Fortsett til innholdet.

myMAYDAY.com - for IT-profesjonelle

Seksjoner
Personlige verktøy
Du er her: Forside » Spotlight » 2006-2 » Sikkerhet, policy og eksponering
 

Sikkerhet, policy og eksponering Sikkerhet, policy og eksponering

Document Actions
av helge@mellvik.no [27-08-2006 12:47]  -  kategori(er): EpostSikkerhet
Hodene ruller. Den ene etter den andre sikkerhetsskandalen avdekkes. Personinformasjon er på avveie, data blir misbrukt, laptop med følsomme data er blitt borte – og så videre. Sikkerhetsansvarlige i store amerikanske selskaper – med AOLs Chief Technology Officer Maureen Govern som den mest prominente – avskjediges. De har antatt at sikkerheten var god nok, at rutinene fungerte, at situasjonen var under kontroll. Å anta er imidlertid ikke lenger nok. Tiden er overmoden for å vite – med sikkerhet – at alt er under kontroll, at de forholdsregler som skal tas, er tatt og at tiltakene fungerer.

Strømmen av dårlige nyheter burde fungere som en vekkelse, en påminnelse om hvilke trusler som finnes 'der ute' og et incitament til å feie for egen dør - og feie så det monner. De fleste av oss har ikke det, verken når det gjelder lagring/beskyttelse av data eller på andre områder. Med fare for å gjenta oss selv, kan vi for eksempel minne om at epost fortsatt er én av våre største trusler i hverdagen - og større enn noen gang. Én ting er at datatyveri svært ofte foregår via epost og at en stor del av virus, spyware og lignende flyter den veien - gjennom all verdens sofistikerte skannere og beskyttelsestiltak.

De fleste er oppmerksomme på denne risikoen og har satt i verk tiltak - som oftest er utilstrekkelige fordi trusselbildet ikke er forstått. For i tillegg til de velkjente truslene kommer den eksponering som misbruk eller uvettig (uaktsom) bruk representerer. Denne observasjonen gjelder ikke bare for epost: AOLs teknologisjef gikk ikke på grunn av innbrudd, utbrudd, virus eller tapte laptops, men på grunn av en medarbeiders uaktsomme omgang med følsomme data. Rutiner og policy strakk ikke til, og svakheten burde ha vært oppdaget tidligere.

Poenget er at både det vi ikke gjør og det vi ikke vet, har vi vondt av. Har vi et sikkerhetsansvar, har vi også ansvar for at rutiner, policy og brukeropplæring er ivaretatt. Nettopp her er årsaken til at vi så kategorisk kan fastslå at de færreste har sitt på det tørre. En fersk amerikansk undersøkelse slår fast at kun ca. 20% av alle organisasjoner har en detaljert og gjennomarbeidet policy for bruk, håndtering og arkivering av epost. Enda verre er situasjonen for IM – øyeblikksmeldinger – der færre enn 3 av 10 har erkjent tjenestens eksistens, og færre enn 1 av 10 har en policy på området.

Vi kan fortsette, og tilstanden er bedre på enkelte områder, men fortsatt under enhver kritikk. Tallene er riktignok amerikanske, men situasjonen her hjemme er neppe bedre, sannsynligvis det motsatte. Hva skal til for at hodet skal komme opp av sanden? Når begynner hodene å rulle her hjemme? Må det en katastrofe eller to til før det blir fart i sakene? Eller offentlige pålegg og reguleringer?

Har du meninger, observasjoner, synspunkter eller erfaringer på området? Vi hører gjerne fra deg. Bruk kommentar-knappen nedenfor.

Mymayday.com vil følge opp temaet med flere analyser og artikler om policy på ulike områder i månedene fremover. Følg med!

Ved å logge inn får du tilgang til mer fagstoff, regelmessige oppdateringer og til å kommentere innholdet. Registrering er gratis.

Spotlight
Kategorier:
Drift (15)
Epost (3)
Internett (6)
Linux (4)
Nettverk (3)
Open Source (5)
Sikkerhet (11)
Skråblikk (8)
Teknologi (20)
Trender (21)
Utvikling (7)
Verktøy (5)
Web2 (8)
Windows (21)