KOMMUNIKÁCIÓ 2016 – Új trendek az infokommunikáció világában
Nemzetközi tudományos-szakmai konferencia
2016. november 15.
Honvéd Kulturális Központ, STEFÁNIA PALOTA
Budapest
Kutatási módszerek a had-, rendészet-, és biztonságtudományokban
Dr. Kollár Csaba: Szervezeti információbiztonság a digitális korban
1. KOMMUNIKÁCIÓ 2016 – Új trendek az infokommunikáció világában
Nemzetközi tudományos-szakmai konferencia
2016. november 15.
Honvéd Kulturális Központ, STEFÁNIA PALOTA
Budapest
Dr. Kollár Csaba
Szervezeti információbiztonság a digitális korban
2. Miről lesz szó?
A hagyományos és a digitális kor
Információbiztonság a CAMSSAIR mozaikszóban
Munkavégzés a digitális munkahelyeken
A digitális munkahely pillérjei
A digitális munkahelyre történő átállás folyamata
A digitális munkahely tulajdonságai
Egy kutatás eredményei
Javaslatok
6. Informatikai támadások a digitális korban
A személyes és a szervezeti adatok és az azokat tároló
eszközök illetéktelen kezekbe kerülése (pl.: adatlopás,
személyiséglopás)
az adatok/webhely tartalmának megváltoztatása
(deface)
az adatbázisok elleni támadások (SQL injection)
az adatok közötti kapcsolatok illetéktelen személyek
által történő elemzése (pl.: big data analitika)
a webhelyek elérhetetlenné tétele (DoS és DDoS
támadás)
az adatokat tartalmazó könyvtárakhoz történő
hozzáférést blokkoló zsarolóvírusok (ransomware)
a kémprogramok (spyware)
8. 2,6 milliárd darab okostelefon
51,5% internethozzáférés
63,4% mobilinternetezés
42 millió gigabájt globális adatforgalom
20 exabájt/hó mobil adatforgalom
1000 milliárd USD éves kár
9.
10. Felhő és információbiztonság*
adatok illetéktelen megszerzése
DoS támadás
fiókfeltörés
gondatlanság
hozzáférési adatok megszerzése
információszerző és jelentésküldő paraziták
meghekkelt felhasználói felületek
megosztott szolgáltatások – megosztott veszélyek
rendszersebezhetőségek kihasználása
rosszindulatú bennfentesek (akár a vállalati dolgozók, akár
a szolgáltatást nyújtók részéről)
szolgáltató részéről történő visszaélések
végleges adatvesztés
*Rashid, 2016
11. BDA és információbiztonság*
adatokhoz való illetéktelen hozzáférés
az adatokon végzett nem ellenőrzött és dokumentált változtatások
(„kozmetikázás”)
az adatbázisok feltörése
az adatbázisokban levő adatok módosítása
az adatok végleges megsemmisítése
nyilvános forrásokból származó adatok, információk, adatbázisok
összekapcsolása: egy szervezet titkosnak minősített folyamataira lehet
következtetni big data analitika módszerével
véletlen sérülés/adatvesztés és az adattároló hardverelemek sérülése
lehallgatás, megfigyelés és adateltérítés
tisztességtelen aktivitás és visszaélés
jogi szabályozók, vagy azok hiánya
szervezeti fenyegetettségek
*Rekleitis, Kollár, 2016
12. Mobileszközök és -alkalmazások és információbiztonság*
folyamatosan frissítsük a mobileszközökön futó
alkalmazásokat/szoftvereket
csak a hivatalos, alkalmazás-store-okban megtalálható
alkalmazásokat telepítsük az eszközeinkre
telepítés előtt olvassuk el az adott alkalmazást már
használók véleményét
legyünk óvatosak: biztos szükségünk van az adott
alkalmazásra?
használjunk különböző jelszavakat
ne posztoljunk minden eseményt az életünkről
ha nem használjuk, kapcsoljuk ki a wifi-t/Bluetooth-t, GPS-t
használjunk megfelelő biztonsági
alkalmazásokat/szoftvereket
*Snell, Kollár, 2016
13. Közösségi média és információbiztonság*
célzott adathalász támadások
gyorsan terjedő üzenetszemét és rosszindulatú
alkalmazások/szoftverek
hamis fiókok/profilok
kiszivárgó bizalmas információ
social engineering
visszaélés a celebek, híres emberek neveivel
visszaélések az oldalon
*Ghosh, 2011
14. Kiterjesztett valóságok és információbiztonság
hamis földrajzi koordinátákra történő navigáció
(eltérítés)
a személyes adatok illetéktelen kezekbe kerülése
a szabad wifi pontok révén az eszközök feltörhetők
(adatlopás)
az idegen nyelvű szöveget (pl.: tájékoztató tábla) az
alkalmazás rosszul fordítja le
a markerjelek „mögött” veszélyes weblapok
húzódnak meg
15. IoT és információbiztonság*
számuk a jelenlegi 13,5 milliárd darabról már
2020-ra majd’ megháromszorozódik (38,5 milliárd
darab)
az üzleti és magánélet szinte valamennyi területén
számolni lehet a megjelenésére és elterjedésére
nem állnak rendelkezésre az IoT-val kapcsolatos,
biztonsági követelményeket leíró szabványok
a jövő munkahelyei, termelő- és szállítóeszközei,
munkavállalói nagy valószínűség szerint az IoT
eszközök révén hangsúlyosan lehetnek az
informatikai támadások elszenvedői
*Juniper Research, Vijayan, 2016
18. kommunikáció
és dolgozói
elköteleződés
együtt-
működés
információ
és tudás
(keresés, megosztás)
üzleti
alkalmazások
rugalmas
munkavégzés
*Marshall, 2016
stratégiai tervezés
operatív irányítás
proaktív támogatás elfogadása
kiváló minőségű felhasználói élmény
robusztus, biztonságos
és flexibilis technológia
5 alapvető képesség a digitális munkahelyen*
19. *Gartner, Berg
A digitális munkahely pillérei*
Munka-
vállaló-
orientált-
ság
Mobil
Szolgál-
tatások
Egyszerű-
ség
Folyto-
nosság
Infor-
máció
Mobi-
litás
Felhő
Közösség
A digitális munkahely alapja a középpontba helyezett, elkötelezett és rugalmas
munkavállaló, akit a termelékenysége és hatékonysága érdekében ellátnak a
munkáját segítő alkalmazásokkal, szolgáltatásokkal és eszközökkel,
megszabadítják a feleslegesen elbonyolított munkafolyamatoktól, ösztönözik és
bátorítják a kreatív, közösségben történő gondolkodásra, az ötletek
megosztására, felhasználására, a tényszerű adatokon alapuló döntéshozatalra.
20. *Schillerwein, 2013
A digitális munkahelyre történő átállás folyamata*
Első lépés Második lépés Harmadik lépés Negyedik lépés, s azt követően…
Elnevezés Alap Intranet Kiterjesztett Intranet Alap digitális munkahely Teljesen digitális munkahely
Üzleti fókusz Tájékoztatás adása
Lehetővé tenni az
általános interakciókat
Konkrét munka
támogatása
Üzleti átalakítás
Alkalmazott
technológia
fókusza
Tartalom biztosítása Együttműködés Portál és keresés Egyéb, a vállalat által specifikált
Fontosabb
jellemzők
(Belső) hírek
Információs könyvtárak
Önkiszolgáló
megoldások a
munkavállalóknak
Egyszerű alkalmazások
Alapvető közösségi
média és
együttműködés
Általános folyamat-
támogatás
Kiterjesztett
munkavállalói profilok
Továbbfejlesztett
alkalmazások
Perszonalizáció
(személyre szabás)
Fejlett közösségi
együttműködés
Fejlett integráció és
alkalmazások
Erőteljes munkavállalói
profilok
Fejlett és jobban
meghatározott folyamatok
(pl.: projekt, innováció,
frontvonal menedzsment)
Bármilyen információ
támogatása és
feldolgozásának
lehetősége
Holisztikus folyamattámogatás az egész
szervezeten és azon túl is
Meta funkcionalitás (pl.: közösségi,
együttműködés) integrálása
valamennyi területen
Tartalom- és intelligens szűrés
Közel zökkenőmentes integráció
Univerzális inboxok
A vállalat folyamatos (át)alakítása
Hajtóerő: változás, kultúra,
elköteleződés
21. A digitális munkahely tulajdonságai I.
Kommunikáció és üzleti intelligencia
Kommunikáció, tartalom és intelligens kapcsolat közöttük
Együttműködés és közösség
Varratmentes kommunikáció szervezeten belül és kívül
Szolgáltatások és folyamatok
Hatékony működés és produktivitás
Struktúra és koherencia
Egységes, mindenre kiterjedő
Mobilitás és flexibilitás
Egységes, minden helyre és eszközre kiterjedő. Virtuális
szervezet/szerveződés
22. A digitális munkahely tulajdonságai II.
Stratégiai irány és menedzsment
A vállalatvezetés tekintettel van a digitális munkahely valamennyi aspektusára
Szervezeti felkészültség
Az emberekkel való foglalkozás és a személyzeti menedzsment technikák
egybeágyazottan működnek
Információbiztonság-tudatosság és elkötelezettség
A vállalat valamennyi egységének valamennyi alkalmazottja (beosztástól
függetlenül) magas szinten elkötelezett a szervezeti információbiztonság iránt
A vállalat (felső)vezetése elkötelezett a szervezeti információbiztonság iránt
A vállalat informatikai és HR osztályának munkatársai és vezetői elkötelezettek a
szervezeti információbiztonság iránt
A vállalat információbiztonságért felelős szakembere/vezetője elkötelezett a
szervezeti információbiztonság iránt
Az információbiztonságot és annak szabályozását valamennyi munkatárs és vezető
egy újabb felesleges feladatként éli meg
24. Alapvetés
Vezetés-szervezés szakos, üzletviteli tanácsadás
szakirányos hallgatók
Szenior/junior tanácsadóként/coachként dolgozik
11 fő
Y generációsok (24-34 év között)
8 nő, 3 férfi
9 fő gazdasági, 2 fő műszaki területen szerezte az
első diplomáját
A beszélgetés előtt felkészültek a digitális korból és
megkérdezték ügyfeleiket is a témában
Időpont, helyszín: 2016. október, Budapest
25. Vizsgált témák
milyen területeken, vezetői szinteken jelenik meg az információbiztonság-
tudatosság
kaptak-e olyan felkérést, hogy egy vezető információbiztonság-
tudatosságának a fejlesztésén dolgozzanak
vannak-e ágazati eltérések a munkahelyek digitalizáltsági szintjeit illetően, s
ha vannak, mi lehet az oka ennek
az elsősorban nemzetközi szakirodalomban leírtak véleményük szerint
mennyire jellemzők a Magyarországon (is) működő vállalkozásokra
megbízóik hogyan szabályozzák a külső-belső vállalati kommunikációt,
beleértve a közösségi médiát
mennyire jellemzők a felhő alapú szolgáltatások, megbízóik mire használják a
felhőt
mennyire elterjedt megbízóik körében a nem helyhez kötött eszközök
használata
a (felső)vezetés mennyire támogatja az alternatív/atipikus foglalkoztatást
milyen előnyöket tapasztaltak azoknál a megbízóknál, akiknél a digitális
munkahely a gyakorlatban is elindult
26. Fontosabb megállapítások I.
az IT, s az ahhoz kapcsolódó területeken tevékenykedő
vállalatok, illetve osztályok/igazgatóságok messze komolyabb
és megalapozottabb szinten foglalkoznak az
információbiztonság kérdésével
a vállalati biztonsági kultúra alapján érdemes különbséget
tenni
a hazánkban működő nemzetközi vállalatok a szabályozás,
szabályzatok, azok ellenőrzése, illetve az informatikai és
információbiztonsági auditok tekintetében a csak Magyarországon
működő vállalatokhoz képest előnyösebb helyzetben, fejlettebb
szinten vannak
27. Fontosabb megállapítások II.
kivétel nélkül megjelentek a hordozható
eszközök (okostelefon, tablet, laptop)
az eszközök tulajdonosa nagyobb vállalatoknál
zömében maga a vállalat, a kisebb vállalatoknál
azonban rendszeresen előfordul, hogy a
munkavállaló a saját tulajdonában levő
eszközöket használja munkavégzésre
a saját tulajdonban levő eszközök használatával
kapcsolatban a csoporttagok ügyfelei semmilyen
szabályozást nem készítettek el
28. Fontosabb megállapítások III.
a fókuszcsoport tagjainak megbízói kivétel nélkül
hallottak már a felhőről
a különbség a hozzáférési jogosultságok megalkotásánál
is megmutatkozik
a digitalizáció minden partnerüknél elindult már
a nagyobb vállalatok távoli hozzáférést is biztosítanak
a munkát a vállalat székhelyén, telephelyén végzik el,
esetleg, ha nem végeznek vele, akkor otthon
este/éjszaka befejezhetik
a gyakran még fizikai irodával sem rendelkező kezdő
vállalkozásoknál magától értetődő az atipikus/alternatív
munkavégzés, a távmunka
29. Fontosabb megállapítások IV.
lehet találkozni indokolatlan
túlszabályozással, amikor a
munkavégzéshez (tanácsadás/coaching)
szükséges adatokhoz, vagy az azokat
tartalmazó adatbázisokhoz történő
hozzáférés idegesítően sok időbe telik
van a másik véglet, amikor a megfelelő
név/jelszó ismeretében egy alvállalkozó is
korlátlan hozzáférést kap
30. Fontosabb megállapítások V.
a (felső)vezetők információbiztonság-
tudatosságának a fejlesztése külföldön
természetes és szükséges feladat, melyben
a tanácsadók/coachok aktív szerepet
vállalnak
a kötelező oktatást és számonkérést megtartják,
a teszteket kitöltetik, kiértékelik, majd nyugodtan
elkönyvelik, hogy ezt a feladatot is elvégezték
az információbiztonság-tudatosság fejlesztése
fontos feladat (lenne)
32. A munka(végzés) nem feltétlenül kötődik helyhez. Amennyiben
megoldható, adjunk lehetőséget a munkavállalónak, hogy maga
határozza meg, hogy hol akar dolgozni. Tartsuk tiszteletben a
magánéletét még akkor is, ha távmunkásként dolgozik.
Az eredményt menedzseljük, s csak másodsorban a folyamatokat.
Higgyük el, hogy a munkavállalók akkor is dolgoznak, ha nem ülnek
bent egész nap a munkahelyen, de emlékeztessük őket munkájuk
eredményének fontosságára.
A digitális munkahelyet öröm legyen használni. Ha nem annyira jó és
kényelmes, mint a munkavállaló privát digitális élete, akkor engedjük,
hogy használja a saját eszközeit, de csak akkor, ha a munkavállaló
megfelelő információbiztonság-tudatossággal rendelkezik.
Engedjük, hogy a munkavállaló a saját személyiségét adja az online
környezetben, de csak akkor, ha ilyen jellegű tevékenysége nem jelent
jelentős kockázatot a vállalat számára. A legtöbb munkavállaló számos
helyen regisztrált, ahol megosztja életének említésre érdemes
eseményeit – ezt nagyon nehéz megtiltani, inkább
információbiztonság-tudatosságát kell fejleszteni.
33. A tanulás a cégnek is jó és a munkavállalónak is. Adjunk lehetőséget a
munkavállalónak, hogy tudását folyamatosan frissítse céges és cégen
kívüli képzéseken is, hogy esélye legyen az új ismereteket a cég
érdekében alkalmazni.
Nem minden munkavállaló sorolható a korai elfogadók közé. Adjunk
támogatást azoknak, akiknek erre szüksége van, de engedjük szabadon
fejlődni azokat, akiknek erre nincs szüksége.
A munka nem áll meg a tűzfalnál. A digitális munkahely kiterjed a
beszállítókra, vásárlókra, ügyfelekre, partnerekre egyaránt. Az adatok
és információk védelme – bár más-más fókuszból – valamennyi érintett
közös érdeke, ezt érdemes bennük tudatosítani.
Mindennek arra kell irányulnia, hogy segítse a munkavállalót a
munkavégzésben. Meg kell szüntetni a bonyolult, többszörös belépési
folyamatokat úgy, hogy közben nem sérülhet a vállalati biztonság.
A munkakapcsolatok alapja, hogy megértsük egymást. Olyan
platformokat kell biztosítani a munkavállalóknak, ahol elmondhatják a
saját nézőpontjukat, s megismerhetik a másikét.
34. A munkakapcsolatok csak akkor működnek, ha nem éljük meg azokat
másképp a hagyományos és a digitális világban.
Törekedjünk arra, hogy a digitális korban működő vállalatok
valamennyi alkalmazottja és vezetője számára az információbiztonság
olyan fókusz legyen, amelyik megkerülhetetlen valamennyi munka- és
kommunikációs folyamatban.
Ugyan az információbiztonság területén jelenleg a szabályzatokon,
szabályzókon, előírásokon, rendeken, rendeleteken, szankcionáláson
van a hangsúly, a jövőt illetően azonban a biztonságtudatosság
erősítése, kompetencia (képesség, jártasság, készség) szintű
elsajátítása/használata és az ilyen irányú elköteleződés kialakítása
kap majd nagyobb fókuszt.
Az információbiztonsággal és -tudatossággal foglalkoznia kell
valamennyi vállalatnak, ha minimalizálni akarja az informatikai és
információbiztonsági káresemények számát és hatását a vállalati
nyereségre.
35. Dr. Kollár Csaba PhD.
Oktató, NKE Katonai Műszaki Doktori Iskola
Egyetemi adjunktus, SZIE Vezetéstudományi Tanszék
kollar.csaba@uni-nke.hu
https://www.linkedin.com/in/drkollarcsaba
http://www.slideshare.net/drkollarcsaba
Köszönöm megtisztelő figyelmüket!