Vad är viktigt att tänka på kring IT-säkerhet?

Det är hög tid att vi börjar behandla IT-säkerhet som en process

Som Computer Sweden i måndags avslöjade har miljontals samtal till 1177 Vårdguiden legat på en öppen server på internet under flera år. Kylarna på Ica ligger vidöppna på internet. Nära 400 personers personuppgifter har röjts av Stockholms stads IT-leverantör Tieto. FRA varnar för cyberhot – privata företag utan skydd…

IT-säkerhet, ett ämne lika fascinerande som skrämmande. Säkerhet handlar om långt mycket mer än dataintrång och hackarnätverk. I en värld bestående av nya hot måste verksamheter vara flexibla och beredda på att anpassa sig efter en ständigt förändrande omgivning. Ett aktivt säkerhetstänk är inte bara en tillgång – det är en nödvändighet.

För nästan 20 år sedan myntade Bruce Schneier, en internationellt erkänd IT-säkerhetsanalytiker en fras som skulle visa sig visionär i IT-säkerhetsbranschen: ”säkerhet är en process, inte en produkt.”

I artikeln från april 2000, ”The Process of Security”, klagade den nuvarande säkerhetsrådgivaren till IBM på att verksamheter fokuserade på helt fel saker utifrån ett IT-säkerhetsperspektiv. Han skrev att verksamheterna lade allt sitt fokus (och delvis hopp) på att kunna köpa den perfekta IT-säkerhetsprodukten direkt från hyllan. Men redan då kunde Schneier påvisa en grundläggande brist i detta produktorienterade tankesättet. Han visste att det inte fanns något sådant som perfekt IT-säkerhet – speciellt inte när man adderar mänskliga fel i ekvationen.

Enkelt uttryckt: det spelar ingen roll hur starkt säkerhetsgallret är på våra fönster om vi glömmer att låsa dörren när vi åker på semester och drabbas av inbrott, det är processen, inte produkten som är orsaken till säkerhetsöverträdelsen.

Det är därför Schneier hävdade att vi bör fokusera mer på säkerhetsprocesser. Till skillnad från produkter, kan processer vara fulländade, eller åtminstone förbättrats till en acceptabel risknivå. Detta för att upptäcka, skydda och åtgärda säkerhetsluckor.

19 år senare: vissa saker har förändrats. Andra har inte.

Vad Schneier dock inte visste för nästan 20 år sedan är hur mycket mer sårbara verksamheterna skulle bli mot cyberhot. Dagens verksamheter skiljer sig väsentligt mot hur verksamheterna såg ut vid millennieskiftet. För 20 år sedan brukade medarbetarna nästan alltid arbeta i kontrollerade företagsmiljöer och på kontrollerade företagsdatorer. Denna ”slott och vallgrav”-strategi innebar att de mest känsliga uppgifterna kunde bevakas och säkerställas bakom företagens brandväggar. Men inte längre. Dagens medarbetare förväntar sig flexibilitet, att kunna arbeta på resande fot, att kunna arbeta på sitt favoritkafé eller annat ställe där de känner sig kreativa och produktiva. De vill vara fria att dela filer i molnet. Att arbeta och samarbeta på vad som kommit att klassa som en modern arbetsplats.

Graden av hot och de sofistikerade angriparna, har radikalt ökat i takt med vår molnbaserade och mobila arbetskraft. År 2000 var Schneier främst oroad över verksamheternas förmåga att hantera DoS (denial-of-service) och buffertöverskridningsattacker. Dagens attacker så som phishing eller ransomware var helt enkelt inte uppe på tapeten på den tiden.

Tyvärr har en sak inte förändrats mycket under åren sedan artikeln: vår inställning. Verksamheter och deras IT-säkerhetspersonal lägger fortfarande stort fokus på att välja rätt teknik och inte alls tillräckligt stort fokus vid att komponera och främja rätt säkerhetskultur inom deras verksamheter. Detta är något vi känner igen från de organisationer som vi på Coegi träffar. Den där känslan av att ”vi har ju ännu inte utsatts för något intrång eller hot, så att det vi eller vår nuvarande IT-partner gör måste således fungera tillräckligt bra”. Och om de skulle utsättas för ett intrång eller hot så börjar de likt vi gjorde för 20 år sedan att leta efter en snabb lösning för snabbt laga läckan. En inställning som är lika farlig som den är ohållbar.

80/20 regel för IT-säkerhet – Coegi Security

På Coegi, tror vi att de människor, de processer och den kultur som man skapar står för så mycket som 80% av framgången bakom ett gediget IT-säkerhetsarbete. Hårdvara, licenser och ny teknik utgör resten.

Oavsett vad ni har för målsättning med er digitalisering eller ert säkerhetsarbete, bör ni alltid börja med att dokumentera era aktuella processer, er miljö och hur era medarbetare redan skapar eller förebygger risker. När ni väl har definierat luckorna och skapat era övergripande processer för att hålla er IT-miljö säker, är steget att hitta den rätta tekniken för att få jobbet gjort, ett mindre sådant.

Brist på kompetens, resurser och expertis att skylla på

Att förstå, designa och implementera en modern IT-säkerhetsprocess kan vara oerhört komplicerat, och få verksamheter har resurser eller expertis internt för att göra det. Anledningen till att så många verksamheter istället då direkt börjar leta efter produkter först är därför förståeligt: det är minsta motståndets väg.

Men som vi skrev i inledningen så är IT-säkerhet, fascinerande, skrämmande och kan idag utgöra en verklig affärsrisk. Det är med andra ord dags att vi äntligen tog de råd som avkunnades till oss för 19 år sedan. Det är dags att vi erkänner att IT-säkerhet är inte en produkt man köper, det är en process man utvecklar, implementerar och sedan dessutom följer.

Vill ni veta mer om det här ämnet och hur vi på Coegi kan hjälpa er? Läs mer här och tveka inte att kontakta oss!

MISSA INGET MED VÅRT NYHETSBREV – din epost mot vår kunskap

    Datum: 2019-02-20 16:02:32

    Dela:

    NYHETER

    VAD SÄGER VÅRA KUNDER OM OSS?