Amikor a potenciális ügyfelekkel találkozunk, gyakran halljuk azt, hogy “megoldjuk mi ezt Excelben”. Valóban, az Excel az a wunderwaffe, ami minden problémára megoldást nyújt. Lehet benne például naplófőkönyvet is vezetni – de valamiért azt tapasztaljuk, hogy a vállalkozások inkább beszereznek egy könyvelő szoftvert, és abban dolgoznak. Ó, nyilván az adatvédelem sokkal egyszerűbb feladat, nem olyan bonyolult, mint az azonos főkönyvre könyvelt tételeket összeadni. Vagy mégsem?
Ott van például az információs vagyonelemek összegyűjtése. Tudom, csak be kell kukkantani a szerverszobába, és máris látjuk, hogy melyik szoftver melyik hardveren fut. De ha a kérdést így tesszük fel: “Mondd csak, ha leállítom ezt a szervert, meg tudod mondani, hogy melyik osztályról ki fog telefonálni?” – erre mindig nem a válasz. Mint ahogy arra a kérdésre sincs felelet, hogy ha pont ezt a szervert sikerül meghekkelni, akkor egészen pontosan milyen adatbiztonságú adatok sérülnek meg?
Jó, talán érdemes összekötni a folyamatokat azokkal az információs rendszerekkel, amelyek kiszolgálják a folyamatot, talán érdemes összerendelni a folyamatokat azzal a személyzettel, aki a folyamatban dolgozik, és talán nem butaság megmondani azt sem, az az egyes információs rendszerek milyen adatokat használnak. De ezt is meg lehet csinálni Excelben, igaz-e? Hát persze, nyilván jól kezelhető lesz egy ekkora táblázat, amelyben 1:n:m:o:p relációt kezelnek, hiszen az Excel az pont erre van optimalizálva. Illetve nem, de kicsire nem nézünk.
Rendben, akkor ott van a folyamat és a hozzá tartozó helyettesítési tervek. Mi történik akkor, ha ez vagy az a folyamati erőforrás (legyen az információs rendszer, gép, ember, alapanyag) valamiért nem áll rendelkezésre?
De hát az Excelben rengeteg munkalapot lehet létrehozni, minden folyamatnak lesz egy munkalapja, és azon megvizsgáljuk az erőforrások kiesésének hatásait. Sőt, egyből bele is írjuk a vészhelyzeti tervet. Aztán azt is megoldjuk, hogy ezeknek a vészhelyzeti terveknek a tesztelési naplóját belefoglaljuk ugyanabba a táblázatba. Vagy erre lesz egy link az Excelben, ami egy másik Excel táblára mutat, ami csak ennek a folyamatnak a teszteléseit tartja nyilván. Aztán belebarkácsoljuk azt is, hogy az érintetteket értesítsék a leállásról, majd az újraindulásról. És természetesen a káresemények nyilvántartása is megoldható Excelben.
Értem, de mit csináltok a kockázatkezeléssel?
Ugyan, a kockázatkezelés az aztán tényleg egy táblázat, amelyben egy kockázat egy sor, a sor végén kiszínezem a cellát zöld-sárga-piros színűre, és máris látom mi a nagy kockázat. Arra írok egy kezelési tervet, és ezt a tervet folytatólagosan hozzáírom, a maradvány kockázat értékével együtt. Sima liba!
Ez szuper, de mondd, hogyan gyűjtöd össze a fenyegetett elemeket, hogyan vezeted le azok adatbiztonsági osztályát az érintett adatokból, és ennek alapján hogyan állapítod meg a kockázatot? Mert a kockázatkezelésben nem az a legnagyobb feladat, hogy felírjuk a kockázatokat egy táblázatba, hanem az, hogy a fenyegetett elemek kockázatát segítsen megállapítani a veszélyeztetett adatok és az érvényben lévő védelmi intézkedések alapján. Az embernek nem az adminisztráció a feladata, hanem hogy a kockázatot beértékelje, valamint kárküszöbérték fölötti kockázatok esetén a további védelmi intézkedéseket megtervezze.
Na de a megfelelési nyilatkozat!
Az aztán tényleg Excelbe való feladat? Ott a sok szabályozási célkitűzés, és mindegyik mellé oda kell írni, hogy megfelelt vagy nem felelt meg. Erre biztosan nem kell nekünk szoftver!
Amíg az ISO27001-es szabványnak kellet megfelelni, valóban igaz volt, amit mondasz. A NIS2 viszont információs rendszerenként várja el a megfelelési nyilatkozatot. Más szavakkal: van egy csomó IT berendezésed, ezek sok (esetenként százat elérő számú) információs rendszert alkotnak, amelyeknek egyenként kell meghatározni a biztonsági osztályát, és ennek megfelelően kitölteni azon sorait a megfelelési nyilatkozatnak, amelyek az adott biztonsági osztályban relevánsak. Hány munkalapja is lesz ennek az Excelnek?
De tudod mit, elhiszem, hogy te ezt meg tudod csinálni Excelben. Lesz egy elképesztően
sok táblázatból álló, táblázatonként sok munkalapot tartalmazó, mindenféle kereszthivatkozásokkal tűzdelt táblázat-halmazod. Ha esetleg elmész ettől a cégtől, ki fogja ezt tőled átvenni? Ha valami hiba van a táblázatokban, akkor az utódod téged fog felhívni, hogy javítsd ki a hibát?
Comments