Sikkerhedsarkitektur

“Sikkerhed sker ikke ved et uheld.” – Forfatter ukendt

 

Nogle eksperter forudser, at der i 2020 vil være 200 milliarder systemer koblet til internettet. Software er, overalt og det ændrer den måde vi lever, opfører os på og interagerer med verden omkring os. Da teknologien bliver dybere forankret i vores liv, bliver vi også mere sårbare, hvis teknologien fejler.

For at opbygge den mest hensigtsmæssige arkitektur indenfor IT-sikkerhed, så er det nødvendigt, at kende sin virksomheds risikoprofil. Det hjælper derfor at stille sig selv følgende spørgsmål:

  • Hvilken type data har jeg og hvor ligger de?
  • Hvem er mine fjender, og hvilke ressourcer har de til rådighed?
  • Hvad er mit IT-sikkerhedsniveau i forhold til, hvad det burde være?
  • Kan jeg få mere ud af mit IT-sikkerhedsbudget ved at prioritere anderledes?

Når man designer sin IT-sikkerhed, er der mange elementer, man skal tage højde for. Derfor handler det hele tiden om at have fokus på det væsentlige, hvilket er ens kritiske data. Vi anbefaler altid, at man foretager en klassificering af ens data efter følgende model:

Da ingen virksomheder er ens, skal man altid vurdere, hvor virksomhedens kritiske data ligger. Om data flytter sig mellem systemer, hvem der har adgang til data, og hvordan adgangen foregår.

Vi ser, at 90% af alle angreb starter med en phishing e-mail, så derfor er der en udpræget trend i markedet om, at vores primære fokusere skal være på at beskyttelse af klienterne og uddannelse af brugerne. Så de bliver bedre til at detektere angreb.

For at drage en analogi til f.eks. bankverdenen, så kan en kriminel uden problemer gå ind i banken (yderste lag), de kan godt røve kassen (mellemlag), men det er rigtig svært for de kriminelle at komme ind i bankboksen (inderste lag), hvor de største værdier er.

Hovedformålet med at opbygge virksomhedens IT-sikkerhed er at sikre kritiske data og forretningskontinuitet. Derfor anbefaler vi ikke, at man bruger alle sine ressourcer på at beskytte klienterne. Set med vores øjne må virksomheder i en vis udstrækning leve med, at pc’ere, smartphones og tablets bliver kompromitteret, men vi skal sikre os, at de kriminelle ikke uhindret kan bevæge sig på tværs af systemerne og eskalere rettigheder.

Vi ser desværre stadigvæk i en række virksomheder, at to meget simple tiltag, der kan reducere ens risici med 90%, ikke bliver gjort i tilstrækkelig udstrækning:

  • Brugerne har admin-rettigheder på deres pc’er
  • Netværket er ikke segmenteret

Elementer i IT-sikkerhed

Når IT-sikkerhedsfolk har været i dialog med virksomheder om IT-sikkerhed, så har der meget ofte været fokus på at sælge nye løsninger. IT-sikkerhedshusene har været interesseret i licenser og konsulenter til projektet.

Vi ser ofte, at der så efterfølgende ikke er mennesker til at vedligeholde og udvikle løsningen, og at procedurerne har været mangelfulde.

Når man som virksomhed tænker på ens investering, så er det vigtigt, at man tænker holistisk og maksimerer den værdi, man får ud af løsningen.
Én ting er anskaffelsesværdien, men nogle løsninger kræver rigtig meget løbende trimning. Både af den eksterne partner og ofte er det også nødvendigt, at din virksomhed afsætter ressourcer til, at projektet bliver en succes.

Ved at tænke i lag af IT-sikkerhed, have procedurerne på plads og mennesker der ved, hvordan de skal agere, er vi kommet et stort skridt i forhold til at sikre din virksomhed.