IT-sikkerhet: Du aner ikke …
… og godt er det. Ciscos halvårsrapport for 2015 er deprimerende lesning. Er det virkelig så ille?
Sikkerhet kan ikke måles. Den er aldri 100%, sjelden 0, som regel et ukjent eller estimert sted imellom. Spørsmålet er ikke om vi har 50% eller 80%, men om nivået er riktig. Og hvis det er riktig i dag, hvor lenge varer det? Virksomheter flest tar IT-sikkerhet – 'cyber-sikkerhet' – på alvor. Men ‘ta på alvor’ er ikke det samme som ‘god nok sikkerhet’.
Store deler av markedet er fortsatt på ‘brannmur og antivirus’ nivå, kurerer symptomer når de slås opp i media og har beskjeden innsikt i hva som foregår i egen infrastruktur. Tiltakene er statiske og testes/justeres etter innfallsmetoden. ‘Godt nok’ til noen spør, ‘utilfredsstillende’ etterpå, for deretter å bli fortrengt av mer presserende utfordringer.
På den andre siden: Hvordan finner vi ut hva som er ‘godt nok’? Leverandørene gir svar som passer dem og salget – ikke feil, men heller ikke optimalt. Media lever av skrekkhistorier og misforståtte fakta. Uavhengige kilder er few and far between. Hva gjør vi?
‘Å ta på alvor’ er ikke det samme som å bruke mer penger, leie flere konsulenter, kjøpe mer utstyr, men i første omgang å forstå hva vi har kontra hva vi trenger. Uten forståelse blir ethvert tiltak enten symptomkurering eller kunstig trygghet. Like viktig: Det er problemet og situasjonen som skal forstås, ikke teknologien. Fokus på bildet, ikke pikslene. En ‘baselining’ som gir en relativ målestokk etter samme tankegang som ‘sjekk at vinduene er lukket før døra får nye låser.’
‘Baseliningen’ kan gjerne utføres av eller med erfarne konsulenter, men det holder ikke at DE forstår. Det er vår egen forståelse av situasjon, behov og muligheter som endrer fremtiden, løfter sikkerheten. Dessuten – mange av eksemplene som etablerer en baseline, er enkle å identifisere. Her er noen av dem:
- Bruker vi én eller flere av Windows, Flash, Java, IE på klientsiden?
- Finnes (fortsatt) klientlokale (virksomhets-)data?
- Behandles alle data likt (er data med særlige behov spesielt ivaretatt)?
- Sender/mottar vi fortsatt fysiske brev? Inneholder de verdifulle data?
- Sender/mottar vi Office-filer via (usikret) epost?
- Finnes det upatchede systemer (fungerer rutinene for patching)?
- Har brukere og sysadmins respektfylt omgang med privilegier (rutiner)?
- Mange brukere sverger fortsatt til papir. Hvordan håndteres utskrifter på sin vei fra printer til makulator?
- …
Enkeltvis og i kombinasjon etablerer disse et nivå - ikke for IT-sikkerhet generelt, men for datasikkerhet. Hvis nivået er akseptabelt, tilpasses andre tiltak til samme (lave) nivå. Hvis nivået ikke er akseptabelt, er det her tiltakene starter.
Poenget: Det er lite meningsfylt å legge lista høyt hvis det er akseptabelt å passere under. Videre - dersom risikoen representert ved ett eller flere av eksemplene er uakseptabel, men ikke kan fjernes, må den kompenseres. For eksempel: En hel IT-verden har forsøkt å kompensere for Windows’ og IEs svakheter i 20 år, med moderat suksess og høye kostnader. I dag er det mulig å eliminere eller bytte dem ut. Når det likevel kun unntaksvis gjøres, er det lettvinthet som vinner over sikkerhet.
Etter 20+ år med symptomkurering er tiden moden for å ta årsakene, komme videre. Den enkle ‘baseliningen’ ovenfor bidrar til balanse – mellom forventninger og tiltak på den ene siden, risiko på den andre. Den bidrar også til å flytte fokus fra infrastruktur til data – en tydelig og positiv trend i markedet: Data-centric security.
Ciscos halvårsrapport er grundig, interessant og profesjonell, men rådene den gir er ‘self serving’: "Bruk mer Advanced Threat Protection". Vel og bra, men fortsatt symptomkurerende. Det er lov å tenke lenger, det er lov å tenke selv, og det er essensielt å forstå forskjellen mellom symptomer og årsak.
Se også ...
Legg igjen kommentar
Du må være innlogget for å kunne kommentere.