Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 28. februar 2003.
Der er stigende interesse for at integrere it-sikkerhed med virksomhedens øvrige sikkerhedsløsninger. Det kræver nye sikkerhedsprodukter og strategier for risikoledelse.
Sikkerhed
Risikoledelse eller risk management bliver et nøglebegreb i bestyrelseslokalerne og på direktionsgangene i de kommende år. Uanset hvilke risici, der ellers er knyttet til produktionen, så har virksomheder i alle størrelser øget afhængigheden af informationsteknologi og dermed påført sig en risiko for at blive udsat for datakriminalitet.
- Typisk sikkerhedstankegang i dag fokuserer på at beskytte den fysiske adgang til en bærbar computer, fordi den koster 3.000 euro. Med den tankegang glemmes, at værdien af data på harddisken kan være en milliarde euro.
Sådan siger Simon Perry, der er sikkerhedsstrateg med titel af Divisional Vice President hos Computer Associates (CA). Han opfordrer til at se it-sikkerhed i et nyt overordnet perspektiv, hvor hele virksomhedens risikobillede vurderes og kontrolleres i Èn integreret sikkerhedsløsning.
En god ide for branchen
De sidste par år har Simon Perry arbejdet med at udvikle Computer Associates strategi for sikkerhedsprodukter sammen med kollegerne i hovedsædet uden for New York. Et arbejde, der, udover at identificere og sammensætte mere traditionelle sikkerhedsprodukter fra CA som backup, virusbeskyttelse og identitets- samt adgangskontrol, også har handlet om at udvikle de produkter, der kan gøre ideen om integreret sikkerhed til virkelighed. For ideen om integreret sikkerhed har potentialet til at blive en rigtig god forretning for it-branchen. Dels kan it-branchen levere hardware og software, der kan automatisere administrationen og kontrollen af virksomhedens risici.
Derudover får it-branchen en indirekte gevinst ved større opmærksomhed på it-sikkerhed, der alt andet lige skaber større værdi af den enkelte it-investering. 23 procent af firmaerne oplever, at investeringer i it-sikkerhed har et betydeligt større afkast end ventet, fastslår IDC analysen "Building Secure Environments - European Corporate Infrastructure Survey 2002."
Truslen indefra
Det er de spektakulære virusangreb og hacking, der løber med overskrifterne og får hovedparten af investeringerne i it-sikkerhed til beskyttelse mod disse trusler. Men de fleste sikkerhedsansvarlige ved godt, at 70 procent af de hændelser, der kompromitterer it-sikkerheden i en virksomhed, sker inden for firewall'en og strækker sig fra letsindig omgang med følsomme informationer til regulær industrispionage.
Digitaliseringen af virksomhedens data i cad/cam, ERP, CRM, e-forretning og lignende løsninger gennem 1990'erne har på mange måder gjort det nemmere at tilegne sig informationer og distribuere dem, men også at stjæle informationer. Simon Perry understreger, at den digitale kriminalitet, som denne sårbarhed åbner for, på mange måder ligner kriminalitet i den fysiske verden.
- I den fysiske verden er virksomheder typisk udsat for tyveri af værdier, varemærke-krænkelser og personoverfald. Det samme sker til dels, når vi taler om digital kriminalitet, siger Simon Perry.
Værdierne, der kan stjæles, er data, der i yderste konsekvens kan være mere værd, end et firmas fysiske værdier. Ifølge Simon Perry kan medarbejdernes letsindige omgang med data føre til, at andre kan stjæle dem og dermed også krænke varemærker.
- Jeg har for nylig oplevet en konkret historie, hvor en virksomhed var klar over, at der blevet stjålet og videregivet data til en konkurrent, og selv efter minutiøs gennemgang af it-installationen kunne de ikke finde nogen svagheder. Lækken viste sig at være en ansat i rengøringen, der nat efter nat hentede data fra en backup på cd-rom, der lå på et aflåst kontor, fortæller Simon Perry.
I forbindelse med industrispionage er der direkte risiko for fysisk vold. Og i flere større sager om datatyveri indgår manipulation i en form, der kaldes social engineering.
Manipulation
Social engineering er en persons udnyttelse af andre personer til uretmæssigt at skaffe sig adgang til fortroligt materiale. En udnyttelse, der strækker sig fra charmerende opførsel til narkomisbrug, pengeafpresning og lignende.
- Derfor skal virksomheder betragte sikkerhed under Èt og tage de interne trusler ligeså alvorligt som de eksterne. Det er, hvad vi arbejder med i CA Security Command Center og eTrust 20/20, forklarer Simon Perry.
20/20 er begrebet, som optikere i USA bruger for et perfekt syn. Og applikationen, der netop nu er i betatest, samler logfiler fra de løsninger, der giver medarbejderne adgang til bygninger, netværket og så videre og bruger dem i en grafisk fremstilling af medarbejderes adfærd.
Ved hjælp af intelligente agenter, lærer applikationen efterhånden medarbejdernes normale adfærd at kende. eTrust 20/20 kan så konfigureres til at alarmere den sikkerhedsansvarlige ved forskellige former for ændret adfærd.
- Da vi gik i gang med det her for 18 måneder siden frygtede vi, at vi var på tynd is. I dag ved vi, at vi har fat i den lange ende, fordi efterspørgslen efter integreret sikkerhed som eTrust 20/20 er her allerede, siger Simon Perry.
Han erkender, at det er voldsomt kontroversielt. I dele af verden er den slags løsninger lig med overvågning, der er uforenelig med almindelig moral.
- Vores største udfordring i dag er at få regionaliseret produkterne til integreret sikkerhed. Sikkerhedsarbejdet skal drives regionalt på grund af de kulturelle og politiske forskelle, siger Simon Perry.
Boks:
CA regionaliserer
Verdens tredjestørste softwarehus Computer Associates er i gang med en større regionalisering af koncernen. Ifølge Divisional Vice President Simon Perry skal Europa og Asien have langt større opmærksomhed i de kommende år.
Det er planen, at regionaliseringen skal omfatte samtlige seks produktdivisioner: Netværksmanagement, sikkerhed, storage, portal- og business intelligence, application life cycle management og applikationsudvikling. Men det er sikkerhedsdivisionen med eTrust-produkterne, der først har gennemført regionaliseringen i fuld skala.
Dermed er der fuld gang i at give koncerne nyt liv, efter stifteren Charles Wang helt har overladt tøjlerne til Sanjay Kumar. En fokusering der igen kan sætte fokus på selskabets mere end 1.200 produkter i stedet for de licens- og regnskabsproblemer, der har været i mediernes søgelys de seneste par år.
Billedtekst:
- Sikkerhedsarbejdet skal drives regionalt på grund af de kulturelle og politiske forskelle, siger Divisional Vice President Simon Perry, Computer Associates.
Billedtekst:
70 procent af de hændelser, der kompromitterer it-sikkerheden i en virksomhed sker inden for firewall'en og strækker sig fra letsindig omgang med følsomme informationer til regulær industrispionage.