Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 28. maj 2004.
De traditionelle, udførlige sikkerhedspolitikker, der følger standarder, har spillet fallit. Medarbejderne står af.
- It-sikkerhedspolitikkerne forstås ikke. Det kan man se alene af omfanget i spredningen af virus.
Ole Schmitto, der står i spidsen for firmaet eSec, peger på et kendt paradoks, der plager de fleste arbejdspladser. Man har fået en sikkerhedspolitik formuleret, men den forbliver ofte på papiret i stedet for - som målet er - at trænge sig ind medarbejdernes bevidsthed.
- Folk "klikker" stadig, siger Ole Schmitto, med henvisning til, at ondartet kode ofte kommer ind via bilag, som folk åbner. Det er dog ikke den menige bruger, han klandrer, men dem, der udformer sikkerhedspolitikken.
- En sikkerhedspolitik på et styk A4 ark med udgangspunkt i brugerens egen situation er det perfekte, siger eSec, som ikke selv er udbyder af sikkerhedspolitik-rådgivning. Men firmaet ser dagligt konsekvenserne af, at sikkerhedspolitikken ikke forstås, idet eSec overvåger firewalls hos 70 større kunder.
- Det giver i sig selv ofte anledning til, at sikkerhedspolitikken vendes, siger Ole Schmitto.
Irrelevant tekst
Også firmaer, der sælger rådgivning i sikkerhedspolitik, peger på, at der skal tages udgangspunkt i brugeren.
- I dag står de vigtige ting for brugerne pakket ind i en masse tekst, som brugeren finder irrelevant, siger den erfarne sikkerhedsmand Lars Neupart, der står i spidsen for firmaet Neupart.
Problemet forklarer han til dels med, at de, der udarbejder sikkerhedspolitikken, ikke er skolede kommunikatører. Den typiske situation er ifølge Neupart, at den sikkerhedsansvarlige strukturerer it-sikkerhedspolitikken ud fra de mest anerkendte standarder på området, nemlig DS484 og den britiske BS7799.
Det giver fokus på følgende punkter: Overordnede retningslinier. Sikkerhedsimplementering. Aktiver. Personale. Fysisk sikkerhed. Edb- og netværks-drift. Adgangskontrol. Udvikling, anskaffelse og vedligeholdelse. Beredskabsplanlægning. Samt lov og kontraktlige krav.
Fra dagligdagen
Den struktur vækker ikke genklang hos brugerne i dagligdagen. Lars Neupart foreslår her følgende struktur:
* Skadelige programmer
* Kodeord
* Brug af e-mail
* Brug af internet
* Software-installation
* Sikkerhedskopiering af data
* Adgang til virksomhedens netværk
* Mobilt udstyr
* Kryptering/kryptografi
* Håndtering af hændelser.
På spørgsmålet om, hvorvidt der således er behov for to politikker lyder svaret fra Neupart:
- Ja, helt klart! Ellers kommer man ud i problemerne med manglende bevidsthed. Sikkerhedschefen har brug for at sikre fuldstændighed, og her er standarderne et godt redskab. Men ikke for brugerne.
Styringsredskab
Hos Netsecure, der foreløbig har været involveret i udarbejdelsen af sikkerhedspolitikker for en snes virksomheder, påpeges et andet problem.
- Mange virksomheder forstår ikke, hvor vigtig sikkerhedspolitikken er. Jovist, man skal have den, men man forstår ikke, at det også er et styringsredskab for it-sikkerheden, siger Tore Fribert, administrerende direktør for Netsecure og med en fortid på sikkerhedsfronten hos Hewlett-Packard og WM-data.
- Utroligt mange forsøger at beskytte sig ad hoc. Nogle gør det udmærket, men hos andre er der tale om spredt spilfægtning, tilføjer Tore Fribert.
Han ser gang på gang, at virksomheder har relativt let ved at få formuleret sikkerhedspolitikken, men ikke alle ønsker at foretage den risikoanalyse, der bør ligge til grund for sikkerhedspolitikken, og mange får ikke uddannet brugerne.
-Selv i it-afdelingen kan det halte, siger Tore Fribert.
Politik via firewall
Ole Schmitto fra eSec påpeger, at alle på sin vis har en vis portion sikkerhedspolitik alene igennem opsætningen af firewall'en.
- Her sker jo en sortering af, hvilke programmer der må kommunikeres fra ud på nettet. Men det er sjældent, at den politik er skrevet ned, siger Ole Schmitto.
Det hænder også, at virksomheder glemmer at få lukket de porte i firewall'en, som de ikke ønsker benyttet, og så reagerer eSec.
- Hvis den officielle sikkerhedspolitik for eksempel foreskriver, at medarbejderne ikke må bruge fildelingsservices, og vi konstaterer, at den port i firewall'en, som fildelingsprogrammet Kazaa bruger, står pivåben og bruges, tager vi fat i virksomheden, siger Ole Schmitto.
Boks:
Blandet markedsplads
Virksomheder, der skal have udarbejdet en sikkerhedspolitik, kan finde støtte dertil mange steder. På markedet ses især tre grupper, der tilbyder sig. Små specialiserede virksomheder, de store revisionsfirmaer samt de større, brede it-selskaber.
I den første gruppe ses firmaer som Netsecure, Dubex, Ezenta og Neupart. Blandt udbyderne i revisionsgruppen ses KPMG, der også er flittigst til at markere sig i sikkerhedsdebatten, samt flere andre. Og så går ingen forgæves til store it-selskaber som IBM, CSC og andre med konsulenttjenester på programmet, men også mindre it-selskaber som EDB Gruppen har den type rådgivning på programmet. toft
Boks:
Vej til it-sikkerhedspolitikken
Den, der står foran at udarbejde en sikkerhedspolitik eller måske blot at ajourføre den, kan hente hjælp mange steder på internettet. Den amerikanske organisation for sikkerhedsansvarlige, SANS, har nok den mest detaljerede liste over kilder. På www.sans.org/resources/policies kan man se denne liste, men også en detaljeret oversigt over det arbejde, som SANS-medlemmer selv har stået bag i bestræbelserne for at få udviklet en slags skabelon til it-sikkerheden. På dansk grund er der hjælp at hente i standarden DS484, men blandt sikkerhedsfolk tæller også den britiske standard BS7799 stort. toft
