC) Biztonság és Technológia részlegének fejlesztéséért felelős menedzsere. Három részes interjúsorozatunk - mely az informatikai biztonsággal foglalkozik - harmadik részében a biztonsági tesztekről kérdeztük.

1 2 ›

Az ügyfelek elégedettek.

Portfolio.hu.: Legutóbbi interjúnkat azzal fejeztük be, hogy a teszteredmények nagy valószínűséggel fél éven belül elévülnek. Kérdésem az, hogy vajon az ügyfél is érzi ezt?

A. L.: Erre előre felhívjuk az ügyfél figyelmét. Meg vagyok lepődve akkor, amikor beszélgetek egy prominens céggel 2002-ben, és azt mondja, hogy 1997-ben volt biztonsági vizsgálata utoljára. Nem mondom, hogy mindenhol tudják, miszerint egy bizonyos idő után elavul a biztonsági teszt eredménye, de a cégek nagy része azért tisztában van vele. Ez ugyanúgy működik, mint egy autónál, amit javasolt elvinni 15 ezer kilométerenként szervizre. Az informatikai rendszerben is vannak változások és úgy kell tekinteni, hogy a biztonsági teszt/vizsgálat az informatikai biztonság 15 ezres szervize, amit ki lehet hagyni, de akkor a kockázat magasabb.

P.: Az ügyfelek visszatérnek hozzátok, hogy újra teszteljétek a rendszerüket?

A. L.: Nagyon sok ügyfelünkkel van keretszerződésünk, de keretszerződéstől függetlenül is felkérnek sokan, hogy minden jelentős változásnál, például egy internet banki alkalmazásnál, minden egyes nagyobb változás alkalmával teszteljük újra az adott rendszerüket. A legtöbb ügyfelünkkel olyan kapcsolatunk van, hogy rendszeresen visszahívnak tesztelni. Ennek alapja, hogy meg vannak elégedve a szolgáltatásnak a technológiai színvonalával, minőségével és azzal ahogy kommunikálunk velük, tehát ahogy információt képesek vagyunk átadni és elégedettek a szaktudással is.

P.: Nektek jó, ha keretszerződésetek van az ügyféllel, hiszen az folyamatos, állandó, jól tervezhető bevételt jelent...

A. L.: A keretszerződés alapvetően bizonyos dolgokat rögzít, például, hogy a rendelkezésre állás mennyi időn belül kell, hogy megtörténjen. Ez egyfelől komfortot ad mind az ügyfélnek és nekünk is. Mi csak azzal tudjuk garantálni a folyamatos bevételünket, hogy a legmagasabb szintű szolgáltatást nyújtjuk. Meg vagyok győződve arról, hogy a legmagasabb szinten végezzük a biztonsági teszteket. Itt folyamatosan kell küzdeni, ez nem olyan pálya, hogy egyik pillanatban a csúcson vagyok és biztos, hogy egy év múlva is ott leszek. Rendkívül nagy változás van technológiában szinte percről-percre. Gondoljunk bele, hogy 10 évvel ezelőtt, amikor a web elindult, akkor a technológia hol tartott és ma hány féle webszerver, alkalmazás, technológia van, hányféle technológiával lehet kódolni, dinamikus tartalmat kezelni. Ezeket a technológiákat ismerni kell biztonsági vonatkozásaival együtt.

P.: Nehéz megfelelő szakember gárdát összeszedni ilyen tesztekre?

A. L.: Többféle ok miatt is nehéz összeszedni. A PwC-nél van egy standard, amely szabályozza, hogy ki az, aki tesztet elvégezhet. Ehhez egy akkreditációs vizsgát kell sikeresen letennie az illetőnek, illetve bizonyos óraszám felügyelet melletti gyakorlat kell hozzá. Ezzel a vizsgával garantálja a cég, hogy az illető személy kockázatkezelési szempontból pontosan tudja, hogy mit lehet és mit nem. Ez egy olyan terület, ha valaki nem pontosan azt végzi, amire felkérték, akkor bűncselekményt végez.

P.: Ez mind dokumentálva van a szerződésben?

A. L.: Amit el kell elvégeznünk, az pontosan dokumentálva van, s magának a munkának a során is újabb dokumentumok születnek. Természetesen az, hogy mit csinálhatok, az pontosan rögzítve van a szerződésben.

Munkatársaink technológiai tudásának csúcsszinten kell lennie arról az alapterületről, amit az illető tesztelni fog. Az nem történhet meg, hogy az adott ember akkor lát először olyan alkalmazásokat, amit tesztel. Ezek igen magas technikai tudású emberek, akik egyben a kockázatkezeléssel is tisztában vannak. Ha mindezeknek eleget tett a személy, akkor kezdhet el ilyen teszteket végezni, persze nem önállóan, hanem egy szakember felügyeletével. Amikor már kellő hónapnyi tapasztalata van, akkor részfeladatokat önállóan végezhet el és ez így megy tovább, míg el nem jut odáig, hogy önállóan kezelhet ilyen ügyfélmunkákat. Természetesen munkatársainak levizsgált személyek, tehát nem alkalmazunk volt hackereket, kétes múltú személyeket.

P.: Nagy szerepe van ezek szerint az emberi erőforrásnak, és nem kimondottan jó a magas fluktuáció?

A. L.: Ezen a területen különösen nem jó a fluktuáció, hiszen kevés ember felel meg a kritériumainknak. Világszinten jelentős szakembergárdánk van. A nemzetközi csoporttal jó az együttműködésünk és gyakorta hívnak minket külföldre. Biztosított, hogy magas szintű titoktartás és biztonság mellett tudjunk egymással kommunikálni szenzitív témákról, és tudjunk együtt dolgozni annak érdekében, hogy az adott munkát az végezze el, aki a legjobban ért hozzá.