Minden jog fenntartva © 2012 ISACA Magyarországi Egyesület
TARTALOM
Előszó Kirner Attila
A COBIT magyar nyelvű megjelenése Fordítási munkafolyamatok Dr. Molnár Bálint 29
5
A fejlődés megállíthatatlan Dr. Borda József 7 „Csodabogarak voltunk” Nyugat Európai szakmai konferenciák a rendszerváltozás előtt ISACA Budapest Chapter megalakulása Mátyás Péter 9 Az információbiztonság dióhéjban Az alapelvek Borbély Sándor 11 „Ön tényleg azt gondolja, hogy mi magukat azért fizetjük, hogy rólunk csupa rosszakat írjanak le?” avagy Az auditálás kialakulása Magyarországon Vasvári György 13 A tudomány felelőssége az információs társadalomban Alföldi István 15 „Miért van egy autóban fék?” Horváth Gergely Krisztián
17
Cyber Defense Framework Biró László 19 ISACA rendezvények és szakmai konferenciák FBI ügynökök előadása Kátai Szabolcs 21 „A „fehér” hackereket meg kellene szelídíteni és behozni hozzánk az ISACA egyesületébe” Dr. Novotny László 23 „Életem legjobb befektetése volt a CISA-vizsga” Dr. Szenes Katalin 25 „Az ISACA-t egy irigylésre méltóan koherens szervezetnek tartom” Csákvári Péter 27
Fenntartható láthatatlanság Dr. Dvornicsenkó János 32 Lyukkártyától a felhőrendszerig Takács András 34 „Amíg lélegzünk, addig tanulunk...” Viszt Éva CISA 37 EuroCACS 2010 Dr. Bartók Sándor P., Róth Dénes 39 A társadalmi felelőségvállalás fontossága Kisfauldi Gábor 43 Bizalom és értékteremtés az információs rendszerekkel Szabolcs András 45
ISACA HUNGARY CHAPTER ELNÖKEI 1991-től 1991-2002. DR. BORDA JÓZSEF 2002-2009. DR. NYÍRI GÉZA 2009-2012. KIRNER ATTILA
ELŐSZÓ
KIRNER ATTILA CISA 2001-ben lépett be az ISACA-ba, egy évre rá CISA-vizsgát tett, majd 2007-től az egyesület elnökségi tagja, 2009 óta elnöke. Társszerzője a 2007-ben az ISACA által kiadott Informatika ellenőrzési kézikönyvnek. Az elnökként jelentős részt vállalt az egyesület megújításában és átszervezésében. 2001 és 2003 között a Pénzügyi Szervezetek Állami Felügyeletének informatikai felügyelője, 2003-2010 között a PSZÁF informatika felügyeleti főosztályának vezetője volt. Felügyeleti munkatársként és ISACA elnökként számos előadást tartott az IT auditálás gyakorlati tapasztalatairól.
Tisztelt Olvasó! Ajánlom ezt a kiadványt minden egyesületi tagunknak, továbbá azoknak az érdeklődőknek, akik az informatikai irányításban, auditálásban, üzemeltetésben és menedzselésben dolgoznak. Valamint mindazoknak, akik szeretnének megismerkedni egy olyan egyesület történetével, amely előremutató, dinamikusan fejlődő, ugyanakkor több évtizedes hagyománnyal rendelkezik. A kollektív informatikai tudás a 20. század közepén induló kezdeti lépésektől a lyukkártyás gépeken át, az asztali számítógépek megjelenésén keresztül a jelenlegi legmodernebb informatikai vívmányokig tart. Büszkék vagyunk arra, hogy olyan tagjaink is vannak, akik már több mint fél évszázada informatikával foglalkoznak és azokra is, akik a legújabb fejlesztésekben és kutatásokban vesznek részt. Informatikai menedzserekként és auditorokként mindannyian tisztában vagyunk az adatvagyon jelentőségével. Ezért is tartottuk fontosnak azt, hogy az ISACA Hungary Chapter tagjainak élettörténetében megbújó egyesületünkkel kapcsolatos információk se vesszenek el. Nagyon nagy értékkel bírnak ezek a történetek, mert a jövő generációi számára megőrzik azokat az információkat és adatokat, amik a jelen kiadvány hiányában elvesznének. Ez az első olyan nem szakmai kiadványunk, ami a magyarországi
ISACA egyes tagjai által megélt szubjektív történelmet foglalja össze. A tagok emlékei, visszaemlékezései teljes képet adnak az elmúlt 20 év eseményeiről, miközben az olvasó olyan érdekes információkkal lesz gazdagabb, amit egy klasszikus történelemkönyv nem tudna visszaadni. 1969-ben alapították meg az Information Systems Audit and Control Association (ISACA) elődszervezetét az Electronic Data Processing Auditors Association (EDPAA) egyesületet Amerikában. Az ISACA egyesülete jelenleg négy szakterületet képvisel, ezek közül az egyik legrégebbi, amiből a szervezet is kinőtt, az az informatikai audit szakterülete. Emellett további másik három szakágat is magában foglal, név szerint: az információbiztonságot, a kockázatkezelést, valamint az informatikai irányítást. Az ISACA egy szakmai fórum, egy közösség, amelynek az a célja, hogy a tagok meg tudják oldani közös erőből a szakmai problémákat, egymásnak tanácsokat tudjanak adni. Célunk, hogy a nemzetközi ISACA tagszervezeteként felkutassuk, publikáljuk és terjesszük a legjobb IT-menedzselési, IT-ellenőrzési, IT-biztonsági és kockázatmenedzselési gyakorlatokat, megismertessük a hazai szakemberekkel a nemzetközi IT-szakemberek által, az ISACA keretein belül kidolgozott módszertani útmutatókat, ajánlásokat, cikkeket és egyéb kiadványokat a különböző fórumokon. Nagyon nagy büszkeséggel tölt el, hogy 2009-ben jelentős több5
séggel engem választottak meg ennek a patinás egyesület elnökének, amelyet a tagság 2010-ben ismételten megerősített. Egyesületi taglétszámunk folyamatosan növekszik. Az elmúlt években több munkacsoport jött létre, megnövekedett az önkénteseink száma és a minden hónap második szerdáján megrendezett előadásokra is egyre többen kíváncsiak. Jelentős eredményként tekintek arra is, hogy éves nagy konferenciáinkon az egyesület tagjainak nagy része – több mint 200 ember –részt vett. Úgy érzem, hogy sokkal mozgalmasabbá vált az ISACA, egyre több eredményt, megvalósult projektet tudhatunk magunk mögött. A 2011es 20. jubileumi évünket sikerrel zártuk. Egyesületünk 2011 végén elnyerte a nemzetközi ISACA által létrehozott legjobb tagszervezet díját az Európai és Afrikai régióban. Ez mindannyiunk elismerése, amelyre méltán lehetünk büszkék. Remélem, a jövőben is hasonló illetve még jobb eredményeket fogunk elérni. Az elnöki mandátumom lejártának közeledtével, azt kívánom a következő elnöknek, hogy legyenek olyan jó segítői, mint nekem voltak az elmúlt pár évben. Tűzzön ki olyan célokat, amelyeket érdemes megvalósítani és kívánom, hogy ezekhez legyen egyesületi támogatása is. A meglévő és a jövőbeni tagoknak is azt kívánom, hogy olyan vezetőséget válasszanak maguknak, akikre fel tudnak nézni, és akik segítőkészek abban, hogy ők is jól érezzék magukat az egyesületben, miközben szakmailag fejlődnek.
6
A FEJLŐDÉS MEGÁLLÍTHATATLAN
DR. BORDA JÓZSEF PhD, CISA, CISM, CGEIT Dr. Borda József az ISACA Magyarországi Egyesület megalapításának ötletgazdája és egyben alapítója. 1991-től 2002-ig az ISACA elnöke. A COBIT magyar nyelvű változatának irányító bizottsági tagja. Magyar Könyvvizsgálói Kamara, Igazságügyi Könyvszakértői Tagozatának tagja és minősített oktatója. Hunaudit Kft. ügyvezető igazgatója. Főiskolai tanár a Budapesti Gazdasági Főiskolán.
A SZÁMOK-ban, azaz a Számítástechnikai Oktatóközpontban dolgoztam 1970-től, ahová alapító tagként vettek fel. Faragó Sándor és Matók György, két nagyon kiváló szakember indított el az automatizált adatfeldolgozás ellenőrzésének szakterületén. 1974-ben védtem meg doktori disszertációmat ebben a témában. 1975-ben ENSZ-ösztöndíjban részesültem, óriási szerencsémre hat hónapra az Amerikai Egyesült Államokba. A szakma akkori kiemelkedő szaktekintélyénél Gordon Davisnél dolgoztam a Minneapolisi Egyetemen. Nagyon sok szakmai konferenciára volt hivatalos, amin egyéb elfoglaltságai miatt nem tudott részt venni, így sokszor engem küldött maga helyett. Az USA 15 különböző államába jutottam így el, emellett sok barátságra tettem szert, nem beszélve arról, hogy nagyon nagy embereket ismertem meg. Csodálatos időszakot töltöttem el Amerikában. Megfogalmazódott bennem egy magyar ISACA esetleges megalapításának lehetősége, azonban erre akkor még nem volt igény. Nagyon kevesen foglalkoztak ezzel a témával, de még adatvédelemről sem beszéltek ekkoriban itthon. Az nemzetközi ISACA – amit ekkor még EDP Auditors Assosiationnek hívtak – 25 éves jubileumi ünnepségén, megjelent egy jubileumi kiadvány History of EDP auditing címmel. Ebben a könyvben felsorolták a 100 legfontosabb nemzetközi auditort, élükön Gordon Davisszel. Akkor derült ki számomra, hogy mit jelentett az USA-ban eltöltött hat
hónap. Átolvasva a listán szereplő emberek nevét, kiderült számomra, hogy több mint a fele személyesen ismerősöm. 1982-ben készítettem egy kandidátusi fokozatot jelentő munkát. Többször hívtak külföldre is előadni, jártam többek között: Jordániában, Oslóban, Izraelben, Madridban és az USA-ban is. Dolgoztam a Világbank szakértőjeként Makedóniában. 1991-ben csatlakoztam egy nemzetközi könyvvizsgáló céghez, melynek központja Chicagóban van. Ott találkoztam Don Wooddal, egy másik nagy könyvvizsgáló szervezet képviselőjével. Vele határoztuk el, hogy meg kellene alapítani az első kelet-európai chaptert. Ezt követően pár hónapra, 1991-ben alakult meg a magyarországi ISACA 20 alapító taggal. Rendszerváltás után még nagyon nehéz volt még összeszedni a tagdíjat. Egy hőskorszak volt. Björn Hampland norvég származású úriember volt akkoriban az európai igazgató. Nagyon sok dologban segített nekünk úgy hívtuk, hogy „Mr. Europe”. A CISA, azaz a Certified Information Systems Auditor vizsgákat akkor kezdtük el szervezni. Akkoriban szinte félistenként tiszteltük azokat, akik ezzel a minősítéssel rendelkeztek. Elhatároztuk, hogy mi is meg fogjuk szervezni. Az amerikai ISACA-val leegyeztettük a CISA-vizsgák részleteit és megszerveztük az angol nyelvű tanfolyamokat. Utánanéztem, és érdekes adatokra bukkantam a kezdetekről: például az első évben kilenc jelentkezőből csak hárman mentek át a CISA-vizsgán, míg ma már évente 400-500-an vannak a sikeres jelentkezők. 7
Az európai vezetői értekezleteken folyamatosan részt vettem, próbáltuk érdekeinket érvényesíteni, mert szerettük volna megkapni az EuroCACS nemzetközi ISACAkonferencia megrendezésének jogát. Nagyon kemény viták voltak, de végül sikerült megszereznünk, így 2002-ben Magyarország volt a házigazdája a rendezvénynek. Ebben az időben a közép-kelet-európai régióból mellettünk nem rúghattak labdába még az osztrákok sem. Az EuroCACS konferencia annyira jól sikerült, hogy közvetlen az eseményt követően felajánlották, hogy újra szervezzük majd meg a konferenciát. Nagyon nagy megtiszteltetés volt számomra, hogy az ISACA központi kutatási bizottságába is beválasztottak, ezután pedig beajánlottak az európai munkabizottságába, a kelet-európaiak közül én voltam az első, aki bekerült ebbe a csoportba. Az Európai Unióban akkor adták ki a direktívákat, kapcsolatba kerültünk az európai vezetéssel, jó barátság alakult ki Karel van Hulleval, akit a későbbiekben meghívtam Magyarországra előadást tartani. A vállalatirányítással foglalkozó 8. direktíva előkészítésében vettünk részt, a mi feladatunk az volt, hogy az IT-, és az informatikai audit megfelelő hangsúlyt kapjon. Az európai munkabizottságnak 5 évig tagja voltam, miközben a budapesti chapter szépen fejlődött. Nagyon jó barátság és szakmai kapcsolat alakult ki Erik Guldentops úrral, a COBIT irányító testületének elnökével, aki a COBIT atyjának tekinthető. Amikor kiadtuk a COBIT-ot magyarul, volt olyan kedves és írt a magyar kiadványhoz egy előszót, ami természetesen hatalmas megtiszteltetés volt számunkra. Hadd idézzek belőle néhány gondolat: „Minden alkalommal meglepetéssel tölt el, hogy Magyarországot mindig a fejlődés élvonalában találom(…) Többször volt részem abban a megtiszteltetésben, hogy találkozhattam magyar IT-irányítási szakemberekkel, auditorokkal – minden esetben örömmel tapasztalva hozzáértésüket és elkötelezettségüket.” A COBIT magyar nyelvű kiadványának megjelentetése hatalmas munka volt. Az ISACA egykori elnökével Dr. Nyíri Gézával és Dr. Roóz Józseffel koordináltuk a COBIT fordítási munkálatait. Többek között szeretném kiemelni a nemrég elhunyt Szerényi Imre nevét, aki áldozatos munkájával hoz8
zájárult a COBIT magyar nyelvű fordításának megjelenéséhez. A COBIT az egyetlen IT-audit útmutató, irányelv, ami egységes szerkezetű és elképesztően jól használható a gyakorlatban. Még emlékszem azokra az időkre, a 60-as évek végéről, amikor a magyar jogszabályokba megpróbálták lefordítani a számítástechnikai szakzsargont, és többek között olyan szavak köszöntek vissza a szövegben, ami ma talán már megmosolyogtató, mint például: a disc, amit magyarul mágnestárcsára kereszteltek. Az ISACA Hungary Chapter megalakulásakor sejtettük, hogy nagyon gyorsan fog fejlődni az informatikai auditálás szakterülete. Akkoriban nem egy vitám volt arról, hogy az informatikai auditnak, mint önálló szakmának van-e létjogosultsága. Többen azt állították, hogy erre nincsen szükség, mivel fokozatosan mindenki tulajdonképpen valamilyen szinten auditorrá válik. Mai szemmel már érdekes ezekre a dolgokra visszagondolni tekintetbe véve, hogy az ellenzőknek nem lett igazuk, olyannyira nem, hogy az informatikai audit egyre nagyobb jelentőséggel bír vállalatirányítás terén. A fejlődés megállíthatatlan.
„Csodabogarak voltunk” NYUGAT-EURÓPAI SZAKMAI KONFERENCIÁK A RENDSZERVÁLTOZÁS ELŐTT ISACA BUDAPEST CHAPTER MEGALAKULÁSA MÁTYÁS PÉTER 35 éve a számítástechnikával foglalkozik, ezen belül 1984 óta az informatikai biztonsággal túlnyomórészt a bankrendszeren belül és nagyvállalati körben, valamint a kormányzat területén. Több szakmai ajánlás kidolgozásában vett részt, hozzájárult az informatikai biztonság meghonosításához, önálló szakmaként való elismertetéséhez. Az Information System Audit and Control Association (Electronic Data Processing Auditors Association) nemzetközi munkájában 1986 és 1996 között vett részt, a magyar tagozat alapító vezetőségi tagja. Szakmai tanfolyamokon rendszeresen oktat.
Az 1980-as években már a Magyar Nemzeti Bankban dolgoztam, amikor megjelent a számítóközpontok tűz-, adatés vagyonvédelméről szóló 1/1981. BM rendelet. Ez volt az első olyan jogszabály Magyarországon, ami, ha csak érintőlegesen is, de számítógépes biztonsággal foglalkozott. A rendelet előírta, hogy a nagy vállalatoknak, intézményeknek legyen egy adatvédelmi felelőse. 1984-ben a Magyar Nemzeti Bank elnökének megbízásából én lettem a MNB adatvédelmi felelőse. Ebben az időszakban a civil szférában még senki nem foglalkozott átfogóan az informatikai, vagy információbiztonsággal. A számítástechnika egyik legtekintélyesebb hazai művelője, Vasvári György volt akkor a bank számítástechnikai főosztályának vezetője, a főnököm. Vele együtt gondolkoztunk azon, hogyan lehetne elkészíteni a szükséges szabályzatot. Kutatásaink során és szakmai kapcsolatainkon keresztül eljutottunk a Nemzetközi Számítástechnikai és Oktató Központhoz, a SZÁMALK-hoz (akkor még SZÁMOK-nak hívták). Ez idő tájt egyik meghatározó vezetője dr. Weisz Judit volt, akivel együtt dolgoztuk ki, és valósítottuk meg az informatikai biztonsági, és az adatvédelmi szabályzatot. Dr. Weisz Judit, Magyarországon akkoriban egyedülálló módon, már behatóan foglalkozott a privacy, azaz személyiségi jogok védelmével, ami kapcsolódott az informatikai biztonság, az adatvédelem témaköréhez is. Nagyon sokat segített azzal,
hogy ő akkor már rendelkezett az akkori nyugat-európai privacyvédelemmel kapcsolatos törvényekkel. Ezek alapján próbálta érvényesíteni Magyarországon a jogvédelmet az informatikai rendszerekben is, ami az 1980-as években nem volt egyszerű feladat. Azokban az években a szakemberek számára ez a téma egy nagyon izgalmas problémakört jelentett, nem véletlen, hogy számos SZÁMALK-hoz kötődő embert is vonzott. Így ismertem meg többek között Dr. Borda Józsefet is. Miután elkészült a Magyar Nemzeti Bank többszintű informatikai biztonsági szabályzata, felmerült a kérdés, hogy hogyan tudnánk az ismereteinket bővíteni, és hasznosítani ebben a témakörben. Köztudott, hogy a nyugat sokkal előrébb járt az informatikában, valamint annak biztonságos alkalmazásában (esetleg van, aki emlékszik az IBM Orange Book gyűjteményére?), mint Magyarország, illetve a többi hasonló ország. Tudomást szereztünk arról, hogy NyugatEurópában vannak olyan rendezvények, amelyek kifejezetten informatikai biztonsággal foglalkoznak valamint az amerikai EDPAA − Elektronikus Adatfeldolgozó Rendszerek Audit Szövetsége − európai tagszervezeteivel is felvettük a kapcsolatot. Dr. Borda Józseffel nagyon sokszor tárgyaltunk ennek szervezetnek az európai vezetőségével, próbáltunk kapcsolatot kiépíteni a nyugat informatikai biztonsági szakemberekkel, s ez általában sikerrel is járt. 9
Annak idején nagyon kevés embernek adatott meg a lehetőség, hogy nyugati szakmai konferenciákon rendszeresen részt vegyen. A két világ között feszültség volt, de én soha nem éreztem úgy, hogy előttünk nem beszéltek volna nyíltan. Az európai szervezet vezetőségi értekezletein mi voltunk egyedül a szocialista területről. Ennek következtében csodabogarak voltunk mi ott Dr. Borda Józseffel. Így sikerült közelebb kerülnöm a szakmához, megértenem azt, hogy pontosan mit értenek nyugaton, azaz Nyugat-Európában és az Amerikai Egyesült Államokban informatikai biztonság alatt. Akkoriban még nem így hívták, számítógépes adatvédelem volt a pontos megnevezése. Emellett volt szerencsém Dr. Borda Józseffel más konferencián is részt venni. Minden év márciusában Angliában megrendezték a COMPACS, azaz Computer Audity, Control and Security konferenciát Steve Hinde úr szervezésében. A világ legjelentősebb informatikai biztonsággal, rejtjelezéssel foglalkozó szakemberei, többek között a Fehér Ház informatikai biztonsági tanácsadója is előadást tartott itt, aki a konferencia szünetében hosszan elbeszélgetett velünk. Bemutatta hogyan dolgoznak, milyen szabványok kialakításával foglalkoznak. Hosszú éveken keresztül tapasztaltuk meg a nyugati oldal szakembereinek a tudását. Megismertük a szakmai szervezetek tevékenységét, anyagaihoz hozzájutottunk, és egyre jobban megerősödött bennünk, hogy hasznos lenne, ha Magyarországon is lenne egy olyan organizáció, ami megpróbálja összefogni az informatikai biztonsággal foglalkozó szakembereket. Ez mindenképpen motivált bennünket és 1987-től elkezdtünk dolgozni a szakmai fórum kialakításán. Nem volt egyszerű dolog ilyet létrehozni, kicsit más világ volt, mint most. A személyi számítógépek elterjedésének korszaka előtt az informatika, vagy az elektronikus adatfeldolgozás misztikumnak tűnt nagyon sok ember számára, és ezt a szakmabeliek nehezen érzékelték. Tény, hogy bizonyos értelemben különcként tekintettek ránk, viszont szakemberek társaságában ezt mi természetesen nem így érzékeltük. Nagy előkészítést igényelt az, hogy bekapcsolódjunk a munkába. Szakmabelieket kerestünk fel, az alapító tagok főleg a SZÁMALK-ból, a bankrendszerből, valamint a GIRO 10
Zrt.-ből verbuválódtak össze. Mindannyian éreztük, hogy ennek a szakterületnek van jövője. 1991-ben alakult meg az ISACA Budapest Chapter. Egy éven belül az egyesület tagjainak száma 100 főre emelkedett. Célunk többek között az volt, hogy szervezet tagjai egymás munkáját tudják segíteni, hozzájussanak olyan anyagokhoz, amihez addig nem volt lehetőség. A hivatalos és személyes kapcsolatokon keresztül összegyűjtött szakmai anyagok, könyvek alapozták meg többek között az első felsőfokú informatikabiztonsági képzés egyetemi jegyzetének megírását. Viszonylag sok konferenciát szerveztünk, többek között a norvég elszámolási központ biztonsági vezetőjének Bjorn Hampland segítségével. Az egyik ilyen alkalom pont egybeesett a demokratikus Magyarország első tömegtüntetésével, az úgynevezett taxisblokáddal. Több ezer taxis és fuvarozó bénította meg három napra Budapestet, zavartalanul csak a tűzoltók, a mentők közlekedhettek. A rendezvényünket nem bénította meg a sztrájk, minden külföldi előadó eljött és el is tudott utazni, többüket személyes vittem a reptérre. Ekkoriban az ISACA szervezet neve még EDP Auditor Association volt, tehát elektronikus adatfeldolgozás szerepelt a névben. Itt Magyarországon mi döntöttünk arról, hogy mivel már nemcsak elektronikus adatfeldolgozással, hanem információs rendszerek biztonságával akarunk foglalkozni alapvetően, megváltoztatjuk a nevünket. Mi használtuk először az ISACA megnevezést. Fél év múlva a szervezet amerikai központja is felvette ezt a nevet. Dr. Borda Józsefnek köszönhetően Magyarországra is eljutottak az amerikai felkészítő tanulmányok, anyagok. A CISA-vizsga előtti időkben, az auditorok ezekből az ISACA által szerkesztett tananyagokból készültek fel, és végezték az átvilágítási munkálatokat. Már ekkor sejteni lehetett, hogy az informatikán belül az információbiztonság egy önálló szakma lesz. Ebben nem is csalódtunk.
AZ INFORMÁCIÓBIZTONSÁG DIÓHÉJBAN AZ ALAPELVEK BORBÉLY SÁNDOR CISA, CISM Villamosmérnöki diplomáját számítógépek modellezése témában írta 1973-ban. Az informatika több területén tevékenykedett, foglakozott nagyszámítógépek szervizelésével, programozással, alkalmazói szoftvertermékek fejlesztésével. Vezette egy nagy irányítási rendszer beindítását, több éven át irányította egy nagyvállalat 100 fő feletti IT-üzemeltetési főosztályát, ahol az informatikai biztonság már kiemelt szerepet játszott. A Montana Rt. projektvezetőjeként informatikai biztonsági tanácsadás területen dolgozott, és ugyanezt folytatta a társcég Noreg Kft.-ben. 2001 óta aktív tagja az ISACA-nak, ahol elsőként CISA, majd CISM és CRISC minősítést szerzett. Rendszeresen tart előadásokat, oktatásokat az informatikai biztonság témakörökben.
Az egyetem elvégzése óta számítástechnikával foglalkozom. Az információbiztonság fogalmával a tanulmányaim során találkoztam már az 1960-as évek végén, jelenleg is ezen a területen dolgozom. Munkámból kifolyólag érdekelt az auditori minősítés megszerzése. Több helyen, többek között interneten találkoztam az ISACA egyesületével és az informatikai biztonsággal, ellenőrzéssel és minőségbiztosítással foglalkozó szakemberek nemzetközi minősítésével, a CISA-tanúsítvánnyal. A vizsga alapfeltételének számító angol nyelvet jól ismertem, valamint megfelelő gyakorlattal is rendelkeztem már. Az információbiztonság az ISACA-nak mindig is az egyik részterülete volt, és a CISA-vizsgának is nagyon nagy része ezzel az a témakörrel foglalkozott. Az ISACA elvileg informatikai auditorok szövetsége, gyakorlatban ma már a számítástechnika minden területében jártasnak kell lenni ahhoz, hogy felépüljön egy biztonságos rendszer. Az auditori munka a technikai fejlődésével válik egyre komplexebbé, komplikáltabbá. A biztonság, ma már a szoftver előállításának a folyamatával kezdődik. Rendkívül gazdag információbázist nyújt az ISACA, szakmailag nagyon magas színvonalú rendszereket épített ki, mint például a COBIT-ot. Egy vállalat életében − még ha sokakban ez nem is tudatosodott − az egyik legfontosabb személy a vállalatbiztonsági szakember. Ez különösen és hatványozottan érvényes
például a fejlesztő cégekre, vagy olyan vállalatokra, ahol gyártási eljárások vannak. Az információbiztonság, amit már a Magyar Szabványügyi Testület is elfogadott − MSZ ISO/IEC 27001:2006 − az információ bizalmasságának, sértetlenségének és rendelkezésre állásának a biztosítását jelenti. Ez az információbiztonság három alappillére. Információbizalmasság esetében annak a biztosítását értjük, hogy az információ ne kerüljön illetéktelen emberek kezébe, csak az arra felhatalmazottaknak legyen elérhető. Erre nagyon jó példa az elhíresült Diagon-ügy. A kiszivárogtatott információkkal a volt dolgozók több milliárdos kárt okoztak volna az orvosi diagnosztikai eszközöket gyártó és forgalmazó Diagon Kft.-nek. Ugyanis két, egykor vezető beosztású munkatárs át akart adni szabadalmaztatott ipari titkokkal, technológiákkal kapcsolatos adatokat egy konkurens cégnek. Az ipari kémkedési ügy vádlottjait első fokon a Fővárosi Bíróság szabadságvesztéssel, valamint mellékbüntetésként 3 milliárd 269 millió forint vagyonelkobzással sújtotta. Személyes adatok vagy bankkártyaadatok visszaélésének esetében is az információ bizalmasságának az elvesztéséről beszélünk. Sajnos, egyre gyakoribbá válnak az ilyen esetek. A közelmúltban egy külföldi, bankokon kívüli elektronikus adatfeldolgozó rendszerből illetékteleneknek sikerült eltulajdonítani több tízezer magyarországi kártya11
tulajdonos adatait. A bankkártyaadatok eltulajdonításának botrányában minden magyar pénzintézet érintett volt. Ezzel a sajnálatosan megtörtént eseménnyel lehet talán a legjobban érzékeltetni azt, hogy az információ érték, és mint ilyen védelemre szorul. Az integritás védelme az tulajdonképpen azt jelenti, hogy azok az adatok, amik rendelkezésre állnak, pontosak, tehát nem módosított adatok, illetéktelenek nem változtattak rajta, illetve ezek hiteles forrásból származnak. Amen�nyiben ezek a feltételek nem teljesülnek, nem támaszkodhatunk biztosan ezekre az adatokra. Ilyen szempontból a különböző kategóriákba lehet sorolni ugyanazon adatokat. Ha a bizalmasság szempontjából nem kell védeni valamilyen adatot, attól még az integritás fontossága mérvadó lesz. Ha egy cég interneten közzétett mérlegadatai, nyilvános adatok, tehát bizalmasság szempontjából abszolút nem kell védeni, viszont ha az adatokat valaki módosítja, az nagyon nagy károkat okozhat a cégnek, mert valaki esetleg a módosított adatokból tájékozódik. A harmadik alapelv a rendelkezésreállás pedig azért nagyon fontos, mert kárt okozhat, ha egy információhoz egy adathoz nem tudok hozzáférni, tehát kellene, szükség lenne rá, de például valami műszaki meghibásodás vagy természeti csapás miatt elvesznek, nem érhetők el adatok. Például az ilyen szituációk miatt, biztosítani kell, hogy a felhatalmazott felhasználók mindig hozzá tudjanak férni az információkhoz és a kapcsolódó értékekhez. Információbiztonság szempontjából ez a három alapelv egyfajta minimum, amit fel kell építeni és betartani. Ha valamelyik feltétel nem teljesül, nem lehet biztonságosan támaszkodni az adatokra. Hozzá kell tenni, hogy millió tényező van, ami ezeket a dolgokat befolyásolja, veszélyeztetheti, például a hackerek vagy sértődött belső munkatársak, akik visszaélnek a rájuk bízott adatokkal. A műszaki meghibásodások is ebbe a kategóriába tartoznak, egy olyan szoftverhiba, amit kihasználva illetéktelen valaki be tud jutni a rendszerbe, akkor le tudja bénítani azt, vagy módosítani tudja az adatokat. A három alapelv általánosságainak bemutatásával próbáltam azt is igazolni, hogy az auditálás több szakterületet egyesítő komplex szaktudást igénylő munka. Ebből kifolyó12
lag nem egy konkrét, mindennapi probléma megoldásának folyamataival foglalkozunk az ISACA-ban. Az általános célú informatikai rendszerek mellett megítélésem szerint jelenleg két érdekes, feltáratlan terület is van információbiztonsági szempontból: az ipari rendszerek és a mobileszközök biztonsága, ami kihívás lehet a ma, és a jövő szakemberei számára. Az ISACA-ban speciális területekkel foglalkozunk, ugyanakkor az információbiztonságot komplett rendszerként, minden területét beleértve vizsgálódunk. Ezért az ISACA egyesületét minden olyan informatikával foglalkozó szakembernek ajánlom, akik szeretnének részesei lenni egy ilyen komplex, és rendkívül érdekes tudásvilágnak.
„Ön tényleg azt gondolja, hogy mi magukat azért fizetjük, hogy rólunk csupa rosszakat írjanak le?” avagy AZ AUDITÁLÁS KIALAKULÁSA MAGYARORSZÁGON VASVÁRI GYÖRGY CISM
TISZTELETBELI EGYETEMI DOCENS
Vasvári György CISM a számítástechnika és a bankinformációs képzés úttörője, az információbiztonság és a biztonságmenedzsment egyik legtekintélyesebb hazai szakértője, 1997 óta birtokosa az ISACA kitüntető oklevelének. 2010-ben NJSZT-életműdíjban részesült.
1957-ben kezdtem el foglalkozni informatikával, több, mint 50 évvel ezelőtt. Ott voltam akkor, amikor Magyarország első számítógépét építettük. 1992-ben nyugdíjas lettem és úgy döntöttem, hogy csak szakértőként fogok tovább dolgozni. Először még a Neumann János Számítógép-tudományi Társaságnál szereztem engedélyt, ott tettem vizsgát. Később ismerkedtem meg az ISACA-val, ám már az alapítástól kezdve részt vettem a szervezet munkájában. Az 1990-es évek mind az ISACA-nak, mind a magyarországi szervezetének a tanulóéveit jelentette. Az auditálás kialakulásának szempontjából 1995 az ISACA történetében azért volt érdekes év, mert akkor volt az első úgynevezett Certified Information System Auditor vizsga (CISA), azaz minősítő vizsga auditoroknak. Körülbelül 10 ember vett részt rajta. Minősített auditorok, akkoriban még nem voltak. Az auditálást az idő tájt még úgy hívtuk, hogy vállalati informatikai biztonsági átvilágítási munkálatok. Honnan vettük mindehhez a szaktudást? Én 1992 óta foglalkoztam vállalatok informatikai biztonságának problémáival, konkrét kérdésekben szakvéleményt is adtam. Így például az én addig megszerzett tapasztalatom állt rendelkezésre, de említhetném Dr. Borda Józsefet is, akinek szaktudása szintén rendelkezésre állt a CISA-vizsga minősítésére. Az első anyag, ami valamiféle iránymutatást adott, az 1996-ban megjelent COBIT 1 volt, az auditorok „bibliája”. Persze, kapcsolatban voltunk az ISACA-val, eljártunk előadá-
sokra. Az interneten megkerestem a Los Angeles-i ISACA honlapját, és onnan szedtem le anyagokat, így okítottam az ifjúságot. A 90-es években a vállalatok elkezdtek az informatikai biztonsággal komolyan foglalkozni, védelmi intézkedéseket tenni. Amiben nem volt vita, az az volt, hogy minden vállalat, ami ezen az útvonalon elindult, azt érezte, hogy valami független külső szakember vagy vállalat szakembereit kellene felkérni a feladatok elvégzéséhez. Magyarországon az első auditálással foglalkozó cégeket az úgynevezett „BIG 6” illetve később „BIG 4” alapította meg. A nemzetközi tapasztalatok ellenére ugyanazokkal a problémákkal kellett szembesülniük, mint a hazai szakembereknek. A kezdetekben még majdnem hogy válogatni lehetett a munkák között, ez a kezdeti időszak a 2000 évek elejéig tartott. 97-ben amikor az első komolyabb átvilágítást megcsináltuk a következő érdekes dolog történt. Az egyik kollegám megkérdezte, hogy nem akarom-e megnézni az átvilágított vállalat teljes évi mérlegét. Bevallom őszintén, nem értettem a kérdést, hiszen a kollégának nem is ez volt a feladata. Megkérdeztem tőle, hogy honnan tudná ő ezt az információt. Elkezdett gyanúsan mosolyogni és elmondta, hogy a vállalat kiselejtezett olcsó gépei közül megvásárolta az egyiket. Amikor hazament és átvizsgálta az új szerzeményt, értékes információkra bukkant: megtalálta a vállalat totál teljes mérlegét, ugyanis a cég nem törölte a gépen tárolt információ13
kat. Hogy miért nem? Mert akkoriban ez még senkinek nem jutott eszébe. Az információbiztonság abban az időben még gyermekcipőben járt. Természetesen, azóta egy ilyen szituáció elképzelhetetlen lenne, mint ahogy az a kérdés is, amit nekem egy következő átvilágításnál egy nagy országos pénzintézet vezérigazgatói titkárságának vezetője tett fel: „Ön tényleg azt gondolja, hogy mi magukat azért fizetjük, hogy rólunk csupa rosszakat írjanak le?” – a furcsa kérdést a félelem szülte, ugyanis attól tartottak, hogy a jelentésünket elolvassa a főhatóság is, és ennek következtében elveszítik a munkahelyüket. Kizárólag a kételkedő munkatárs hatóságtól való félelmének eloszlatását követően kezdhettük el az érdemi munkát. Azért alakulhatott ki ilyen szituáció mert a kezdetekben még nem volt a vállalatoknak tapasztalatuk az auditálás terén. Nem tudták mi az. Ugyanebben az időben egy nagy iparvállalatnál történt az, hogy több mint 10.000 főt foglalkoztató cég vezetője, a kidekorált anyagunk lapozgatása közben ezt kérdezte tőlünk: „Ezt a marhaságot ki mondta maguknak?” Természetesen – és ez a szerződésünkben is benne foglaltatott – erre a kérdésre nem válaszoltunk. Ugyanis mi nem felelősöket kerestünk, hanem problémákat. Ez egy alapszabály, ami azóta sem változott. Persze a kezdetekben ezt még nem értették. Nemcsak a céljainkat, a módszereinket is megkérdőjelezték, többen például nem értették, hogy miért fizessenek azért, hogy riportokat készítsünk az alkalmazottakkal. Ez az előző példa is mutatja, hogy az iparvállalat vezérigazgatója nem ismerte a céget, hiszen pont a mellette ülő informatikai vezető válaszolt neki kérdésére: „Főnök, én voltam. És ez igaz.” Miért fontos az, hogy egy külsős cég riportokat készítsen a dolgozókkal? Tették fel többen a kérdést. Azért, mert ha ők tették volna fel a kérdéseket a dolgozók, nem válaszoltak volna őszintén. Ezek a problémák ma már nem fordulnak elő. Az átvilágítási munkálatok befejeztével javaslatokat tettünk a problémák kiküszöbölésére. Egyszer egy ilyen alkalommal behívott magához egy vezérigazgató és a következőket mondta: „Nézze én utánaszámoltattam, hogy a maguk javaslataik 14
mennyibe kerülnek. Mivel milliós tétel jött ki eredményül, hajlandó nekem írásba adni, hogy a javaslatok megfinanszírozása és kivitelezése után nem lesz informatikai biztonsági problémánk?” Abban az időben jelent meg egy könyvem, aminek előszavát az „Egy hacker feljegyzései” című könyvnek az idézetével kezdtem: „Az informatikai biztonságban egy 100%os dolog van, hogy semmi sem 100%.” Ezzel az idézettel kezdtem a válaszomat a vezérigazgatónak, majd folytattam: „Garantálom, hogy lesznek biztonsági események, mint ahogy azt is garantálhatom, hogy ha nem adja ki ezt a pénzt, akkor sokkal súlyosabb, gyakoribb katasztrofális biztonsági események lesznek. A tudomány csak azt tudja garantálni, hogy közelítsünk a 100%-hoz, de azt soha nem fogjuk elérni. A hacker, a terrorista, vagy bárki, aki támadja a biztonsági rendszert, mindig előbbre járnak mint a védelem, tehát nem lehet őket megelőzni.” Az ISACA megalakulása előtt a Neumann János Számítógép-tudományi Társaságnál lehetett minősítést szerezni, viszont ez csak Magyarországon volt érvényes. Ezzel szemben az ISACA minősítései, melyekről a központban, Los Angeles-ben döntenek, a világon mindenhol elfogadottak, nemzetközi értékűek. Azt azonban meg kell említeni, hogy a legtöbben, akik ISACA-vizsgát tettek a kezdetekben, az alapokat a Neumann János Számítógép-tudományi Társaságnál szerezték meg. Hosszú évek óta, minden hónap második szerdáján szakmai megbeszélést tart az ISACA, aminek tulajdonképpen a lényege a újonnan felmerülő szakmai problémák megvitatása és a tudás megosztása. A szakma úttörőiként az informatikai audit szakmájának az elismeréséért is meg kellett küzdenünk minden alkalommal. Mindeközben az ISACA-nál minden évben tartottak CISA-tanfolyamokat és -vizsgát, aztán később megjelentek az úgynevezett CISM (Certified Information Security Manager), a tanúsított biztonsági manager minősítések is. Ezek a vizsgák évről évre fejlődtek, erősödött a magyar ISACA. Ma már öt-, vagy hatféle minősített vizsgát lehet tenni. A szakemberek szaktudása folyamatosan nőtt, ami a mi szakmánkban elvárás, hiszen folyamatosan alkalmazkodni kell, hogy naprakészek és felkészültek legyünk.
A TUDOMÁNY FELELŐSSÉGE AZ INFORMÁCIÓS TÁRSADALOMBAN ALFÖLDI ISTVÁN CGEIT Alföldi István a Neumann János Számítógép-tudományi Társaság és a magyarországi ECDL Program ügyvezető igazgatója. A nemzetközi ECDL Alapítvány Minőségbiztosítási Bizottságának tagja, a nemzetközi szabványként elfogadott ECDL minőségbiztosítási rendszer kidolgozója. A Digitális Esélyegyenlőség (DE!) program vezetője. Az NJSZT ügyvezető igazgatójaként részt vett a Nemzeti Fejlesztési Terv információs társadalomról szóló részének kidolgozásában, több kormányzati dokumentum szakvéleményezésében. Számos hazai és nemzetközi projektet vezetett.
Az alakulástól kezdve ismertem az ISACA egyesületét, melynek 1997-ben lettem hivatalosan a tagja. Ebben az évben kerültem a Neumann János Számítógép-tudományi Társasághoz, ügyvezető igazgatóként. A két szervezet küldetésében több hasonló elem is található. Az ISACA-ban csak úgy, mint a NJSZT-ben kiemelkedően fontos szerepet tölt be a tudományos tevékenység, kutatás, fejlesztés, ismeretterjesztés, nevelés és oktatás. A Neumann Társaságnak olyan szakmai közösségei vannak, amelyek aktuális tudományos témákkal foglalkoznak például mesterséges intelligenciával, multimédiával, képalkotással, infokommunikációval támogatott egészségtémákkal. Missziónk a tudomány és a tudás terjesztése. Világossá vált, hogy a mai világban a tudás felelősséggel jár. Ez egy olyan alapszabály az információs társadalom mindennapjaiban, amire minél nagyobb hangsúlyt kell fektetni. Az információs társadalom nagyszerű dolog, ha tudatosan és konstruktívan élünk benne. Korunknak, mint minden megelőző kornak is, rendkívül sok pozitívuma van, rengeteg lehetőség rejlik benne, ha megteremtjük azt, hogy a tudás bárki számára megszerezhető legyen. Ennek a mai világban az egyik következménye, hogy a tudás birtokosaira még nagyobb felelősség hárul elsősorban abban, hogy mindenki, de legalábbis minél többen teljes értékű tagjai lehessenek az információs tár-
sadalomnak. Azaz annak a lehetőségét kell megteremteni, hogy mindenki lépést tudjon tartani a világgal. A népesség kb. 40%-a még a fejlett országokban is úgy él, hogy nem használja a korszerű eszközöket, köztük elsősorban a számítógépet, és e tekintetben a magyar statisztikai mutatók sem tölthetnek el örömmel bennünket. Ez azt jelenti, hogy az életminőség és a versenyképesség szempontjából ezek az emberek nagyon nagy hátrányban vannak egy olyan világban, ahol a számítógépes ismeretek prioritást élveznek. A digitális esélyegyenlőséget pont ezért nagyon fontosnak tartom. A számítógép és a világháló használatának lehetőségét mindenki számára elérhetővé kell tenni, beleértve az időskorúakat, a fogyatékkal élőket és a szociálisan hátrányos helyzetben élőket egyaránt. Így tehát egyik igen fontos feladatunk a digitális kultúra és írástudás terjesztése. Örömmel tapasztaltam, hogy az ISACA-n belül is megfogalmazódott egyfajta felelősségvállalás és „Biztonságos internethasználat elterjesztése a fiatalok között” címmel önkéntesek bevonását is magában foglaló programot hirdetett. A közösségi média elterjedése természetesen egyre súlyosabb problémákat vet fel a felhasználó biztonságával kapcsolatban. Nem az a probléma, hogy „a nagy testvér mindig figyel”, hanem az, hogy a „nagy testvér” szerepébe bárki belebújhat. Sajnos, ez elkerülhetetlen és erre a fiata15
lok és a gyerekek figyelmét feltétlenül fel kell hívni. Ugyanis csak felületesen vannak azzal tisztában, hogy milyen veszélyeknek vannak kitéve például egy közösségi oldalon. Természetesen, a pozitív oldalát is meg kell mutatni, hiszen nagyon sok jó oldala is van felhasználói szempontból például a közösségi médiának. A világ labdaméretűvé zsugorodik össze, az információ mindenki számára elérhetővé válik. Viszont ezt a nagyszerű lehetőséget tudatosan kell használni. Örülök, hogy az ISACA fő feladatai között a nagy rendszerek auditálási szabályainak, biztonsági ellenőrzésének primátusa mellett a fiatalok tudatosságra nevelése is szerepet kap. A közelmúltban az ISACA egy nagyon szép elismerést kapott: legjobb szervezet az Európai és Afrikai régióban díjában részesült, ami tagként nagy örömet okoz. Remélem, hogy az ISACA magyarországi egyesülete a jövőben még nagyobb szerepet vállal az informatikai rendszerek működtetésével kapcsolatos tudatosság tekintetében, akár lakossági-civil szinten, akár a kis- és mikrovállalkozások szintjén, hogy az információbiztonság elvei jobban tudatosuljanak a köztudatban.
16
„Miért van egy autóban fék?” HORVÁTH GERGELY KRISZTIÁN CISA, CISM Horváth Gergely Krisztián CISA, CISM. 2006-ban kezdte el doktori tanulmányait a Pécsi Tudományegyetem Gazdálkodástani Doktori Iskolájában. Szakterülete az IT-kontroll és - irányítás. 2005 óta tagja az ISACA Hungary Chapternek, 2006 óta oktat CISA- és CISM-tanfolyamokon. 2006-2009 között vezetőségi tag is volt. 2004 óta szabadúszóként dolgozik, 2011ben az MNV Zrt. IT-biztonsági menedzsere lett.
2004 óta foglalkozom információrendszer-ellenőrzéssel és információbiztonsággal. Különböző informatikai ellenőrzési és oktatási feladatokon dolgoztam együtt dr. Nyíri Gézával, az ISACA egykori elnökével, az ő javaslatára tettem le 2005-ben a CISA-, majd rá fél évre a CISM-vizsgát. Már ebben az évben bevontak az ISACA vezetőségébe, aminek külső tagja lettem. Elkezdtem oktatni a CISA- és a CISMtanfolyamokon, továbbá szakmai anyagokat fordítottam. Sokat tanultam itt a szakmáról Nyíri Gézától és Borda Józseftől. Örömmel tölt el, ha megoszthatom a tapasztalataimat a kollegákkal, és hallgatókkal. Innen is jött az egyesületi szerepvállalás, és ezért kezdtem el a Pécsi Tudományegyetemen a PhD-tanulmányaimat. Az informatikai kontroll témaköre viszonylag száraz, viszont az élet mindig gondoskodik olyan színes-szagos történetekről, amelyekkel a hallgatóimat meg tudom fogni. Az egyik ilyen példa annak az IT-biztonsági főnöknek az esete, akit azért rúgtak ki egy PSZÁF-ellenőrzés során, mert a bankban a legtöbb illegális program az ő gépén volt. 2006 és 2009 között az egyik fő szervezője voltam az ISACA rendezvényeinek, az Oprisk nemzetközi konferencia 5 évet élt meg, 20 országnál is több helyről érkezett előadó. A 15 éves ISACA jubileumi évfordulójára meghívtuk a COBIT irányító bizottságának elnökét, Erik Guldentopsot. A COBIT atyja színvonalas és nagy hatású előadást tartott, szemléltető példáját, ami tulajdonképpen egy mottó is, mind a mai napig sokszor idézem. Így hangzik: „Miért van
az autóban fék?” Hogy meg tudjon állni, válaszolná erre a legtöbb ember. Erik válasza persze lényegesebben összetettebb. „Valójában azért van az autóban fék, hogy gyorsan és biztonságosan eljussunk oda, ahova szeretnénk.” Az információs rendszerekben a kontrollok szintén azért vannak, hogy elérhesse egy szervezet azokat az üzleti célokat, aminek elérését az információs rendszer elősegíti, anélkül, hogy jelentős biztonsági események azt akadályoznák. Sokszor tekintetnek úgy az információbiztonságra az emberek, mint egy a munkájukat akadályozó tényezőre, mert egy bonyolultabb jelszót kell kitalálniuk, vagy még egyszer be kell ütni egy kódot, de valójában ez nem fék, hanem azért van, hogy biztonsággal jussunk el oda, ahova szeretnénk. Az információbiztonság szerintem nem országfüggő. Vannak olyan vállalatok, akik rájöttek arra, hogy kevesebb veszteséggel jár a jól kialakított kontrollrendszer, és ezért folyamatosan fejlesztik a kontrollrendszerüket. Viszont vannak olyan, általában kisebb vállalatok, szervezetek ahol egyelőre gyerekcipőben jár az információbiztonság. Mindenki jól ismeri a számítógép monitorán jól pozícionált helyen lévő feltűnő papírra kiírt jelszót, hogy ne lehessen elfelejteni, vagy említhetném azt a jelszótípust, amit nemes egyszerűséggel a monitor típusa ihletett, ami természetesen szintén szem előtt van. Ennek létezik fokozott biztonsági változata is, amikor a billentyűzet aljára van ráragasztva a jelszó. Az ember a leggyengébb láncszem, ez egy alapszabály. Bruce Schneier egyik sokat idézett monda17
ta „Amatőrök hackelnek rendszerek, a profik az embereket hackelik”. A 21. század legnagyobb kihívása a biztonság területén az emberek megvédése az emberek segítségével. Nem a különböző műszaki megoldások biztonságos kialakítása a legfontosabb, hanem a „humán tűzfal” kialakítása, és naprakészen tartása, azaz az emberek felkészítésére a felelős és tudatos viselkedésre a számítástechnika használata során. Erik Guldentops előadásán fény derült egy másik érdekességre is a budapesti ISACA történetéből, az előadó ugyanis elmondta, hogy a COBIT szükségességének az ötlete a 90-es évek elején Magyarországon született meg. Azóta már az ötödik verzión dolgoznak. Utoljára a 4.1-es verzió magyar változatát készítettük el. Részt vettem az irányító bizottságban és a lektorálásban. A féléves munkafolyamat során nem egyszer nyelvújítással próbálkoztunk, mert igen sok szakkifejezésnek nem volt még magyar megfelelője, de a nyelvújítás hálátlan feladat. Akadtak, akik ragaszkodtak a szokásaikhoz, a jól bevált hunglish kifejezésekhez. Mégis, a magyar COBIT sokat segített a módszertan hazai elterjedésében. 2008-ban szerveztünk egy rendezvényt közösségépítő célzattal a tagoknak, a sóskúti lovastanyán körülbelül 40 ember részvételével. Ezt nem sikerült folytatni. De az elmúlt két évben a szakmai rendezvények sokat fejlődtek, a legutóbb 150-en is részt vettek. Több alkalommal eljutottam nemzetközi vezetői értekezletekre, 2006-ban Nairobiban, Kenyában voltam, itt sikerült Gézának és nekem egy finn kollégával együtt kezdeményezni a nemzetközi honlap továbbfejlesztését, melyre egy munkacsoportot is alakítottunk. 1-2 éve több új funkció megjelent és a közelmúlt eredménye, hogy a nemzetközi ISACA honlapján lehetővé vált a Chapterek saját aloldalainak megjelenítése. Ez volt szerintem a legfontosabb javaslatunk Gézával Nairobiban. Kisemberként is lehet hatni a nagy dolgokra. Mindenki számára javaslom, önkéntesként csatlakozzon nemzetközi munkacsoportokhoz! A másik vezetői megbeszélésen, amin részt vettem, 2008-ban Rómában volt. Ott ismertem meg az IT-audit minőségbiztosítás témakörét a német példa alapján, ami azt jelenti, hogy a CISA minősítéssel rendelkező emberek ál18
tal készített ellenőrzések minőségét független vizsgázott szakember megerősíti. Ez azt bizonyítja, hogy az IT-ellenőr a szabványok szerint minőségi, alapos munkát végzett. A római megbeszélés után indítottunk itthon egy munkacsoportot Vasvári Gyuri bácsival, Erdősi Péterrel és Bartók Sándorral együtt, aminek most lett meg az eredménye januárban. A vezetőségnek beterjesztettük elfogadásra. Fontos lenne, ha Magyarországon is az ellenőrzési szabványok szerinti, minőségi munka könnyebben megkülönböztethető lenne attól, ami nem az. A könyvvizsgálói és a belső ellenőri szakma már eljutott erre a szintre. Az ISACA jövője szerintem sokban múlik azon, hogy mennyire leszünk képesek nyitni az IT-irányítási szakemberek illetve a kockázatkezelők felé erősítve ezzel az egyesület tagjainak létszámát. Továbbra is erősíteni kellene a szakmán belüli érdekérvényesítést, hogy ne csak azoknak legyen tudomásuk az információkról, akik tagok, hanem például egy pénzügyi vezető is legyen tisztában azzal, hogy milyen szaktudása van egy ISACA-s minősítéssel rendelkező szakembernek, és hol tud számára értéket teremteni. Elsősorban a pénzügyi és gazdasági szakembereket, vezetőket kell jobban elérnünk. Másik hasonlóan fontos terület még több kolléga bevonása az egyesület működésébe, a szakmai műhelymunka folyamatába. Alapvető célnak tartom az egyesület vonzerejének növelését plusz szolgáltatások kialakításával. A nehéz gazdasági helyzetben mindenki jobban megnézi, hogy mire költ, így sokan léptek vissza a tagságtól, mert ebben a szituációban megváltozott az ár-érték arány. Az elmúlt évekre az is igaz ugyanakkor, hogy folyamatosan nőtt az ISACA taglétszáma. Bízom benne, hogy vezetőségi tagként az előbb felsorolt célokért dolgozhatok ismét. Hazánk szempontjából az ISACA módszertani anyagainak hasznát akkor élvezhetnénk igazán, ha a bankok mellett a gazdaság minél több szereplője számára kézzel foghatóvá válna. Jelenlegi munkám során arra törekszem, hogy az államigazgatás és az állami vállalatok számára mielőbb eljusson ez a tudás, és oktatóként több felsőoktatási intézményben (BGF, PTE) próbálom a hallgatókat az IT-kontrollok szépségeivel megismertetni. Örülnék neki, ha a 30. évfordulón már az eredményeket kellene csak sorolnunk.
CYBER DEFENSE FRAMEWORK BIRÓ LÁSZLÓ 1972-ben szerzett műszaki tanári oklevelet. Műszerfejlesztő a Telefongyárban, rendszerprogramozó, programozási vezető, majd CIO a Budapesti Zöldértnél. 1984-től 1994-ig programozási osztályvezető majd CIO a BHG-ban. 1994-től 2000-ig CIO az ELMŰ-nél, majd IT-biztonsági vezető az Allianz Hungáriánál. Jelenleg az MKB Biztosítási Üzletágának ITbiztonsági vezetője. 1997-től CISA, 2004-től CISM, 2009-től pedig CGEIT minősítése van. 1982-ben szabadalmat kapott „Digitális jelfeldolgozású elektrokardioszkóp” témában. Rendszeres előadója a Hacktivitynek.
A CISA-vizsga egy, már meglévő tudásra épül, tehát nem új tudást, hanem egy új nézőpontot ad. A fejlesztőt, az üzemeltetőt, a megrendelő majdani felhasználót egy számítógépes rendszer kultúrájában más és más szempontok vezérlik; egyrészt a határidők, másrészt, hogy a lehető legkisebb energiabefektetéssel üzemeltethető rendszer alakítsunk ki. Tehát lehetőleg operátormentes legyen, automatizált legyen és minél több feladat háruljon át az automatizmusokra. Ehhez képest, amikor egy rendszert auditálhatóvá kell tenni, az elsődleges szempont, hogy legyen egy jól definiálható követelményrendszer, ezután fel kell építeni azokat az eljárásokat, amivel majd ellenőrizni tudjuk, hogy valóban azt történt a rendszerünkben, amit leírtunk. Ezeket egyébként auditálási útvonalaknak nevezik. Ezeknek a kialakításában jelent bizonyos segítséget az a módszertan, amit az ISACA fejlesztett ki. Nem tartozik az egyszerű dolgok közé egy meglévő rendszer audittrailjeinek utólagos kialakítása. Viszont ismerve ezeket az auditálási szempontokat a rendszer fejlesztése és definiálása során figyelembe veszem, hiszen a fejlesztés fázisában gyakorlatilag még ingyen építhetők be. Ehhez ad támpontokat az ISACA-nak a módszertana a COBIT. Nagyon sok előadást tartottam már, viszont dacára az auditálási, irányítási minősítéseimnek, én a rendszerközeli, hardverközeli dolgokat szeretem jobban. Ezekkel a témákkal foglalkozom szívesen, és az ezzel kapcsolatos biztonsági
kockázatokról szeretek előadni többek között az ISACA keretében is. Legutóbbi előadásom témája is ezzel a témakörrel foglalkozott, melynek címe Cyber Defense Framework volt. A számítógépes védelmi mechanizmusokat keretbe foglaló rendszerről szólt. Ez egy nagyon érdekes történet. 2011 szeptemberében Monsban, a NATO európai főparancsnokságán voltam, ott tartottak egy információbiztosítási konferenciát. Volt egy azonos című előadás, ami ezzel a védelmi mechanizmussal foglalkozott. Ez azért volt érdekes, mert egy hasonló formalizmust illeszt rá a számítógépes támadások kezelésére, mint az üzletmenet-folytonossági terv. Például váratlan események bekövetkeztekor ez az eljárás ad egy forgatókönyvet, ami megmutatja az irányelveket, ad egy vezérfonalat, aminek az a célja, hogy minél kevesebb improvizációs elem legyen. A dolog érdekessége az, hogy Észtországi fővárosában, Tallinnban van egy úgynevezett tudásközpont, ami ezzel foglalkozik. Magyar tagjai is vannak és a vezetésben is vannak magyar kollégák, tehát mindenképpen érintettek vagyunk. Ez nem egy NATO-szervezet, ez egy non-profit társaság, amit a NATO is támogat és az eredményeik szabadon felhasználhatóak. Nagyon színvonalas publikációik, kiadványaik vannak. Sajnos, ezek az anyagok jelenleg nem épülnek be a magyar számítástechnikai kultúrába. A számítógépes támadásoknak struktúrája megváltozott, és a súlypontja eltolódott. A számítógépes csintalankodás nem új keletű, 19
fejlődését tekintve több korszakra osztható. A kezdetekben valaki rájött valamire a számítógéppel kapcsolatban, például megviccelte a kollégáját vagy a főnökét. Ha már bejutott a rendszerbe, hagyott is valami nyomot, amire büszke lehetett, hárfázott kicsit a volt főnöke vagy a kollegája idegein. Ez a játék a későbbiekben komolyabbra fordult. A folyamat kezdett átalakulni üzletszerűvé, például ügyféllistákat, bankkártyaadatokat szereztek meg azok az emberek, akik bejutottak egy rendszerbe, és pénzért árusítani kezdték ezeket az információkat. És ez még csak a második lépcső volt a számítógépes támadások fejlődéstörténetében, mert a következő harmadik korszakban már állami terrorizmus szintjén folytatódtak ezek a folyamatok. A súlypont annyira eltolódott, hogy például kulcsfontosságú államigazgatási, katonai információkat szereztek meg, vagy a kommunikációs hálózatokat bénították meg, infrastruktúrákat rongáltak meg. Konkrét nemzeti irányítórendszereket támadtak meg. A számítógépes támadások új szereplői a titkosszolgálatok voltak. 1982-ben „Farewell” titkosügynök segítségével a mai Oroszország egyik legfontosabb gázvezetékét robbantották fel. A ma már részben ukrán felügyelet alatt álló úgynevezett nyugat-szibériai, vagy más néven Transz-Szibéria gázvezetéket számítógépes eljárással, szinte távirányítással tették tönkre. Olyan gázlengést idéztek elő a rendszerben, aminek egy robbanás lett a vége, a világtörténelem legnagyobb – nem nukleáris - robbanását idézve ezzel elő, ami még a világűrből is látható volt. Egyre keményebbek lettek a módszerek. 2010-ben a STUXNET vírus megtámadta az iráni Natanzba telepített nukleáris létesítményt, ahol urándúsítás folyt, és rábírta a ultracentrifugákat, hogy elpusztítsák önmagukat néhány óra leforgása alatt. Ez az első digitális fegyver, amely geopolitikai fontossággal bírt. Ez a számítógépes támadóprogram megváltoztatta a hadviselés módját. A támadási technikák megváltoznak, olyan eszközök kerültek be a gyakorlatba, ami legális, hivatalosan is beszerzett programokba is beépíthető és így senki nem tudhatja, hogy a megvásárolt „dobozos” szoftver nem tartalmazza-e valamelyiküket. Egy normál felhasználásnál nem okoznak semmi problémát és csak bizonyos működési paraméterek együttállása esetén aktivizálódnak. Élesen elkülönült a rendszertervezői és a programozói munka, és 20
ez azt jelenti, hogy aki írja a programot, az nem tudja, hogy ő egy fegyvert ír. Így a támadás kiszámíthatatlan időben indul. A hagyományos vírus- és behatolásvédelmi rendszerek hatástalanok ezekkel szemben. Emiatt a hagyományostól eltérő, unortodox módszerekkel kell fellépni, a használatba veendő programok működési mechanizmusát kell vizsgálni. Teljesen más megközelítés, módszertan kiépítésére van tehát szükség, és ebben tud segítséget adni a tallinni tudásközpont. A fejlesztői és üzemeltetői háttérrel rendelkező ISACAszakemberek elsődleges feladatának tehát azt tartom, hogy a hazai számítástechnikai-informatikai kultúrába beépítsék azokat a szemléletmódokat és ismereteket, amelyek a megváltozott környezetben is lehetővé teszik a biztonságos és gazdaságos rendszerek létrehozását.
ISACA-RENDEZVÉNYEK ÉS SZAKMAI KONFERENCIÁK FBI-ÜGYNÖKÖK ELŐADÁSA KÁTAI SZABOLCS CISA, CISM A Budapesti Műszaki Egyetemen szerzett villamosmérnöki diplomát, majd számítástechnikai szakmérnöki diplomát. 1970-től 25 éven át a SZÁMOK-nál, majd a SZÁMALK-nál dolgozott, ahol a számítástechnikai, illetve az informatikai rendszerek használatbavételének és alkalmazásának szinte minden oldalával megismerkedett. Németországban egy évig mint programozó, Kuvaitban két évig mint szakértő dolgozott. Nagy vállalatirányítási rendszerek bevezetésén is munkálkodott (VIDEOTON, BHG, Hajdúsági Iparművek). 1990 után egy pénzügyi, kereskedelmi integrált rendszer, a Sunsystems terjesztését és bevezetését végezte. Az Y2K idején a Deloitte and Touche keretében a partnerek informatikai rendszerének auditálásán és a váltásra való felkészítésén dolgozott. Ez a munka vezette el az ISACA-hoz. Sok önkéntes munkát vállalt az egyesületben, három évig elnökségi tag is volt. A megszerzett CISA és CISM képesítés lehetővé tette, hogy olyan helyeken is dolgozzon, mint az Állami Számvevőszék, vagy a KEHI.
Számtechnikai berendezésekkel, programokkal, ezek oktatásával és alkalmazásba vételével már 1971-ben foglalkozott a Számítástechnikai Oktató Központ (SZÁMOK), a SZÁMALK egyik elődje. Már akkor szerveztünk olyan tanfolyamokat, mint pl. az Automatizált adatfeldolgozás ellenőrzése címűt, ami információrendszerek ellenőrzésével és biztonságával foglalkozott. Érdekes megemlíteni, hogy az ISACA magyarországi szervezetének alapítói közül heten ebből a körből kerültek ki. Az akkor 20 taggal megalakuló szervezet ma már több, mint 400 tagot számlál. Informatikai biztonsági szempontból érdekes időszakot éltünk meg a 2000-es évek előtt. Már jóval előtte tudtuk, hogy az informatikai rendszerekkel probléma lesz, amikor az évezredváltás bekövetkezik. Azért adódott egyfajta komplikáció, mert – főleg az amerikaiak – csak a két utolsó számjeggyel jellemezték az évszámot, ami 1950-ben, 60-ban még nem jelentett problémát, viszont az évezredforduló után már kettős jelentéssel bírt a 01-es megjelölés. Egyrészt jelölhette az 1901-es évet és a 2001-es évet is. Ez bizonyos rendszerekben például az időszak kiszámításnál is problémát jelentett, mert nem mindegy, hogy egy hónapról, vagy egy év és egy hónapról beszélünk. Ezért kellett átvizsgálni
és felkészíteni az informatikai rendszereket a váltásra, hogy se rendszerleállás, se adatvesztés ne forduljon elő. Ez főleg az olyan folyamatosan működő, online rendszerek, mint például a közművek, banki hálózatok esetében jelentett problémát. Az ISACA akkori egyik vezetőségi tagja, Bolgár Gábor ajánlotta a nekem a CISA-tanfolyam elvégzését. Megfogadtam a tanácsát, így kerültem kapcsolatba a budapesti ISACA-val, akik tanfolyamát elvégeztem, majd sikeres CISAvizsgát tettem. Később megszereztem a CISM minősítést is. A későbbiekben a kötelező továbbképzés miatt rengeteg bel-, illetve külföldi az ISACA által szervezett továbbképzésen, workshopon, vettem részt. Az egyik talán legérdekesebb ilyen előadást Amerikában hallgattam, amit FBI-ügynökök tartottak biztonsági kérdések tárgykörében. 2002 júniusa óta az FBI hivatalos főfeladata a terrorelhárítás. A terrorizmus visszaszorítása 2001. szeptember 11-ei események után a figyelem központjába került és az FBI legfontosabb feladatává vált. Nagyon örültem, hogy meghallgathattam az előadásukat, hiszen nem minden nap találkozik az ember valódi FBI ügynökökkel. Azoknak az informatikai rendszereknek a biztonsága, amelyek az országos nagy ellátó rendszereket is működtetik, létfontosságúak az 21
emberek számára. Hiszen elképzelni is rossz, hogy az elektromos ellátó rendszert informatikai terrortámadás megbénítja, akkor nincs áram, víz, fűtés, nincs internet. Ezeknek a kérdéseknek ugyanolyan fontosságúaknak kellene lennie Magyarországon, mint Amerikában. A ISACA olyan előadókat hívott meg, akik közvetlen tűzközelből ismerik a kérdéses problémát. Arról volt szó, hogy hogyan kell megvédeni az informatikai rendszereket, milyen ellenintézkedéseket, milyen tudatos ellenlépéseket kell tenni. Nagyon fontos tudatosan felkészülni egy ilyen lehetséges támadásra. Ugyanis, egy ilyen terrorcselekmény során az emberi tudatosság képezi a legfontosabb védelmi hálót. Azért hangsúlyozzák ennyire az emberi tudatosságot, mert a kimutatásokból, statisztikákból az derül ki, hogy ezekben a rendszerekben a leggyengébb láncszem, mindig az ember. Sok esetben külsős, de legtöbb esetben azok az emberek, akiknek az lenne a feladatuk, hogy ezeket a rendszereket működtessék, használják és védjék. Az FBI-ügynökök nagyon jó előadást tartottak, nem beszélve arról, hogy rendkívüli dolog volt őket közvetlenül hallgatni. Ketten közülük, pont úgy néztek ki, mint, ahogy a filmekben is láthatjuk őket. A harmadik ügynök külseje tért el a sztereotípiáktól, mert leginkább egy háziasszonyra hasonlított. Talán ez a munkája folyamán hasznára válik. Az ISACA nélkül valószínűleg sohasem lett volna alkalmam egy ilyen előadáson részt venni. Emellett számtalan más külföldi továbbképzésen is részt vettem a tengeren túl és természetesen Európában is. Azért is, mert a minősítések megtartásának egyik alapfeltétele a folyamatos továbbképzéseken való részvétel. Hároméves periódusban legalább 120 óra továbbképzés kötelező. Külföldi rendezvények mellett természetesen Magyarországon is rendszeresen tartottunk rendezvényeket, előadásokat. Itthon leginkább az ISACA Budapest Chapter tagok, vagy más hazai szakemberek szokták megtartani az előadásaikat, de nagyon gyakran előfordult, amikor külföldi előadót hívtunk meg. Szerepeltek rendezvényeinken más európai ISACA szervezetek vezetői, mint például a svájci, vagy a londoni Chapter elnöke. Szerepeltek továbbá az ISACA nemzetközileg ismert sztárelőadói is Budapesten. Nemzetközi konferenciák közül számomra a legfontosabb a 2002-ben Budapesten rendezett EuroCACS konferencia volt, melynek 22
lebonyolításában személyesen is részt vettem. A folyamatos továbbképzés mellett az ISACA-tagság két legfontosabb előnye az, hogy nemzetközileg elfogadott minősítéseket, elismert okleveleket ad, valamint az ISACA tagjai számára folyamatosan rendelkezésre bocsát szakmai anyagokat, kiadványokat, könyveket, melyek közül szerintem legfontosabb a COBIT. Az ISACA szervezet szlogenje, egyben a mi mottónk is: Bizalom és értékteremtés az információs rendszerekkel. Mit is jelent ez? A COBIT filozófia része, hogy mi auditorok nemcsak azért vagyunk, hogy ellenőrizzük a rendszereket, hanem hogy hassunk oda, hogy eleve úgy épüljön fel a rendszer, amit lehetőség szerint nem lehet manipulálni, biztonsággal működik. A COBIT nagyon sokat segít a szakembereknek abban, hogy a rendszerek tervezésénél már eleve úgy járjanak el, hogy az informatikai biztonsági szempontok teljesüljenek. Célunk az, hogy lehetőség szerint megpróbáljuk megelőzni a problémákat.
„A „fehér” hackereket meg kellene szelídíteni és behozni hozzánk az ISACA egyesületébe” DR. NOVOTNY LÁSZLÓ Dr. Novotny László okleveles gépészmérnök, hegesztő szakmérnök. Bejegyzett informatikai auditor (CISA), valamint mérlegképes könyvelői és a Disaster Recovery Institute által szervezett vizsga révén katasztrófaelhárítási szakértői címmel rendelkezik. Tagja a Magyar Mérnök Akadémiának. Nyugdíjasként saját cégében folytat tanácsadói és informatikai auditori tevékenységet. Az ISACA-ban platinaszintű tagsággal rendelkezik.
Egy könyvvizsgáló tanácsadó cégnél dolgoztam a „rendszerváltás” utáni privatizációs hullámban, mint szoftverkészítő és projektmenedzser. Nagyon sok vagyonértékelést készítettünk itt, s én alkottam meg a kiértékelő szoftvereket is. Annak érdekében, hogy munkánk során informatikai biztonsági szempontoknak is megfeleljünk, felvettük a kapcsolatot az amerikai ISACA elődszervezetével az EDP Auditor Associationnel. Olyan szakkönyveket kaptunk tőlük, ami pontos leírást adott arról, hogyan kellene biztosítani a munkákat, hogy informatikailag is minden rendben legyen, ne sérüljenek sem a személyiségi jogok, sem az adatok. Akkoriban ez a kapcsolatfelvétel főként arra irányult, hogy információkat szerezzünk tőlük szakmai kérdésekben. Eredetileg gépészmérnök vagyok. 1976-ban Angliában ismerkedtem meg az informatikával, saját érdeklődésem miatt keveredtem erre a szakterületére. A kandidátusi értekezésemet írtam, és modellezni kellett egy fáradásos repedésterjedést. Akkor vettem magamnak egy, a személyi számítógépek elődjének számító Spektrum gépet. Egy grafikus program segítségével modelleztem az úgynevezett diszlokáció-elmélettel magyarázható repedésterjedést. Nagyon nagy sikere volt ennek, hogy egy ilyen kis gépen ilyen eredményt lehetett elérni. 1982-ben csináltam ezt a programot, s felhasználtam a kandidátusi dolgozatom elkészítéséhez is. Akkor szerettem bele az informatikába, programoztam is egy ideig. A programozás területén tett kirándulásom után egy nemzetközi könyvvizsgáló tanácsadó céghez kerültem. Ott találkoztam egy olyan emberrel, aki már tagja volt az ISACA-nak, ő tanácsolta, hogy lépjek be, és tegyem le a CISA-
vizsgát. Dr. Borda József volt az elnök. A vizsgával kapcsolatban nekem szerencsém volt, mert nagyon jól tudtam angolul és már előzőleg végeztem informatikai auditokat. Mindig élveztem ezt a munkát, próbáltam új módszereket bevezetni az informatikai audit területén. Rengeteg hibát fedeztünk fel. Volt olyan eset is, amikor komoly, nagy logisztikai cég rendszerében és biztonságpolitikájában katasztrofális hiányt fedeztünk fel, s a cég nem volt hajlandó lépéseket tenni a kijavítására. Később ez a cég bebukott, fel is számolták őket. Az ISACA az auditálás alapjait tette le, hiszen ez a tanfolyam nagyon sok olyan kérdést vetett fel, aminek utána kellett nézni. Folyamatosan böngésztem a szakirodalomban, rengeteg szakkönyvet is kaptunk. Nagyon gyorsan fejlődött a technika és informatikabiztonsággal foglalkozó szakembereknek mindig lépést kellett ezzel tartani. Akkor is voltak számítógépes hálózatok, csak nem olyan fejlett módszerekkel építették ki, így sok mindent nem lehetett ellenőrizni. Én még emlékszem, hogy a hálózatok olyan biztonsági réseket tartalmaztak, ami ma már elképzelhetetlen. A biztonsági réseket természetesen mindig megtalálják, a napokban is kiderült, hogy az egyik közismert, és általánosan használt dokumentumkezelő programba be lehet illeszteni olyan scripteket, ami saját magától letölt egy fájlt az internetről, amely kárt okozhat. Ilyen esetekben nem is számítanak az emberek a támadásra. Nem is feltétlenül vírusok okoznak kárt, elég egy „trójaifaló-program”, ami kis programokat visz be a gépbe. Ezek a programok elrejtőznek, majd összegyűjtik az információkat a hitelkártyáról, jelszavakról, s végül elküldi az információkat 23
a program készítőjének. Az informatikai auditornak éppen ezért naprakésznek kell lennie az irodalomban. Az új támadási formákra föl kell készíteni azokat a partnereinket, akik megbíznak minket. A kezdetek kezdetén nem gondoltam volna, hogy idáig fog fajulni a helyzet a hackertámadások kapcsán. Annak idején egy konferencián tartottam egy előadást, aminek az volt a címe, hogy „Állítsuk meg a hackereket!”. Nagyon sokat foglalkoztam ezzel a kérdéssel és összegyűjtöttem a témával kapcsolatos irodalmat. Meg kell mondanom, hogy még mindig vannak olyan hackertámadások, amik már évekkel ezelőtt működtek és a napjainkban is ugyanezeket használják. Például az emberek azt hiszik, hogy biztonságban vannak, ha a dokumentumaikat jelszóval védik. Léteznek – nekem is van – olyan fizetős programom, ami egyszerűen megmondja a jelszavakat. Naivitás lenne azt hinnünk, hogy a hackerek nem használják ezeket a programokat. Egy érdekes esetet elmesélek ezzel kapcsolatban. Egy cég honlapjára hackerek törtek be. Először csak otthagytak egy figyelmeztetést, majd másodszor is megismételték, és kiírták a honlapra, hogy „Vigyázat ez egy nem biztonságos honlap!”. Meg is határozták, hogy hol kellene javítani rajta, de nem figyeltek oda rájuk. Harmadik alkalommal, amikor még mindig nem javítottak a rendszeren semmit, közzétették a cég ügyfeleinek jelszavait. Ebből országos botrány származott. El is kapták a hackereket, és bírósági ügy lett belőle. Az egyik hacker édesanyja engem ismert, és megkeresett, hogy adjak egy szakvéleményt. Fölmentették a végén a hackereket két ok miatt. Az egyik ok az volt, hogy akkoriban még nem volt megfelelő törvényi tényállás a cselekedetükre, másodszor pedig a szakvéleményem miatt, aminek a lényege az volt, hogy a hackerek arra próbálták meg felhívni a figyelmet, hogy tegyék biztonságosabbá a rendszert. Később az ebben a támadásban résztvevő hacker segített nekem hozzáférni a levelezőrendszeremhez, amihez egy vírustámadást követően nem fértem hozzá. Minden legális utat kipróbáltam, még a szoftvergyártót is megkerestem a probléma megoldása érdekében. A sikertelen próbálkozásokat követően a hacker percek leforgása alatt hozzáférhetővé tette a teljes levelezésemet. A mai tizenévesek sokkal jobban értenek a számítástechnikához mint mi, eközben nekünk kellene ellenőriznünk, 24
hogy hogyan tudnak ők betörni egy rendszerbe. Nekünk folyamatosan mindent figyelnünk kell, és ha ők lépnek egyet, nekünk is lépni kell. Ők hamarabb lépnek, ez a baj. Nagyon sok hacker nem rosszindulatú, viszont, sajnos, így is nagyon sok kárt tudnak okozni, mert az ő módszereiket a rosszindulatú hackerek is fel tudják használni. Vannak „fehér” és „fekete” hackerek. A „fehér” hackerek csak a technikával próbálnak lépést tartani, próbálják felderíteni azt, hogy hol vannak a hibák, a lehetőségek. A „fekete” hackerek – sokszor nem is a saját ötleteik alapján – de kitalálták, hogyan lehet rombolni, kárt okozni. Az ő módszereikkel szemben nagyon erősen kellene fellépni. A „fehér” hackereket meg kellene szelídíteni és behozni hozzánk az ISACA egyesületébe. Ezt kellene tennünk. A jövő a folyamatos versenyfutásról fog szólni, nem tudom, hogy ezt meddig lehet még fokozni. Hosszú múltra tekint vissza a vírusírás. Az első vírusoknál a képernyőn elkezdtek potyogni a karakterek: makrovírusok, primitív vírusok korszaka volt ez. Most olyan vírusokat csinálnak, hogy sokszor a legfrissebb vírusölők, vírusvizsgálók sem ismerik fel, mert már a morfológiájukat megváltoztatva alakulnak át, mint a tényleges biológiai vírusok esetében, megpróbálnak a környezethez adaptálódni. Régebben találtunk úgynevezett „ujjlenyomatot” víruslenyomatot, annak alapján a vírusvizsgáló be tudta azonosítani. A mostaniak eltüntetik a lenyomatokat, mert amire már végigfut a vírusvizsgáló, megváltoztatja önmaga a kódját. Most ezeket az önmegváltoztató mechanizmusokat kell megtalálni az új vírusvizsgálóknak a rendszerekben. A rosszindulatú kódokkal foglalkozó komolyabb cégek naprakészek, amint kijön egy probléma, megpróbálnak még aznap valami ellenszert találni. A trükkök erősödni fognak, az auditoroknak pont ezért az egyik legnagyobb feladata, hogy az emberek tudatosságát segítse elő. Az emberek még mindig nem fogták fel, hogy mekkora értéke van az adatvagyonnak. A legtöbb cég nincs felkészülve egy lehetséges természeti vagy ipari katasztrófára. De az átlag-ember gépén tárolt információknak sincs biztonsági mentése. Ha a szakemberek nem hívják fel a figyelmet az információbiztonságra, annak komoly következményei lehetnek.
„Életem legjobb befektetése volt a CISA-vizsga” DR. SZENES KATALIN CISA, CISM, CGEIT, CISSP 1998 óta az ISACA nemzetközi Quality Assurance Team tagja, részt vesz az amerikai CISA Review Manual évenkénti frissítésében, közreműködött az ISACA COBIT módszertana felújításában, a COBIT 5 projektben. A Bankszövetség Informatikai Biztonsági Munkacsoportjának 2002 óta, a HTE Számítástechnikai Szakosztályának 1984 óta alapító vezetője. A European Organization for Quality Informatikai Szakbizottság elnöke. Az Óbudai Egyetem Neumann János Informatikai Karának oktatója.
Elméleti szinten azzal foglalkozom most, hogyan lehet az informatikai biztonság és ellenőrzés módszereit a vállalatok irányításában használni. Rá kell vezetni az üzleti vezetőket arra, hogy a informatikai biztonsági beruházások hosszú távon igenis kifizetődőek, üzleti téren is megtérülnek. Meg kell mutatni az informatikai biztonság előnyeit, és itt nem csak a technikai eszközök pozitívumaira gondolok. Ezzel kapcsolatban gyakran mesélek el a diákjaimnak egy történetet. Amikor egy bankba kerültem informatikai biztonsági vezetőként, az akkori helyzetet pontosan felmérve nagyon sok mindent szerettem volna megcsináltatni és megvenni, melyekre pénzügyi okokból azonban nem volt lehetőség. Úgy gondoltam, hogy ezek a beruházások szükségesek mind az ügyfelek, mind a bank számára. Az egyik felsővezető rá is kérdezett, hogy minek bővíteni az amúgy is nagy számú technikai eszközöket. Elkezdtem kifejteni neki ezen lépések és beruházások fontosságát, külön kitérve a különböző technikai eszközök feladataira. Hibáztam, mert informatikabiztonsági érvekkel próbáltam meggyőzni egy közgazdászt, ahelyett, hogy azt magyaráztam volna el, hogy ezen eszközök beszerzése és üzembehelyezése, milyen üzleti hasznot hoz a bank számára hosszútávon. Később azonban egy új üzleti szolgáltatás, az internetbank bevezetése kapcsán, a bank mégis támogatta a korábban javasolt beruházások és fejlesztések elvégzését. A történet tanulsága az informatikai rendszerekkel foglalkozó szakemberek számára az, hogy az informatikai biztonsági
beruházások kapcsán fontos megértetni az érintett cég vezetőivel, hogy a fejlesztés nem csupán technikai biztonsági szempontból szükséges, hanem jelentős profitot jelent hosszú távon a vállalkozásnak. Azt hiszem, ez fontos tanulság minden szakember számára. 1998-ban ismertem meg az ISACA szervezetét, teljesen véletlenül. Elkerültem egy biztonsági céghez, ahol egy katasztrófatervet kellett készíteni egy vállalkozásnak − akkor még így hívták az üzletmenet-folytonossági tervet. Ott találkoztam az első CISA-vizsgával rendelkező auditorral. Ezzel az eseménnyel körülbelül egy időben, találtam meg a Neuman János Számítógép-tudományi Társaság hírlevelében, hogy lehet jelentkezni egy ilyen tanfolyamra. Bár jelentős anyagi kiadással járt, jelentkeztem. Azt szoktam mondani, hogy életem legjobb befektetése volt a CISA-vizsga, nagyon megérte, mind anyagi, mind erkölcsi szempontból. Nagyon nagy dolog, hogy azzal foglalkozhatom, amit szeretek. 1971-ben egyetemista koromban kezdtem el számítástechnikával foglalkozni több mint negyven évvel ezelőtt. Karrierem elején rendszermérnökként dolgoztam, később rendszerszervező lettem. Az informatikai biztonsághoz jól jön mind a két szakterület ismerete. Nagy szerencsémnek érzem, hogy 1998-ban találkoztam az informatikai biztonsággal, azóta már tanítom és publikálok is a témából. Az auditálásnál fontos szempont, hogy mindig az adott intézmény stratégiai céljait tartsuk szem előtt, és érvényesítsük azokat a vállalat informatikai támogatása során. Elmé25
leti matematikus szakon végeztem. Ebben a tudományban, ha valaki ismer egy kiinduló axiómarendszert, akkor szinte bármit be tud bizonyítani, persze csak akkor, ha elég ügyes hozzá. Az élet viszont nem ilyen. Nem mondhatjuk semmire sem biztosan azt, hogy biztos. Mi csak hozzájárulunk ahhoz, hogy jobb legyen. Elsődlegesen a vezetőség feladata döntést hozni és mérlegelni azt, hogy ez most megéri vagy nem éri meg neki. Az ISACA mint szervezet fórumot biztosít a problémák megbeszéléséhez és érdekvédelmi közösséget teremt az informatikai ellenőrzéssel foglalkozó szakemberek számára. Régebben az ISACA Hungary Chapter szervezte a CISAtanfolyamot, melyen én 1999 óta tartok előadást, elsősorban az üzletmenet-folytonosságról és a támadások elleni védelemről, valamint az utóbbi időben a szolgáltatások minőségéről is. Néhány évvel ezelőtt született meg a döntés azzal kapcsolatban, hogy az ISACA nem a saját szervezeti keretein belül, hanem külső intézményeknél kívánja lefolytatni a vizsgázást. Az egyik hely, melyre a döntés esett az Óbudai Egyetem volt, és én nagyon büszke vagyok erre. Az előző félévben a jelentkezők 42%-a teljesítette a vizsgát, ami nagyon szép arány tekintetbe véve annak nehézségét. Ez egy amerikai típusú vizsga, ahol rövid idő sok kérdést kell megválaszolni. A CISA-tanfolyamot tulajdonképpen mindenkinek ajánlom, aki számítástechnikával foglalkozik, de azoknak is, akik munkájuk folyamán fokozottan használják a számítógépeket, könyvelő cégek alkalmazottaiknak, könyvvizsgálóknak, banki szolgáltató cégeknek. A CISA-vizsga egy olyan 200 kérdésből álló teszt, amely nagyban alapoz a jelentkező informatikai tapasztalatára, persze, ellenőri tudásra is szükség van. Ez éppen a CISA-tanfolyam anyaga. Angol nyelvű vizsga, ami nemzetközi minősítést ad, de nem tartozik az egyszerű vizsgák közé, nagyon magas követelményeknek kell megfelelni. Előnye viszont, egyedülálló tudásra tesz szert, aki elvégzi. Nagyon nagy a kereslet a CISA- és a többi ISACAvizsgával rendelkező szakemberek iránt idehaza és külföldön egyaránt.
26
„Az ISACA-t egy irigylésre méltóan koherens szervezetnek tartom” CSÁKVÁRI PÉTER Csákvári Péter 1995 óta tagja az ISACA-nak, korábban szoftverfejlesztőként, könyvvizsgálóként dolgozott, 20 éve vezetési tanácsadó. A Vezetési Tanácsadók Magyarországi Szövetségének elnöke, trustee és Magyarország képviselője az International Council of Management Consulting Insititutes tanácsában, a Magyar Szabványügyi Testület tagja. A Menedzsment tanácsadói kézikönyv társszerzője, a Budapesti Kommunikációs és Üzleti Főiskola tantárgyvezetője, az IIA Certified Internal Auditor képzésének oktatója és több kockázati, vezetési és pénzügyi képzés előadója.
Könyvvizsgálatokkal foglalkoztam az 1990-es évek első felében. Akkoriban az információbiztonságnak a fő területét a vállalati beszámolók biztonsága képezte. Informatikai múlttal is rendelkeztem. Úgy szoktam fogalmazni finoman, hogy előző életemben fejlesztő voltam. Ebből helyzetből adódott, hogy komolyabban kezdtem el foglalkozni információbiztonsággal. Dr. Borda József, az ISACA akkori elnöke vett rá engem arra, hogy tegyek egy kísérletet a CISA minősítés megszerzésére. Hallgattam rá, és jelentkeztem a tanfolyamra. A CISAvizsgát életem legnehezebb vizsgái között tartom számon a megszerzése, azaz 1995 óta. A múltkor összeszámoltam körülbelül 170 vizsgát tettem le életemben az összes egyetemi és mindenféle például KRESZ-vizsgát is beleértve. Ezek közül magasan veri a mezőnyt a CISA minősítés megszerzése. Nekem például még soha nem volt olyan érzésem egy vizsga megszerzése után, hogy teljesen üres fejjel jöttem volna ki. A CISA-vizsga esetében megtapasztalhattam ezt az érzést is, mert minden a papírra került, amikor kijöttem a következő 24 óra foglalatosságai közé tartozott a fejem újraszervezése, ugyanis ezen a vizsgán teljesen kiürült. Nagyon nehéz volt, ez azért is érdekes, mert 1995-ben még elégé mások voltak a problémák az információbiztonságban. Ha belegondolunk, hogy most merrefelé összpontosul az információbiztonság, akkor 1995-ben ennek a je-
lentős része még nem létezett. Például a vizsgán az internet szóba se került, erre pontosan emlékszem. Akkor az internet még éppen hogy csak fel volt találva, még egyáltalán nem volt központi kérdés. Néztünk is akkoriban, mint újdonsült és papírral rendelkező szakemberek, nem értettük mi sem, hogy miért ez a nagy felhajtás körülötte. Emlékszem, sokszor felmerült a kérdés bennünk mi változna attól, ha ös�szekötünk pár számítógépet, nevetnem kell, ha eszembe jutnak ezek a részletek a múlttal kapcsolatban. Természetesen, most már úgy gondolom, hogy pár számítógép összekötésétől megváltozik egy jó pár dolog… Az információbiztonság rengeteget fejlődött, több szakterületet érintő tudománnyá alakult. Az ISACA egyesülete szervez szakmai összejöveteleket, ami szerintem az egyik legerősebb pozitívuma. Szakmai fórumot biztosít tagjainak a szakmai kérdések megvitatására, de megmondom őszintén, ez nem az a mélység, amire ahhoz lenne szükség, hogy az ember a saját szakterületében elmélyedjen. Ez nem azt jelenti, hogy ezeken az eseményeken az ember nem jut új információhoz. Természetesen, rengeteg új dolgot lehet ilyen összejöveteleken hallani. Arról van szó, hogy ad egyfajta rálátást a szakmára, megerősíti a vélekedéseinket, emellett felhívja az ember figyelmét olyan dolgokra, amikre nem gondolt a saját szakterületén kívül. Én magam tanácsadóként definiálom magam, és nem informatikai auditorként. 27
Ez a tudomány interdiszciplináris és így értelemszerűen jó tudni, hogy például az én szakterületem határain vagy akár azokon túl is, mik az aktuális problémák. Jó tudni, hogy kihez lehet fordulni, jó tudni, hogy mik az irányok. Tehát a kapcsolati tőke az mindenképpen az előnye egy ilyen szakmai fórumnak, az ISACA amúgy is egy jó csapat – csapatjáték szempontjából volt egy rossz korszaka néhány évvel ezelőtt – de abból a szempontból igenis jól működik, hogy megpróbálnak a tagok szakmai dolgoknak az előremozdítása érdekében tevékenykedni. A szakmai fórumok esetében említésre méltónak tartom a budapesti ISACA által szervezett EuroCACS nemzetközi az IT-kockázatokkal, IT-biztonsággal, IT-audittal foglalkozó szakemberek és vezetők konferenciáját. A nemzetközi ISACA közel 30 éve rendezi meg minden régióban a CACS azaz Computer Audit, Control and Security konferenciáit. Ezek egyértelműen a világ vezető szakmai konferenciái. 2010ben Budapesten három nap során több mint 40 előadás tartottak. A konferencia előtti és utáni napokban további hét workshop volt. Nagyon jól sikerült, lenyűgözően professzionális volt a szervezés. Ezt nem elfogultságból mondom, van összehasonlítási alapom, mert a Vezetési Tanácsadói Szövetség úgynevezett világtanácsának eseményein én képviselem Magyarországot. Mivel ezen a területen dolgozom, rengeteg szakmai rendezvényen veszek részt. A Vezetési Tanácsadók Magyarországi Szövetségének én vagyok az elnöke, így egy másik hasonló szervezet példáján látom, hogy micsoda különbségek tudnak lenni szervezetek működőképességében, tudásmegosztásában, közös irányban és célokban és ilyen szempontból én az ISACA-t egy irigylésre méltóan koherens szervezetnek tartom, amiért köszönet illeti meg az elnökség jelenlegi és korábbi tagjait.
28
A COBIT MAGYAR NYELVŰ MEGJELENÉSE FORDÍTÁSI MUNKAFOLYAMATOK DR. MOLNÁR BÁLINT Dr. Molnár Bálint 1981-ben végzett az Eötvös Loránd Tudományegyetem matematikus szakán. Tudományos doktori fokozatát a 1997-ben Budapesti Műszaki Egyetemen szerezte. Jelenleg a Budapesti Corvinus Egyetem docense. Az ISACA Hungary Chapter egyetemi kapcsolatokért felelős bizottság tagja. 1994-ben Neumann János Számítógép-tudományi Társaság Kalmár László-díjban részesítette.
A COBIT tulajdonképpen audit és informatikai irányítási ipari szabvánnyá nőtte ki magát, általános érvényű és elfogadott szabványt nyújt a megfelelő informatikai biztonsági és kontrollgyakorlatra vonatkozóan, hogy támogassa a vállalat vezetőségét a szervezet megfelelő szintű informatikai biztonságának és kontrolljának meghatározása és monitorozása terén. Az 1990-es évek végén indította el a COBIT sorozatot az ISACA amerikai szervezete. A Control Objectives for Information and Related Technology rövidítése a COBIT. Első két kiadvány elsősorban az információrendszer-ellenőröknek és -auditoroknak szólt. A harmadik kiadás, mely Vezetői útmutató (Management Guidelines) alcímet kapta, a vezetésnek az informatikai kontrolljára és mérhetőségére vonatkozó igényét elégíti ki olyan eszközöket adva a menedzsment kezébe, amelyek segítségével a COBIT által meghatározott 34 informatikai folyamathoz viszonyítva értékelheti, és mérheti a szervezet informatikai környezetét. A COBIT magyar nyelvű fordítását Dr. Borda József valamint Nyíri Géza kezdeményezte, megjelentetésével azt a célt tűztük ki, hogy az auditorok kezébe adjunk egy olyan útmutató készletet, amivel el tudják végezni a munkájukat. Az ISACA amerikai szervezete szorgalmazta, hogy a COBIT magyar nyelven is megjelenjen annak érdekében, hogy minél több szakembert lehessen megszólítani. Szakmai lektorként kapcsolódtam be a COBIT magyar nyelvű kiadásának elkészítésébe. Másfél évig tartott csak a
lektorálás, többéves munka volt a fordítással együtt. Három évig tartott mire eljutott odáig, hogy nyomdába lehetett adni. Sok időt vett igénybe, és igen komplikált feladat volt átültetni a magyar nyelvbe a COBIT-ot, mert különböző tudományágaknak, tudományterületének szókészletét kellett összehangolni, mint például informatika, vállalatirányítás és -szervezés, valamint a vezetés tudománya. A legnehezebb feladat a szakmai szakkifejezések, a szakmai terminológia megteremtése volt magyar nyelven. Nagyon kevés ember dolgozik informatikai üzemeltetésben, fejlesztésben, különböző fejlesztő-üzemeltető csoportok irányításában vezetőként. Tehát nehéz volt ilyen embereket találni, akik szakmabeliek voltak, márpedig szakmai szöveget fordítani csak az tud idegen nyelvről − adott esetben angolról −, aki tisztában van a szakma rejtelmeivel. Itt nemcsak fordítani kellett, hanem, amint említettem, értelmezni is, mert rengeteg olyan szakmai kifejezést tartalmazott a COBIT 4, aminek még nem volt magyar megfelelője. Ebből kifolyólag olyan emberek tudására volt szükség, akik interpretálni is tudtak a fordítás mellett. A szakkifejezéseket az előbb említett probléma miatt, nem nyelvészek ültették át magyar nyelvbe, hanem mi játszottunk a szavakkal. Ezek a szavak, szakkifejezések az angol, illetve amerikai nyelvterületeken dinamikusan alakultak ki. Szótár, szócikk értelmezése sem segítette a fordítók dolgát, hiszen annyira új volt egy-egy kifejezés, hogy a legtöbbnek 29
magyar megfelelője még nem jött létre. Ezért történnek olykor félrefordítások, mert még a magyar fordítás nem terjedt el a gyakorlatban. Sokszor a konfliktus, nem is a szó, vagy a kifejezés, hanem a mondat szintjén jelent meg a szövegkörnyezetben. Például a „buy out” vagy „buy in” kifejezés igen kétértelmű, mert ha a szövegkörnyezetben nagyvállalatról van szó, akkor ez utóbbi bevásárlást, előbbi ellenséges kivásárlást jelent, de az amerikai informatikai szakzsargonban csak annyit jelent, hogy a vállalat vezetői egy adott ötletet, megvásárolnak vagy sem. A COBIT-hoz szükséges szókészletet az ismeretterjesztő (szakmai bulvársajtó szintű), műszaki, informatikai, gazdasági tudományos szaksajtóból sajátítottuk el, amelyek az információrendszerek, az informatikai rendszerek ellenőrzésének, biztonságának és auditálásának tudományos igényű feldolgozásával foglalkoztak. Folyamatosan kell a különböző informatikai jellegű publikációkat olvasni − ha nem is olyan mély tudományos munkákat − hogy az ember értse, kövesse, és használja is a technológiát és a terminológiát. Hosszú viták során alakultak ki, nem is mindig tökéletesek ezek a kifejezések. Sokan részt vettek a fordításban az ISACA vezetéséből és a tagok közül, akik hajlandóak voltak közreműködni. Különböző szószedeteket készítettünk. A legtöbb problémával járó fordítási nehézségeket olyan szavak okozták, mint például „mainframe”, azaz a nagy számító központ. Nagyon kevesen ismerték ezeket a szakkifejezéseket, amik pedig már legalább 30 éve a magyar nyelv részévé váltak. A 80-as években már kialakult a szakmai terminológia. A másik ilyen problémás terület az volt, ahol a menedzsment (a vezetés, a szervezés) és az informatika érintkezett. Más a vállalatirányítás kifejezéshalmaza, és másképp értelmeznek szavakat, mint ahogy azt az informatikában használják. A szó más jelent az adott környezettől függően, és ez konfliktust okozott, mert a COBIT jelentős része a vállalat, és az informatikai funkció vezetési területeivel, és a felsővezetés feladataival foglalkozik. Mást jelentenek egyes kifejezések az informatikában, informatika irányításában és a vállalat irányításában. Ezek voltak a főbb konfliktust generáló területek. Az ISACA már a COBIT előtt is készítettek úgynevezett szabványokat, sztenderdeket angol nyelven megfogalma30
zott útmutatókat. Ezek tartalmazták az auditálás szempontjait, általános etikai szabályokat a speciális területeken. A COBIT mellett tovább élnek ezek az anyagok. Az alapok a nemzetközi, USA-beli általános könyvvizsgálati szabályok, sztenderdek. Az ISACA ezekre építve fejlesztett ki útmutatókat. A COBIT magyarországi kiadása után, mint tananyag a budapesti Corvinus Egyetemen tanított információrendszer-ellenőrzés (audit) tárgyba is bekerült az egyetemi oktatásban használható része, de használják belső ellenőrök, sőt a Kormányzati Ellenőrzési Hivatal (KEHI) honosította is, azaz az informatikai biztonság területén az ellenőrzés kézikönyvévé tette. Az Állami Számvevőszék is elkezdte használni a közigazgatási információrendszer-ellenőrzésekre vonatkozóan mint auditálási módszertant, így elterjedt a kiadvány a közigazgatásban is. Nagyon sok nagyvállalatnál is megjelent az ellenőrzési, auditálási gyakorlatban. A COBIT-nak nagyon jelentős szakmai informatikai szerepe van a magyar számítástechnika történtében. 2003-2004-ben jelent meg magyarul, azóta elkészült egy újabb a negyedik verzió, aminek lektorálásában szintén részt vettem. A COBIT 4 még ma is aktuális, ugyanakkor már készül az új verzió, mely 2012ben fog megjelenni angol nyelven. Az informatika legfontosabb nyelve az angol, Magyarországon viszont nagyon nagy jelentőséggel bír egy ilyen fordítás. Így a kiadvány szélesebb körben is elterjedt, nemcsak szakemberek, hanem például bankok, pénzügyi intézmények is elkezdték használni. Beszivárgott az informatika különböző területeire is, már nemcsak az auditorok vették kézbe. Nagyon érdekes folyamat az, ahogy kialakult a jelenlegi gazdasági, társadalmi, információtechnológiai, informatikai környezet. Ma már az üzleti, piaci, gazdasági és egyéb társadalmi folyamatok nagy része a számítógépen történik, az internet összekapcsolja a gépeket és kialakult egyfajta szinergia. A rendszerek rendszere, az internet, a világháló egy számítógéptől indulva − aminek alkotó eleme az egyszerű homokban megtalálható szilícium (Si) − az informatikai, távközlési hálózatokon keresztül kiépült és folyamatosan fejlődik. A világot átfogja a kommunikációs és informatikai rendszer. Az egyedi számítógépből, mint egyszerű elemből,
kialakult egy gazdaságot és politikai életet befolyásoló rendszer. Nagyon komplex rendszer épült fel a számítógépekből; mindenhol jelen van, kikerülhetetlen, viszont ennek a rendszernek az alapját nem arra találták ki, tervezték meg, hogy biztonságosan működjön. Arra tervezték, hogy megbízhatóan működjön akkor is, ha egy katasztrófa következik be és elpusztul a hálózat, továbbá az alkotóelemek, csomópontok nagy része is. Ez volt az akkori informatikai biztonságnak a célkitűzése, de senkinek nem jutottak olyan biztonsági kérdések eszébe, amik ma tulajdonképpen gondot okoznak. Olyan szituáció alakult ki, mint Verne Gyula Utazás a Holdba című regényében, ahol az egyik ember építi a nagy ágyút a másik pedig a hozzáigazított páncélt, és természetesen versenyezve próbálják egymást túllicitálni, vagyis a másik rovására, akár a másik munkájának feláldozásával védeni meg a saját céltárgyat. A jövőben nem is fog változni a helyzet. A technológia fejlődik folyamatosan, viszont az informatikai biztonságnak nemcsak a technikát kell figyelembe vennie, hanem a működtető szervezetet, és ezért egy komplett szocio-technológiai rendszerként kell rá tekinteni. Ezért jó, hogy vannak olyan független szervezetek – pl. ISACA –, akik folyamatos kontrollal ellenőrzik az informatikai rendszereket, igyekeznek kivédeni a lehetséges veszélyeket.
31
FENNTARTHATÓ LÁTHATATLANSÁG DR. DVORNICSENKÓ JÁNOS ELTE TTK-án 1978-ban végzett. Doktori disszertációját 1981-ben védte meg, ebben az évben végzett a SZÁMALK rendszerszervezői szakán. Az 1980-as években megszervezte és vezette az ELTE Általános Gazdaságföldrajzi Tanszéken az informatikai oktatást. 1995-1996-ban a Londoni Chartered Institute of Bankers szervezésében Management in Banking, Accountancy és Capital Management vizsgákat tett. 2000-ben CISA minősítést szerzett. 1978 és 1990 között több területen (vízügy, környezetvédelem) volt tudományos munkatárs, később informatikai vezető. 1990 óta pénzintézetekben controlling és informatikai vezetői feladatokat látott el. 1998 óta munkatársa a PSZÁF informatika felügyeleti főosztályának, jelenleg vezető informatikai felügyelő. Számos hazai és nemzetközi pénzügyi informatikai biztonsági rendezvényen, szemináriumon tart előadást.
Az ISACA nemzetközi szervezetét az Amerikai Egyesült Államokban alapították 1967-ben. Repülőgépgyárban dolgozó, informatikai rendszerek biztonságával és auditálásával foglalkozó személyek vették észre ennek a szükségességét, amikor szembesültek a szakterületükön felmerülő problémákkal. 1969-ben Stuart Tyrnauer a Douglas repülőgépgyár alkalmazottja jegyezte be az egyesületet EDP Auditors Association néven, melynek az alapítást követően három éven keresztül volt elnöke. 1976-ban az egyesület átalakult alapítvánnyá, melynek elsődleges célja az oktatás volt. A „Számítástechnika” című magazinból értesültem az ISACA Hungary Chapter (akkor EDPAA) megalakulásáról. Az alapítást követően az úgynevezett „második hullámban”, 1992-ben léptem be. Az ELTE Természettudományi karán végeztem. Tanulmányaim befejezése óta folyamatosan informatikával foglalkozom. Különböző szakterületi alkalmazási kitérők után végül a pénzügyi szektorban helyezkedtem el. Már ezekben az időkben lehetett látni, hogy a szakmában többről van szó, mint programozásról és üzemeltetésről. Üzleti adatok és az emberek személyes adatai, megtakarításaik is bekerülnek bizonyos adatbankokba, tehát felmerül ezek biztonsága, hitelessége és védelmének a fontossága. Az ISACA szervezete – amit akkor még EDP Auditor Associationnak hívtak – már ezzel a területtel foglalkozott. Az ISACA egyesületének névváltoztatása mögött az áll, 32
hogy nemcsak számítógépes adatbankokat ellenőriznek, hanem a kapcsolódó komplett informatikai rendszereket. Ahhoz, hogy ez megvalósuljon eszközök és tudásbázis kellenek, ki kell alakítani egy komplett, a menedzsmenttől az ellenőrzésig kiterjedő módszertant. Szükséges a szervezeti keret, mert egyedül nem lehet kivitelezni és karbantartani, globális összefogás kell. Ma már több mint 160 országban alapították meg az ISACA tagszervezeteit. Tagjai kizárólag magánszemélyek és folyamatosan tartják egymással a kapcsolatot a különböző szakmai fórumokon. Nemzetközi és országos konferenciák mellett kisebb szakmai találkozók, szemináriumok is helyet kapnak. Az alapítás éveitől kezdve az ISACA Budapest Chapter összejöveteleket szervez kéthetente, melyeken mindig különböző, aktuális problémákkal foglalkozó előadások hangzanak el, jelenleg a Pénzügyi Szervezetek Állami Felügyelete által rendelkezésére bocsájtott teremben. A nemzetközi események közül említésre méltónak és a Budapest Chapter munkája elismerésének tartom a 2002-ben és 2010-ben hazánkban megrendezett ISACA EuroCACS konferenciákat. Nagyon színvonalas rendezvény volt mind a kettő. A nemzetközi konferenciákon önkéntes segítőként magam is részt vettem. Szakterületem a pénzügyi rendszerek informatikai biztonságának felügyelete, különös tekintettel a vonatkozó, pénzügyi tárgyú törvényekben foglalt előírásokra és PSZÁF által
kidolgozott módszertani útmutatókra. 1998-ban kerültem a Pénzügyi Szervezetek Állami Felügyeletéhez (akkor még ÁPTF). Nyíri Géza ISACA alapító tag hozta létre - és sokáig vezette - azt a szervezeti egységet az 1990-es évek végén, ami a PSZÁF-on belül, az informatikai biztonság témakörével foglakozik mind a mai napig. Feladata a teljes pénzügyi szektor ellenőrzése, valamennyi, a PSZÁF által felügyelt hitelintézet, biztosító, nyugdíjpénztár, pénzügyi vállalkozás és befektetési szolgáltató vizsgálata. Ágazati törvények írják elő 1996-tól az információbiztonsági követelményeket. Ez nagyon fontos dolog, mert a világon kevés hely van, ahol törvény írja elő a pénzügyi rendszerek információbiztonsági szempontjait, azt, hogy tulajdonképpen a felügyelt intézmény milyen követelményeket teljesítsen. A törvények alapján és az ISACA COBIT-módszertan filozófiáját követve kialakítottunk egy saját módszertani ajánlást, amit publikálunk az interneten magyar és angol nyelven egyaránt. Az ISACA által kiadott magyar nyelvű COBIT-verzió megjelenését a PSZÁF is támogatta. A COBIT egy olyan útmutató, nyílt szabvány, amely nem különálló informatikai részterületeket tárgyal, hanem folyamatokban, rendszerekben gondolkozik. Ezért rendkívül jól használható a gyakorlatban. Pénzintézetek esetében, mondjuk egy egyszerű tranzakció vonatkozásában is kimondhatjuk (például, bankkártya, internetbank), hogy többnyire globális folyamatról van szó, ami rendkívül szerteágazó, és nemzetközileg is több közreműködőt feltételez. Egyrészt azért, mert több ember munkája van mögötte, másrészről rendkívül szofisztikált informatikai rendszerek támogatják a működést. Ezzel kapcsolatosan feltehető a kérdés. Volt itt Magyarországon a PSZÁF által felügyelt intézményeknél, pénzügyi rendszerek esetében a szolgáltatásokat az „ingerküszöb” fölött akadályozó informatikai probléma? Kimondhatjuk, hogy erre ezidáig szerencsére nem került sor, nem volt ilyen jellegű probléma. Hogy miért nem? Általánosságban kijelenthető, hogy csak akkor ismerjük meg valaminek a működési rendszerét, ha botrány van körülötte. Ha nincsen gond, akkor nem is tudunk arról, hogy itt igen komplikált és ös�szetett informatikai rendszerek működnek, amiket emberek terveztek meg, emberek dolgoznak rajta, emberek felügyelik a működését. Azért nem tudunk róla, mert jól működik,
mert a háttérben nagyon komoly munka folyik, hogy ne legyen semmi probléma. Önerejéből, csendesen működik. Nem látványos, mert nem hagyjuk, hogy gond legyen körülötte. Persze, másik oldalról, nagyon sok múlik az „ügyfeleken”, a pénzügyi infrastruktúrát saját informatikai eszközeikkel használó embereken. A saját eszközeik informatikai biztonságát csak ők tudják védeni (például: Internet-kávéházban ne végezzünk banki átutalást!). Az informatika és információbiztonság tudatosságának az erősítését az emberi tényezőkre koncentrálva, rendkívül fontos dolognak tartom. Jó érzéssel tölt el, hogy a nem kívánt információbiztonsági incidensek elkerülése végett az ISACA már kivette részét a tájékoztatási felelősség vállalásából és a jövővel kapcsolatos célkitűzései közé tartozik az információbiztonság tudatosságának növelése. A rendszeres oktatás szervezése már kezdetét vette. Remélem, az ISACA-közösség a továbbiakban is összetart, tovább erősödik, és botrányoktól mentes, észrevétlen, azaz jó munkát fogunk tudni végezni. Célunk az, hogy ezt a fajta láthatatlanságot a továbbiakban, a jövőben is fenntartsuk. Ha az emberek nem veszik észre a munkánk folyamatait, akkor az azt jelenti, hogy jól dolgozunk.
33
LYUKKÁRTYÁTÓL A FELHŐRENDSZERIG TAKÁCS ANDRÁS CISA, CISM Takács András okleveles villamosmérnök, mérnöki tanulmányait a Budapesti Műszaki Egyetemen végezte. Szakmai munkáját az ORION gyár mikrohullámú fejlesztésén kezdte 1968-ban, majd angol és német nyelvvizsga megszerzése után 1971-ben az INFELOR rendszertechnikai vállalatnál helyezkedett el, mely akkoriban a hazai számítástechnika egyik meghatározó műhelye volt. Ettől kezdve kötelezte el magát a számítástechnika és informatika irányába, szakmai munkáját ma is, nyugdíjasként informatikai szakértőként végzi. Az informatikai rendszerek ellenőrzéséhez a számítógépek és rendszerszoftverek üzemeltetése során megszerzett, elsősorban hardverközeli tapasztasztalatai nyújtottak alapot. 1990-ben a SZÁMALK rendszerszervezői szakján végzett, ahol a szervezés világába nyert gyakorlati betekintést. A CISA minősítést 2004-ben, a CISM minősítést 2005-ben szerezte meg.
Sokáig nem kerültem közvetlen kapcsolatba az ISACA egyesületével, de már 1971-ben az INFELOR rendszertechnikai vállalatnál megismerkedtem az ISACA későbbi elnökével, első számítógépes főnökömmel, Nyíri Gézával. Fiatal mérnökként a szovjet gyártmányú Minszk számítógépeken kezdtem, melyeken az adatbevitel még lyukszalagról történt. Az INFELOR telephelyei szétszórtan voltak Budapesten, mi a legendás Május 1. Ruhagyár Elnök utcai épületének negyedik emeletén dolgoztunk. Elvárt volt az 5 és 8 csatornás lyukszalag, valamint a lyukkártya olvasásának, gyakorta javításának képessége. Akkoriban a Budapesti Műszaki Egyetemen még nem volt számítástechnikai képzés, így én és a csapatom, hasonlóan más műhelyek szakembereihez, autodidakta módon sajátította el az informatika rejtelmeit. Érdekes kihívás volt! Megkaptuk egy-egy gép részletes műszaki leírását, dokumentációját a gyártó nyelvén, ezek alapján végeztük a munkánkat. A gépek a kor technológia szintjének megfelelően sokszor meghibásodtak, ezért azoknak, akik ezekkel foglalkoztak minden egyes kis alkatrészt pontosan ismerniük kellett. A gépekkel való kommunikáció sem a ma ismert módon történt. Közvetlen fizikai kapcsolat alakult ki a gép és az ember között. Az erőforrások szűkössége miatt mély műszaki ismeretekre és programozói leleményre egyaránt szükség volt az eredményességhez. Jó iskola volt ez a számítógépes 34
alaptudás megszerzéséhez. Egyik dolog csak az alaptudás, az egyes – gyakran teremnyi méretű gépek – használatához, javításához folyamatos továbbképzésre volt szükség. A berendezésekhez csak az adott géptípusra specializálódott csapat értett. Éppen ezért nagy váltás volt számunkra az Államigazgatási Számítógépes Szolgálatnál 1976-ban üzembe állított, terminálhálózattal rendelkező, korszerű Honeywell Bull nagyszámítógépes (mainframe) rendszer mellett dolgozni. A gépek üzemeltetésének támogatása mellett kiegészítő fejlesztéseket végeztünk, részben az akkortájt megjelenő mikroprocesszorok és az azokon alapuló eszközök felhasználásával, így a ma ismert személyi számítógépek megjelenése sem ért váratlanul. A technológiák nagyiramú fejlődése, a meglévő eszközök avulása, a gazdaságosság előtérbe kerülése világossá tette, hogy az iszonyatos erőforrást – energiát, helyet, személyzetet – igénylő berendezések kora lejárt. Ezzel párhuzamosan megjelent az a tévhit, hogy akár egy személyi számítógéppel „mindent” meg lehet oldani. Hazánkban ez a nagy számítóközpontok fokozatos megszűnéséhez vezetett. A mikroprocesszoros világ és a „nagy gépek” közös korszakának vége számomra egybeesett a rendszerváltással. Egy magáncég, a Microsystem Kft. új vevőszolgálati részlegének kialakítását és vezetését kaptam feladatul. A 90-es évek elején országos hálózatokat építettünk ki pénzintézeteknek, vállalatoknak. Az akkor megjelenő munkanélküliség
kezelésére kialakított munkaügyi központok informatikai rendszerét telepítettük. Ezt követően egy nemzetközi multinacionális cég munkájában vettem részt, ahol a napi teendők mellett műszaki biztonsági és informatikai projektek fejlesztésében is dolgoztam. Visszatekintve látszik az, hogy akkoriban még az informatikai biztonsági kérdések egy részét ösztönösen oldottuk meg. 2004-ben, a CISA-vizsgára való felkészülés közben döbbentem rá, hogy az informatikai biztonság alapelveinek jelentős része a „nagygépes” időszakban kialakult szokásokból jött létre, például a különböző ellenőrzési módszerek az adatbevitel, feldolgozás folyamata valamint az eredmény ellenőrzése során, beleértve a tűzvédelmi rendelkezésektől a munkabiztonsági szabályok ismeretének fontosságáig. Ezekkel – ha nem is ilyen rendszerezetten – már mind foglalkoztunk a „nagygépes” korszakban is. Amikor elterjedtek a személyi számítógépek az intelligencia a zárt számítóközpontokból az íróasztalra került. Sokkal mostohább biztonsági körülmények alakultak ki, ezért egyre nagyobb szerepet kapott az adatok és információk védelme, az informatikai biztonsági események kezelése. A nagyobb vállalatok egyre több számítógépet kezdtek el használni. Egyre nehezebb volt gondoskodni a sok-sok különálló gépen keletkezett információ megosztásáról, az eszközök megfelelő működéséről, ezért az eszközöket hálózatba kötötték, kialakult a kliens-szerver architektúra. Ezzel ismét felértékelődött a szaktudás szerepe, a különböző erőforrásokat egyszerre kellett kezelni, ezért az erőforrásokat egy helyre telepítették: fizikailag egy szekrénybe, szobába, épületbe, ugyanakkor az asztali gépeket megpróbálták, minél inkább uniformizálni az egyszerű, biztonságos kezelhetőség érdekében. A központosított eszközök kihasználtságának javítása, és nem utolsó sorban az üzembiztos működés szükségessége volt az a katalizáló folyamat, amely a virtuális rendszerek megjelenéséhez vezetett. Ugyanez a folyamat ment végbe az adattárolókkal is. A világháló fejlődése, az informatikai erőforrások koncentráltabb kihasználása, a fenti technológiai folyamat vezetett el ahhoz, hogy ma már bármikor, bárhol, bármilyen informatikai szolgáltatást igénybe lehet venni. Ez a cloud computing, vagy számítási felhő lényege.
Visszatérve a vizsgára, a CISA-minősítés megszerzése nem könnyű, igazi kihívás. Egyrészt a vizsgafelkészüléshez nagyon jól kell tudni angolul, sok kérdést kevés idő alatt kell megválaszolni, másrészt szakmailag is nagyon felkészültnek kell lenni. A CISA-vizsga előkészítő tanfolyamán nagyon jó kollégákra leltem, akikkel a mai napig tartom a kapcsolatot. A tanfolyam kezdetekor léptem be az egyesületbe. Az ISACA egy nagyon jó szakmai fórum, különösen a mai világban, ahol egyéni karrierek épülnek, és ennek következtében nem alakulnak ki úgy közösségek, mint korábban. Jellemzi az egyesület tagságát, hogy szakmailag összetartó, a tagok bármikor felkereshetik egymást szakmai tanácsokért, hiszen mindenkinek van egy szakmai területe, amihez jobban ért. Az információk megosztásával tudjuk segíteni egymást. Minden hónap második szerdáján találkozunk egy előadás, továbbképzés keretében, melyet egy vita követ, emellett rengeteg rendezvényt és konferenciát szerveznek. Nagyon érdekes volt a legutóbbi ISACA 20 éves jubileumi kongresszusa, az előadások igazán kitűnőek voltak. Különösen azok az előadások, amelyek napjaink két leginkább említésre méltó kihívását célozták meg, a mobileszközök elterjedését és az emberi tényező – social engineering – kezelésének előtérbe kerülését. Komoly biztonsági kihívást jelent a számítási felhőre való csatlakozás, hiszen az igénybe vevőnek ismerete sincs arról, hogy milyen módon éri el a vállalata rendszerét, vagy egy közösségi szolgáltatót, és hogy az így kezelt adatai a világ mely pontján tárolódnak. Napjainkban is a leggyengébb – vagy a legerősebb? – láncszem az ember. Az emberi lelemény gyakran túljár a gép „eszén”, megtalálja a szabályozott folyamatok gyenge pontjait. Néhány évtizedes szakmai tapasztalatom mondatja velem, hogy mennyire fontos egy olyan világszervezet, amely hivatásának tekinti, hogy az informatikában a minőségi munkavégzés és az informatikai rendszerek biztonságos működése felett őrködjön, a módszertani kiadványok folyamatos aktualizálásával és a világszerte egységes követelményeken alapuló szakmai képzés segítségével.
35
Kirner Attila a pódiumon
Szabolcs András előadást tart
ISACA előadás
A belga ISACA elnöke tanfolyam után
36
„Amíg lélegzünk, addig tanulunk…” VISZT ÉVA CISA AUDITOR Szegeden a József Attila Tudományegyetemen végzett 1964-ben matematika szakos középiskolai tanár – matematikus szakon. A KFKI-ban részt vett a TPA számítógép alapszoftverének kifejlesztésében, ezért a munkáért a munkacsoport tagjaként Intézeti Díj II. fokozatában részesült. A SOTE-n – többek között – analóg biológia jelek feldolgozására szolgáló szoftver kidolgozásán dolgozott, amelyért egészségügyi miniszteri dicséretet kapott. Informatikai belső ellenőr volt a Postabankban, informatikai vezető felügyelő a PSZÁF-nél. Jelenleg nyugdíjas és a ProCons Kft.-ben dolgozik mint vezető szaktanácsadó.
1993-ban, háromévi kintlét után, hazaköltöztem Németországból, és nem volt munkám. Úgy éreztem, szoftverfejlesztőként az ifjúsággal már nem tudom felvenni a versenyt, valami mást szerettem volna dolgozni. Sokáig kerestem munkát, végül egy banktól kaptam ajánlatot informatikai belső ellenőri feladatra. Akkor még keveset tudtam arról, hogy mit jelent az informatikai ellenőrzés, auditálás; de elképzelésem volt. Szerencsémre felvettek. Pénzügyi ellenőrökkel dolgoztam együtt, és kezdtem világos képet kapni az ellenőrzési szakmáról. Elkezdtem szakirodalmat olvasni, hogy az informatikai specialitásokat is megismerjem. Viszonylag korán rátaláltam az ISACA egyesületre. Munkahelyem támogatása mellett beléptem az egyesületbe, amelynek most már aranyszintű tagja vagyok és rögtön be is iratkoztam a CISA-tanfolyamra. Végzettségem szerint matematikus vagyok. Szakmai pályafutásom során már sok mindent meg tudtam tanulni, addigra már az informatikai ellenőrzésben is volt tapasztalatom, ezért úgy gondoltam, hogy a CISA-vizsgám is meglesz, ha a rendelkezésünkre bocsátott anyagot alaposan megtanulom. Dr. Borda József az ISACA akkori elnöke tartotta az előadásokat. A tanfolyam első óráinak egyikén elmondta, hogy a statisztikák azt mutatják, hogy a fiatalabb korcsoport jobban veszi az akadályokat és ők könnyebben leteszik a vizsgát, mert jobban tudnak angolul és hozzá vannak szok-
va a teszt típusú vizsgákhoz. Statisztika ide vagy oda, nekem elsőre sikerült a CISA-vizsgám. Nagyon jó befektetésnek bizonyult a tanfolyam, mert 2001-ben a Pénzügyi Szervezetek Állami Felügyeletéhez CISA-minősítésű informatikai auditorokat kerestek. Jelentkeztem, felvettek, és eltöltöttem ott hét rendkívül jó és érdekes esztendőt. A vizsga letételével nem lehetett a továbbképzéssel megállni. A CISA minősítés fenntartása ezt meg is követeli. Ennek érdekében nagyon fontosnak tartom az ISACArendezvényeken való részvételt és az ISACA-kiadványok figyelemmel kísérését. Több ISACA-rendezvényen vettem már részt, ezek közül a legnagyobbak a két budapesti és a bécsi EuroCACS konferencia volt. Rendkívül érdekes előadásokat hallgattam végig a londoni Info-Security konferenciákon is. Legutóbb ezen az eseményen egy nagyon jó kockázatmenedzsment programot mutattak be, amiből profitálni is tudtam, mert jelenleg az informatikai kockázatok elemzésével foglalkozom. A konferenciákon az előadásokat és a bemutatókat részesítem előnyben, a workshopokat, amelyek nagyon hasznosak, én kevésbé szeretem, mert azok követése – az életkor előre haladásával együtt járó lassulás miatt – számomra nemcsak angolul nehéz, hanem magyarul is. Ezt a hátrányt azonban le lehet győzni. Az ISACA-ban helye van nemcsak a fiataloknak, hanem az idősebbeknek is, mindazoknak, akiket az informatikai auditálás, az informati37
kai biztonság, az informatikai vezetés kérdésköre érdekel. Itt lehetőség van arra, hogy a szakma fejlődését folyamatosan figyelemmel kísérjük, és ne rekedjünk meg egy esetleg már túlhaladott szakmai szinten. Életem folyamán többször újratanultam a szakmát, hozzá vagyok már szokva az állandó képzéshez és szívesen csinálom is. Az ISACA tagjaként minden hónapban kapunk az amerikai szervezettől egy nemzetközi magazint. Nagyon szeretem, mindig átnézem, mert rálátást ad a legújabb trendekre és nem utolsó sorban ezzel is próbálom magam fejleszteni. Különösen az informatikai kockázatok elemzésével és kezelésével kapcsolatos cikkeket olvasom szívesen, mert – mint már említettem – most ezzel a témakörrel foglalkozom. Jelenleg – nyugdíjasként - egy vezetési tanácsadó cégnél dolgozom, ahol az informatikai kockázatok felmérésére, elemzésére és kezelésére vonatkozó módszertan és a kapcsolódó program kidolgozása a feladatom. A kollégák tapasztalatai alapján összegyűjtjük a lehetséges informatikai kockázati események adatbázisát, amely a továbbiakban minden munkatársnak rendelkezésére áll, amikor a helyszíni informatikai kockázatfelmérést és elemzést végzi. Nagyon szívesen csinálom ezt a munkát. Két év alatt sikerült kifejlesztenünk egy jól működő rendszert, a kockázati események adatbázisát pedig folyamatosan bővítjük, javítjuk. Megpróbálom átadni a kollegáimnak mindazt a tudást, amivel én rendelkezem. Persze, ez a munkatársak között kölcsönös folyamat. Ha valami kérdésem van, a kollegáim segítenek, de bátran fordulhatok az ISACA-tagokhoz is szakkérdésekkel. Az egyesület egyik legnagyobb előnye az, hogy ismerjük egymást és ezek nem csak felszínes kapcsolatok. Az egyesület tagjaihoz tényleg bármikor fordulhatok, ha szakmai kérdésem van. Szinte mindegyik „havi második szerdán” ott vagyok, amikor összejövünk, és egymás előadásait hallgatjuk, a hallottakat megbeszéljük. Úgy érzem, hogy az elmúlt néhány évben, amióta Kirner Attila vezeti az ISACA-t, az egyesület nagyon jól működő szervezetté vált. Az egyesületben sokféle dolgot csinálunk együtt. 2011-ben az egyesület Szabolcs András vezetésével egy hazai átfogó információbiztonsági felmérés előkészítésén dolgozott, abban én is részt vettem. A felmérés elkészült és eredményeként egy hasznos és érdekes tanulmány született az ISACA által 38
képviselt négy szakmai területre vonatkozóan: informatikai audit, informatikai biztonság, informatikai irányítás és informatikai kockázatkezelés. Az egyesület nagyon komoly rálátást ad a szakmára, hiszen minden témakörben találunk valakit, aki a terület jó ismerője és tud segíteni, ha szükséges. Nekem az a véleményem, hogy az auditálás nem frissen végzett szakembereknek való, mert nincsen meg a szakmai tapasztalatuk. Az, aki nem üzemeltetett komoly informatikai rendszert, nem fejlesztett, nem volt biztonsági adminisztrátor vagy adatbázis adminisztrátor, nem lesz jó auditor sem. Az auditálást azoknak ajánlom, akiknek van már néhány éves munkatapasztalatuk más informatikai területeken. Az ISACA nemcsak az auditoroké, az egyesületbe várunk mindenkit az informatikai vezetőktől a különböző informatikai területen dolgozó legfiatalabb szakemberekig, és mindnyájan megkapják munkájukhoz a szükséges támogatást, segítséget. Amikor én az informatikával kezdtem foglalkozni, az egészen más világ volt. Egyetemi tanulmányaimat 1964-ben fejeztem be és az akkori nagy számítógépeken kezdtem el dolgozni. Ezeken a gépeken lyukszalagos és ma már legfeljebb csak múzeumban látható mágnesszalagos egységek voltak. A gépek mérete teremnyi, kapacitásuk a mai személyi számítógépek töredéke volt. Akkor nem gondoltam volna, hogy az én életem alatt ennyit fog fejlődni az informatika. Még 25 éve sem sejtettem, hogy a 21. század elejére gyakorlatilag mindenkinek az asztalán számítógép lesz és a mindennapokban ilyen fontos szerepet fog betölteni. Nem sejtettem, de nagyon örülök neki, hogy így történt.
EUROCACS 2010 DR. BARTÓK SÁNDOR P., RÓTH DÉNES Dr. Bartók Sándor P. CISA, igazságügyi informatikai szakértő és infokommunikációs szakjogász Jelenleg leginkább cégében, a “BSP & Partners”-ben dolgozik. 1998-tól tagja az ISACA-nak, és a CISA mellett CGEIT és CRISC minősítésekkel is rendelkezik. A Chapter munkájába már korán aktívan bekapcsolódott, és közel egy évtizedig dolgozott alelnökként. Eközben a Program Committee csapatnak is tagja volt, illetve 2009-2010-ben annak vezetőjeként szervezte a már második budapesti EuroCACS-et. Róth Dénes CISA, CMC, jogi szakokleveles mérnök, igazságügyi informatikai szakértő, az informatikai kockázatkezelési tanácsadással és audittal foglalkozó Proteus Consulting társtulajdonosa és vezető tanácsadója. 1997 óta tagja az ISACAnak, 2003-tól önkéntesként működött közre az egyesület munkájában, 2007-2011 között elnökségi tagja, 2010-ben a EuroCACS Partnering Chapter Committee vezetője.
„I wanted to take this opportunity to thank you, the task force and all of the volunteers for all of your hard work and support of the EuroCACS Conference. I can honestly say that it was a true pleasure working with each and every one of you. I have been on staff at ISACA for many years and worked with many chapters and the level of proactivity that you and the team showed was truly amazing. I know that the ISACA staff and I truly appreciated all of the efforts put into the marketing of the program, the identification of sponsorships, the coordination of volunteers and the completion of the on-site activities for the conference. We left feeling that the conference was successful and complete. That is truly a result of the hard work and dedication shown by your team. Please share our sentiments with the volunteers and task force members. They deserve applause for their efforts.” (Catherine Vijeh, Senior Manager of Meetings Administration, ISACA – 2010. április 10. ) Ez a dicséretekkel nem fukarkodó köszönő levél volt a lezárása a 2010-es év sikertörténetének, a EuroCACS budapesti megrendezésének. De hol és hogyan kezdődött ez a
sztori, mi kellett ahhoz, hogy a végén ilyen kedvező mérleget lehessen vonni? Az előtörténet röviden: az ISACA 1971-ben rendezte meg a legelső CACS-et azaz Computer Audit, Control and Security konferenciát, amely 1986 óta minden évben Európában is megrendezésre kerül. A volt szocialista országok számára az áttörést a 2002-es év jelentette, amikor Budapest nyerte el a rendezés jogát és végre először láthattunk be a szervezés és lebonyolítás kulisszái mögé. Az a munka, aminek eredményeként 2010-ben végül másodszor is mi lehettünk a házigazdák, lényegében a 2002-es konferencia befejezésének pillanatában megkezdődött. Nem egyszerű feladatba vágta a fejszéjét a Chapter akkori vezetése, élén Borda József elnökkel: a hagyományosan visszatérő helyszínnek számító London, Zürich, Frankfurt vagy Amsterdam mellett nem sok esély látszott arra, hogy belátható időn belül ismét mellettünk döntsön az ISACA központja. A helyszín kiválasztása hosszú, sok szempontot mérlegelő folyamat, amelynek végén az ISACA nemzetközi vezetése hozza meg a végső döntést. A megfelelő szálloda, a logisztikai szempontok (pl. konferencia termek száma és mérete), a 39
város megközelíthetősége (központi fekvés, repülőjáratok), a várható költségek, az adott régióból várható résztvevők száma mind-mind befolyásoló tényező. A 2010-es budapesti helyszín végül azért lett a Kempinski, mert bár az ISACA rendezvényszervezői elégedettek voltak a 2002-ben ezt a szerepet betöltő budapesti Intercontinentallal, de ez utóbbi szállodában állandó válaszfallal kettévágtak egy termet, és így már nem állt rendelkezésre a szükséges befogadó képesség. Számtalan ilyen mellékesnek tűnő körülmény befolyásolta a végső – számunkra kedvező – döntést. De ne szaladjunk ennyire előre. A sikeres pályázathoz mindenekelőtt folyamatosan a döntéshozók fejében kellett tartani, hogy a budapesti helyszín milyen jól vizsgázott 2002-ben. Az évek során több kisebb nemzetközi ISACA konferencia, tréning lebonyolításával bizonyította a Chapterünk, hogy nem csak egyszeri fellángolás volt a 2002-es sikeres EuroCACS-rendezés. Közben tovább folyt a nemzetközi lobbizás, később már a Chapterünk következő elnöke, a néhai Nyíry Géza vezetésével. Sokat támogatást jelentett az is, hogy Bartók Sándor P. (BSP) személyében a EuroCACS-konferenciák szakmai programját összeállító bizottságban is képviseltettük magunkat. A vezetők nemzetközi találkozóin, konferenciákon, vagy akár a már említett budapesti rendezvényeken minden alkalommal újra és újra szóba hozták a Chaptert képviselő vezetőségi tagok, hogy szívesen adnánk otthont ismét a EuroCACS-nek. A konferencia előtt másfél évvel született meg a döntés: a 2010-es EuroCACS ismét Budapesten, a magyarországi Chapter közreműködésével kerül megrendezésre. A feladatok egy része sikeresen lezárult, de csak azért, hogy új embereknek és új feladatoknak adja át a helyét. Ekkor kapcsolódott be a szervezésbe Róth Dénes, akit a Chapter elnöksége a helyi szervezőbizottság (Partnering Chapter Committe) vezetőjének jelölt és így már ketten, az időközben a nemzetközi Program Committee vezetőjévé választott BSP-vel kezdhették meg az előkészületeket. Míg BSP a lehetőség szerint minél több magyar előadó szerepelését próbálta meg elérni, a helyi szervezőbizottság feladata első sorban a konferencia népszerűsítése, marketing kampány kidolgozása és a sajtómegjelenés megszervezése volt, emellett az önkéntesek munkáját is mi koordináltuk. 40
A soron következő EuroCACS konkrét szervezése már az előző EuroCACS-en megkezdődik. Így történt, hogy 2009 márciusában, a frankfurti konferencia alkalmával megtörtént az első egyeztetés Cathy Vijeh-hel, az ISACA rendezvényekért felelős vezetőjével. A következő hónapok során összeállt a helyi szervezőbizottság, szponzorokat, kiállítókat kerestünk, marketing kampányt bonyolítottunk, a közelgő konferencia híre megjelent a sajtóban. Közben alakult a program is, véglegessé vált, hogy a mindig nagy érdeklődésre számot tartó megnyitó előadást Némethy Dániel, a K&H Bank informatikai igazgatója fogja tartani. A konferencia előtt néhány héttel már csak egy nagyobb feladat volt hátra: a helyszíni önkéntesek toborzása és beosztásuk megszervezése. Jelentkezőkben szerencsére nem volt hiány, az önkéntesek koordinálását a helyi szervezőbizottság részéről Klimkó Gábor végezte kiválóan. A helyszíni lebonyolításban résztvevő önkéntesek teljesítménye kiemelkedő volt abban, hogy a bevezetőben idézett, a kötelező udvariassági formulákon messze túlmutató köszönetet kiérdemeljük. Míg az addigi előkészítő munka a résztvevők számára láthatatlan, és még az ISACA-n belül is csak néhány szervezőnek van erre közvetlen rálátása, addig a helyszíni önkéntesekről mindenki tudja, hogy a helyi Chaptert képviselik, rajtuk keresztül ítélnek meg minket. Bár a feladatuk voltaképpen nem nehéz, hiszen azon túl, hogy a konferencia előtti napon közösen egybecsomagoltuk a résztvevők számára a regisztráció során átadandó konferencia csomagot és segédkeznek a regisztrációnál, fő tevékenységük az, hogy az egyes előadások során felkonferálják a témát és az előadót, moderálják az előadó és a részvevők közötti kérdés-válasz kommunikációt, összegyűjtik az előadás végét a résztvevők által kitöltött értékelő lapokat, illetve intézkednek bármilyen technikai probléma esetén. Maga a konferencia 2010. március 21. és 24. között zajlott: négy párhuzamos szekcióban több mint 40 előadás hangzott el az összesen kb. 300 résztvevő számára. Ezen kívül a konferencia előtti és utáni napokban külön workshopok is megrendezésre kerültek. A hagyományosan döntően nemzetközi programban több magyar előadó is érdekes, magas színvonalú előadást tartott. A konferencia talán legemlékezetesebb előadója az Irakból kivonuló brit egységek által
használt mobil infokommunkációs eszközök (és rajtuk lévő bizalmas információk) megsemmisítésének folyamatát mutatta be – tetőtől talpig autentikus skót népviseletben. Közben persze a helyi szervezőbizottság sem unatkozott; Földesi Tamás szó szerint 24 órás ügyeletet tartott: hol a szállásfoglalás nélkül érkező afrikai kollégáknak kellett megfelelő hotelt találni, hol a kerületi rendőrkapitányságon volt szükség tolmácsra, mert sajnos az egyik óvatlan amerikai résztvevő egy klasszikus éttermi lehúzás áldozata lett. Szerencsére ez volt az egyetlen negatív esemény a konferencia ideje alatt. A EuroCACS-ek alkalmával szokásos „Special Evening Event”, amelyre a Vasúttörténeti Parkban került sor, nagy sikert aratott: komoly informatikai auditorok csoportosan mászkáltak egész esete a régi gőzmozdonyok és vasúti kocsik között, csillogó szemekkel, arcukon átszellemült mosollyal. A konferencia, így vele az ISACA és a magyarországi Chapter hírét sikerült eljuttatni a médiába is. Változó terjedelemben, de minden szakmai médium beszámol a EuroCACS-ről. A legjelentősebb sajtómegjelenések az ITBusiness beszámolója, a Gazdasági Rádióban elhangzott 15 perces összeállítás volt, de (még az előkészítés fázisában) a megjelentünk Népszabadság gazdasági rovatában is. Meglátásunk szerint a EuroCACS sikere arra példa, hogy nem „egyéni hőstettekre” van szükség, hanem közös munkával, csapatként együttműködve tud a Chapter jelentős eredményeket elérni. A EuroCACS óta eltelt közel két év során sikerült megőrizni a konferencia szervezési lendületet: a Chapter immár évente kétszer tart egész napos szakmai rendezvényt.
EUROCACS 2010 MAGYAR STÁB: Program Committee elnök: Bartók Sándor P. Partnering Chapter Committee: Róth Dénes (elnök), Földesi Tamás, Kisfaludi Gábor, Klimkó Gábor, Szabolcs András Előadók: Némethy Dániel (keynote), Krasznay Csaba, Ivanyos János, Hágen Erika Önkéntesek: Bán Rita, Biró Gabriella, Biró M. László, Csákvári Péter, Debreczeni László, Dvornicsenkó János, Gyenes Csilla, Hallai Szabolcs, Klimkó Gábor, Kofrán László, Kovács Vilmos Levente, Stéfán István, Sztano Zsolt, Takács Sándor, Tassi Miklós
Írta és szerkesztette: Róth Dénes
41
Dr. Nyíri Géza beszédet mond
Szavazás – Közgyűlés
Születésnapi torta
Dr. Borda József köszöntőt mond a vacsora előtt
42
A TÁRSADALMI FELELŐSSÉGVÁLLALÁS FONTOSSÁGA DR. KISFALUDI GÁBOR Számítástechnikával 29 éve foglalkozik. A Digital Equipment, a Compaq és HP magyarországi leányvállalatainál kereskedelmi és CRM pozíciókban összesen 13 évet töltött el, előtte az Eidgenössische Technische Hochschule (ETH, Zürich) kutatójaként és oktatójként dolgozott. 2001-ben CISA minősítést, Katz Grad. School of Businessben (Pittsburgh, USA) 1993-ban MBA fokozatot, 1987-ben kandidátusi fokozatot szerzett. 2010-től az ISACA Magyarországi Egyesület vezetőségi tagja.
Számomra a legfontosabb, hogy az ISACA Magyarországi Egyesülete olyan professzionális és átlátható rendszerben működjön, ami méltó az információbiztonsággal és audittal foglalkozó szakemberekhez, és megfelel a demokratikus országokban az egyesületekkel szemben általánosan támasztott XXI. századi követelményeknek. Küldetésünk az értékteremtés biztosítása információs rendszerekkel, azaz az üzleti vezetők, informatikai ellenőrök értékteremtő tevékenységének biztosítása napi munkájuk során. Ennek érdekében működtetünk szakmai fórumot, ami az általánosan elfogadott információtechnológiai irányítási elvek hiteles, naprakész, nemzetközi rendszerének kutatását, fejlesztését és terjesztését teszi lehetővé. Egyesületünk hozzájárul ahhoz, hogy az informatikai ellenőrök Magyarországon a jövőben is világszínvonalon tudják végezni munkájukat. A korábbi időszakban a legfőbb hangsúly az oktatáson és a minősítettek számának jelentős expanzióján volt. Ennek következtében egyesületünk tagsága a kezdeti 20 tagról 20 év alatt mintegy a 20-szorosára, több mint 400 főre nőtt. Ez olyan szám, amely alapot ad arra, hogy továbblépjünk az egyesület alapszabályában számunkra célként kijelölt társadalmi elismerés és a mindenkori informatikai irányítás formálása céljának elérése útján. Megtartva a korábbi eredményeket, véleményem szerint ez az a cél, amely az egyesületet egy új, magasabb szintre
emeli, és amely elsődleges lesz az elkövetkezendőkben. Ennek érdekében meg kell találnunk azokat a pontokat, ahol a társadalomhoz illeszkedhetünk. A szakmaiság megtartása mellett egyesületként kivesszük részünket a társadalmi felelősségvállalásból. Módszerünk természetesen nem a közvetlen anyagi támogatás, hanem az, hogy megmutatjuk, miként teremtünk értéket hozzáértésünkkel. Az egyesület küldetésének eszköze a befolyt pénzek hasznos elköltésének maximalizálása. Már harmadik éve támogatjuk a Tüdőér Egyesületet, melynek tagjai igen ritka betegségben szenvedő, az országban szétszórtan élő, és élethelyzetük javítása érdekében a szervezettségre fokozottan rászoruló, súlyosan beteg, jellemzően kiskeresetű emberek. Egyesületünk a saját webtárhelyét és az ott implementált webtechnológiákat bocsátja térítésmentesen rendelkezésükre. Ez valódi szakmai segítség, hiszen a megoldás nem igényel kiadást részünkről, miközben számukra az egyetlen lehetőség arra, hogy fenntarthassák a kommunikációt egymás között és a külföldi társszervezeteikkel anélkül, hogy ez számukra évente néhányszázezer forintba kerülne. Ennek a célnak a megvalósítása érdekében veszünk részt a Nemzetközi Gyermekmentő Szolgálat Safer Internet programjában is. Egyesületünk egyik tagja, Krasznay Csaba vette fel annak az ötletét, hogy vegyünk részt ebben a programban. Remek kezdeményezésnek bizonyult! Rengetegen je43
lentkeztek, hogy megtanítsák pedagógusoknak, gyerekeknek és szülőknek a biztonságos internethasználatot olyan helységekben, amelyek számítástechnikai szakemberekkel kevésbé ellátottak, és amelyekhez az adott jelentkező tagunknak személyes kötődése van. Nagyon örülök annak, hogy már az első napon több mint 20-an jelentkeztek önkéntesnek. Itt megint csak szakmaiságunkkal teremtünk értéket a társadalom számára. A társadalmi felelősségvállalás számunkra az az eszköz, melyen keresztül elismertetjük a szakma és az egyesület létjogosultságát és megfelelő tekintélyt vívunk ki ahhoz, hogy a szakmánkat érintő társadalmi döntéseknél jelen lehessünk. Az egyesületünk tagdíjbevételének egy részét abba a közös nemzetközi alapba fektetjük, amely finanszírozza azokat a kutatásokat, amelyek szilárd, tudományos alapot adnak, és eredményei maximalizálják értékteremtő munkánkat. Az egyesület a tagok egyéni kezdeményezéseit munkával, technikával, kapcsolatokkal és anyagilag is támogatja. Ebben az évben egyesületünk felmérette hazánk vezető nagyvállalatainak és intézményeinek információbiztonsági kultúráját. Itt ötlet alapja az volt, hogy az adatok bizonyosan hitelesebbek lesznek azáltal, hogy a felmérést egy semleges egyesület készíti el. A professzionálisan lebonyolított felmérés egy kiadványban jelent meg, amit az ISACA Magyarországi Egyesülete 20 éves évfordulóján, 2011 végén mutatott be. A felmérés célja az volt, hogy bemutassa az információbiztonsági kihívásokat, és azok kezelésének jelenleg alkalmazott módszereit. A tanulmány összesen 114 céget és intézményt vizsgált elsődlegesen IT-audit, IT-biztonság, ITirányítás, IT-kockázatkezelés szempontból, azaz az ISACA által képviselt négy szakmai területre fókuszált. A kutatás meglepő eredményeket hozott. Ki hinné, hogy 2011-ben a hazai nagyvállalatok negyede még mindig mellőzi az IT-auditot? A hazai IT-biztonsági piacról készült felmérésből az is kiderül, hogy legnagyobb mértékben az eszközlopás illetve a külső behatolási kísérlet fenyegeti a cégeket. Ez a projekt is egyéni kezdeményezésből indult. Először az egyesület alelnöke, Szabolcs András vetette fel, hogy készítsünk egy ilyen kutatást. A vezetőség elfogadta az − eddig nemzetközileg is egyedülálló − ötletet. Az ötlet egyedisé44
gét, a végrehajtás minőségét és a megállapítások fontosságát jelzi mind a társegyesületek érdeklődése a tartalom és a megállapítások iránt, mind pedig az egyesület 2011. évi tevékenységéért a nemzetközi ISACA által odaítélt K. Wayne Snipes-díj. Egy másik, nem kevésbé fontos célunk a folyamatos, minőségi működés biztosítása, tagjaink növekvő arányú bevonása a feladatok kitűzésébe és végrehajtásába. Ennek érdekében megfontolt és a gyakorlatban is kipróbált működési modellre bíztuk, hogy a már megszerzett egyesületi menedzsementi ismeretek és az új, a fiatal szakemberek lelkesedése és energiája folyamatosan emelje a működési hatékonyságot függetlenül attól, hogy éppen ki vezeti az egyesületet, és kikből áll a döntéshozó testület. Úgy vélem, hosszú utat jártunk be már eddig is, és méltán bízhatunk abban, hogy a fejlődés töretlenül folytatódik a kitűzött célok elérése és továbbfejlesztése irányában.
BIZALOM ÉS ÉRTÉKTEREMTÉS AZ INFORMÁCIÓS RENDSZEREKKEL SZABOLCS ANDRÁS 2000-ben végzett a Janus Pannonius Tudományegyetemen jogi szakokleveles közgazdászként. A KPMG-nél SAP szolgáltatásokat fejlesztett, és kivitelezett. The Coca-Cola Export Co.-nál az Egyesült Államokban és a világ 18 országában szerzett tapasztalatot audit, és IT-audit, valamint projekttervezés, és -vezetés területén. Jelenleg független konzulens. 1999 óta tagja az ISACA-nak, 2008 óta elnökségi tag és kincstárnok, 2009-től alelnök, ötletgazdája és kutatásvezetője az Információbiztonsági helyzetkép 2011 felmérésnek.
A véletlen műve volt, hogy az informatikai audittal kezdtem el foglalkozni. 1999-ben a Pécsi Közgazdasági Tudományegyetem végzős hallgatója voltam. Az egyetem utolsó évében kaptam egy ösztöndíjat Amszterdamba, ahol nagyon jól éreztem magam. Hazatérésem után az egyik állásbörzén egy nagy tanácsadócég informatikaiaudit-részlegét éppen egy holland vezető képviselte. Volt közös téma, szóba elegyedtünk. Elmesélte, hogy mivel foglalkoznak, először tőle halottam az informatikai auditálásról. A tanulmányaim befejezése után felvettek ehhez a céghez, ahol három évig dolgoztam. Náluk kezdtem el a CISA-tanfolyamot, amit Dr. Borda József tartott, ezután lettem tagja az ISACA-nak. Hogy mivel foglalkozik az IT-audit? A nagy cégek meglehetősen függnek az informatikától a működési, illetve az adminisztratív folyamataik kapcsán egyaránt. Egy adott cég működése a pénzügyi kimutatásai alapján ítélhető meg. Többek között ez alapján döntenek a tőzsdén a befektetők, hogy kívánnak-e befektetni egy adott cégbe, vagy sem. Ezen kimutatások mindegyike informatikai rendszerekből származik. A könyvvizsgálók azt nézik, hogy ezek a kimutatások számszakilag megállják-e a helyüket, azaz a mérlegben, eredménykimutatásban szereplő adatok fedik-e a valóságot. Az informatikai auditor feladata annak ellenőrzése, hogy a számok megbízható rendszerekből származzanak, melyek nem manipulálhatóak, nem hozzáférhetőek illetéktelen személyek számára. Innen indult és ágazott szét a szakma. A kezdetekben a magyar ISACA talán legfontosabb feladata az oktatás lehetett. Ma már inkább az érdekképviselet
válik hangsúlyossá. Fontos feladatunk a szakma képviselete különböző fórumok előtt. Így többek között véleményezőként részt veszünk a jogszabályok előkészítésében. Jelenleg az állami szervek működésének belső ellenőrzési mechanizmusának kialakításában működünk közre. Sokan azt kérdezik, hogy miért éri meg ennyi pénzért egyesületi tagnak lenni. Az egyik elsődleges szempont a kapcsolati tőke. Az ISACA kiváló terep arra, hogy az ember informálisan tájékozódjon a konferenciákon vagy akár a szerdai találkozókon. A tagok kapnak egy áttekintést a hazai piacról, így akár vevői akár eladói pozícióban vannak, mindenképpen profitálnak. A másik, ami miatt nekem személyesen megéri a szervezetben dolgozni, az az, hogy meglehetősen érdekes vezetői feladat eredményeket elérni egy olyan non-profit szervezet vezetése során, amelyben nincsenek fizetett alkalmazottak, mindenki lelkesedésből végez munkát. Nem csoda, hogy az Egyesült Államokban szinte elvárás egy bizonyos szint felett, hogy rendelkezzen az ember önkéntes munkában szerzett tapasztalattal. Eredményeket pedig sikerült elérnünk. Az megkaptuk a „Best Large Chapter 2012” - K. Wayne Snipes-díjat. Ezt a díjat minden évben a nemzetközi ISACA osztja ki a négy nagy földrajzi régióban összesen három – nagy, közepes és kicsi − kategóriában. K. Wayne Snipes-díj egy meglehetősen megtisztelő cím nekünk. A legjobb tagszervezet díját most sikerült 20 év alatt először megkapnunk. Akik eddig ezt a díjat megnyerték, nagyon sok energiát fordítottak a szervezetek működésébe és nagyon jó eredményeket értek el. Azt 45
hiszem, hogy az elmúlt három évben nagyon sok mindent sikerült megvalósítanunk, és ez nyilván a központnak is feltűnt. Növekedett a tagok létszáma, egyre több szolgáltatást nyújtunk a tagoknak. Az egyik ilyen az évente megrendezésre kerülő magyar ISACA-konferencia. Emellett sikerült egy nagyon nagy sajtóvisszhangot kiváltó információbiztonsággal kapcsolatos felmérést készítenünk. Ez teljesen egyedülálló kezdeményezés volt. A felmérés lényegében az ISACA által képviselt négy szakmai területnek a magyarországi helyzetképét próbálta felmérni. Több mint 140 jellemzően nagyméretű céget kérdeztünk meg egy profi piackutató cég segítségével kérdőíves formában. Arra voltunk kíváncsiak, hogy a cégek hogy hogyan menedzselik az informatikai audit, a kockázatkezelés, valamint az információbiztonsági területeket. Átfogó képet kaptunk, professzionális és hiánypótló munka volt. Komoly sajtóvisszhangja lett a felmérésnek, és felkeltette az ISACA nemzetközi szervezetének is az érdeklődését. Valószínűleg ennek a hatására is a központ létrehozta a research director pozíciót, amire kérnek most delegálni világszinten minden szervezetből egy-egy embert. Nem is értem, hogy miért nem foglalkoztak eddig ezzel. Szerintem ez egy nagyon fontos dolog, hogy ha valóban képviselni akarjuk ezt a szakmát hitelesen. Legalább nekünk kell tisztában lenni azzal, hogy mi az aktuális helyzet, és ezt tovább kell tudnunk adni a cégeknek, szolgáltatóknak, hogy ők is rendelkezzenek egy pontos helyzetképpel, hogy ők is fel tudják mérni, hogy versenytársaikhoz képest hol állnak az iparágon belül. Szerintem ez a felmérés lehetett az egyik olyan dolog, ami kiemelt minket a többi szervezet közül és végül nekünk ítélték oda a K. Wayne Snipes-díjat. Persze, emellett nagyon sok más szempontot is figyelembe vettek Kicsit visszatérve arra, hogy én személyesen hogyan profitáltam az egyesületben végzett munkából, azt emelném még ki, hogy sok értékes embert ismerhettem meg. Kiemelném az elnök urat, Kirner Attilát, aki nagyon komolyan vette a munkáját és önzetlenül az egyesület érdekeit abszolút szem előtt tartva irányította a szervezetet, így ez a díj részben az ő munkássásának is az elismerése. Ez egy abszolút követendő irány a szakmában is és az egyesület életében is. Nekem az egyik nagy tanulság az egyesülettel kapcsolatban, hogy az evolúcióelmélet a gyakorlatban is működő 46
dolog. Minden dolgunk mindig egy picivel jobb lett, mint az előző. Például a megrendezett konferenciákból nagyon sokat tanultunk, és a következő évben már sokkal jobban szerveztünk, így a rendezvény is sokkal jobb, sokkal színvonalasabb lett. Mint minden szervezetnél, az ISACA esetében is a vezetőségen múlik az, hogy hova tud eljutni. Egy jó vezető szervezetének iránymutatást ad, ami előbbre viszi azt. Szerintem a kulcsfontosságú feladatunk, hogy emeljük az ISACA presztízsét, mert így tudjuk bevonni a szakma prominens képviselőit az egyesület vezetésébe. Szerintem ez a szakma és a részterületei, mármint az IT-audit, az IT-biztonság, az IT-irányítás, valamint az IT-kockázatkezelés még nem érte el azt az ideális szintet Magyarországon. Nem sikerült kiharcolnia egy igazán megbecsült pozíciót a legtöbb magyar vállalatban. Sajnos, sok felsővezető csak egy kötelezően kipipálandó költségtételt lát a szakmánkban, aminek persze az is oka lehet, hogy a magyar szakemberek sok esetben nem igazán tudtak a megfelelőség biztosításán túl értékteremtéssel hozzájárulni a cégük eredményességéhez. Dolgoztam négy évig Amerikában és mind a mai napig dolgozom amerikai cégnek is, így elég jó összehasonlítási alapom van. A jövőre nézve abszolút célnak látom, hogy segítsük a szakmát feljebb pozícionálni, illetve utat mutatni az értékteremtésben. Ezt a célt szolgálják többek közt az ez évben alapítandó szakmai díjaink is. Ezek azok a dolgok, ami miatt a jövőben ránk még rengeteg feladat vár. Az ISACA szlogenjét vegyük elő újra és poroljuk le: „Bizalom és értékteremtés az információs rendszerekkel”. Ezt a gondolatot újra kellene értelmeznünk. Eleve sem hiszek abban, hogy létezik olyan pont, ahol nyugodtan hátradőlve, elégedetten állhatunk meg. Szakmánkból kifolyólag ez teljeséggel lehetetlen, hiszen minden technikai újításra reagálnunk kell. A technikai fejlődés meg nem arról híres, hogy egyszer majd csak megáll, és leteszi a lantot. Szerintem ez a folyamatos elégedetlenség az, ami tovább viheti az ISACA-t egy olyan szintre, ahol meg nem is állunk, de legalább jól érezzük magunkat.
ISACA MAGYARORSZÁGI EGYESÜLET 1027 Budapest Horvát u. 14-24. Hungary www.isaca.hu 2012 ELNÖK Kirner Attila PROJECT MANAGER Dr. Kisfaludi Gábor Szabolcs András SZERKESZTŐ Németh Adrienn LEKTOR Németh Ildikó GRAFIKAI TERVEZÉS, SZERKESZTÉS CAT Grafika Bt. Orbán Ildikó www.catgra.hu NYOMDAI MUNKÁK K és V Nyomda Bt. 8900 Zalaegerszeg, Gasparich út. 16.
