Február elején az IRCA 27001 vezető auditor képzésén kisebbfajta szenzációt keltett Brettner Dániel, aki a közismerten “húzós” zárótesztet 100%-ra írta meg. Az ilyen vizsgaeredmények előfordulási gyakorisága pedig nagyjából annyi, mint a Harvard Egyetemen a summa cum laude minősítésnek. Ehhez képest az eredetileg bölcsész végzettségű Brettner Dániel egyáltalán nem tartja magát eminensnek. Mi viszont őt épp elég izgalmasnak találtuk ahhoz, hogy leüljünk vele beszélgetni.
Az Ön munkahelye az adó- és zárjegyeket, okmányokat előállító ANY Biztonsági Nyomda Nyrt., így nem igazán meglepő, hogy az információbiztonság területén szerzett vezető auditor képesítést. Hogyan került erre a területre?
Pályámat a fizikai biztonság területén kezdtem. Azután az IT biztonság – ami nem összekeverendő az információbiztonsággal – kezdett el érdekelni, úgyhogy minősített etikus hekker lettem, azaz a jó oldalon állva az informatikai rendszerek gyenge pontjait teszteltem. Egy idő után valami tágabb szemléletű területre vágytam, ekkor jött szembe az információbiztonság. Ez a fordulat akkor következett be az életemben, amikor az ANY Biztonsági Nyomdához kerültem. A nyomdánál két évet töltöttem el, mialatt folyamatosan képeztem magam, több szabvány mellett ISO 27001 vezető auditori képesítést szereztem, hogy az ellenőrzési oldalt is megismerjem, és tavaly január óta az információbiztonsági szervezetet vezetem.
Ez volt az első szabvány, amelyre auditor “jogosítványt” szerzett?
Nem. Ami csak elérhető volt a témában, azok közül szinte mindbe belekóstoltam. Korábban ISO 31000-es (kockázatmenedzsment), ISO 22301-es (üzletmenet-folytonosság menedzsment) és ISO 27035-ös (incidensmenedzsment) képesítéseket is szereztem.
Szóval tudáshalmozó?
Abszolút. A biztonságnak rengeteg aspektusa van: fizikai, logikai, adminisztratív és mindegyik területnek megvan a maga specifikus szabványa, követelményrendszere, amelyekbe minél mélyebben ássa bele magát az ember, annál holisztikusabb képet kap a nagy egészről, az információbiztonság teljességéről.
Habár ma már nincsenek polihisztorok ezen a területen (sem), a célom mégis az, hogy anélkül, hogy technikai szakértő lennék, részletekbe menően értsem az összefüggéseket. Ez az oka, hogy az utam a fizikai biztonságtól az etikus hekkerségen át idáig vezetett.
AZ IRCA vezető auditor képzés egészen friss élmény. Még sokáig fogják Önt emlegetni, mert azért az nem gyakori, hogy valaki 100%-os zárótesztet írjon ISO 27001-ből. Mindig kitűnő tanuló volt?
Áh, nem. Csak abból a tantárgyból voltam jó, ami érdekelt. Így maradt energiám a számomra fontos dolgokra.
Ekkora információbiztonsági rálátással mit adott, mit adhatott Önnek az IRCA képzés? Volt újdonság vagy inkább a meglévő tudás összefésülésére számíthatott?
Nagyon sok újdonságot kaptam ettől a képzéstől. Az pedig, hogy egykori mesterem, a 2019-es ISO 27001-es vezető auditori képzésemen oktató Kapitány Sándor volt most is a tanárom, őszinte örömmel töltött el.
Sándor igen nagy tudású előadó, aki rengeteg módszertani ismeretet adott át a hozzám hasonló, a felkészítési és működtetési oldalon jártasságot szerzett, de a többéves auditálási tapasztalatot még nélkülöző résztvevőknek.
Ennyi tapasztalattal mennyire számított Ön “bezzeg” tanulónak a csoportban?
Semennyire. Nem is ez volt a lényeg. A bemutatkozási körben igyekeztem a kellő szerénységgel és alázattal felvázolni, hogy ki vagyok.
Az információbiztonságon belül van olyan szegmens, amivel még nem foglalkozott? Egyáltalán, innen még van tovább?
Olyan terület, amivel még nem foglalkoztam, nincs, olyan viszont, amiben még nem mélyedtem el kellőképpen, számtalan van. Ahogyan tökéletes biztonság sincs, de törekedni kell rá, az új ismeretek megszerzésére és a megszerzett tudás fenntartására is folyamatosan törekedni kell. A megszerzett ismereteket, és persze az IRCA vezető auditori képesítésemet a főállásom mellett a magán vállalkozásomban – ahol felkészítőként és auditorként segítem a cégeket – is kamatoztatni tudom.
Most különösen az üzletmenet-folytonosság és a kockázatmenedzsment érdekel. Már csak azért is, mert a tendenciákat megfigyelve úgy tűnik: a standardok is dinamikusan változnak. Vannak halványodó fényű szabványok és ezzel párhuzamosan új, feltörekvő irányítási rendszerek jelennek meg. Utóbbira példa a hazánkban még kevésbé elterjedt autóipari információbiztonsági rendszer, a TISAX, de az ISO 22301-et (üzletmenet-folytonosság) is említhetném. Én ezekben a nagy jövő előtt álló szegmensekben látok potenciált.
Hol van, hol lesz ebben az Ön helye?
A szabvány 5.1-es pontja a vezetői elkötelezettséget írja körül. Itt látok még sok tennivalót azért, hogy egy vállalatvezető számára – tisztelet a kivételnek – egy működő irányítási rendszer többet érjen egy megszerezhető papírnál.
A szakterületemre lefordítva ez azt jelenti, hogy minél jobban törekedni kell a biztonság sérülékenységét okozó tényezők kiiktatására és arra, hogy az információbiztonságot közelebb hozzuk az üzleti oldalhoz. Általánosságban megfogalmazva: az a célom, hogy a biztonság valós tartalom legyen.
