Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.
Jeg har flere gange oplevet tilfælde hvor der i min optik bliver foretaget forkerte eller måske ”lette” risikovurderinger, så der ”slippes” for at implementere helt basale it-sikkerhedstiltag.
Basale sikkerhedstiltag vil jeg vil også betegne som hygiejne-tiltag.
Jeg har eksempelvis set følgende:
”Det vurderes ikke, at manglende patchprocesser udgør en risiko, da serverne ikke har direkte forbindelse til Internettet…”
Hvad er nu det? Det er lige før man bliver ramt af kroniske tics og kvalme.
Glem ikke hygiejnen
Min påstand er at det ikke er muligt at risikovurdere sig bort fra basale hygiejne tiltag. Dderfor bør disse altid implementeres.
Eksempelvis har datatilsynet meldt ud, at det i forbindelse med transmission af fortrolige og personfølsomme oplysninger er et krav at transmissionen foregår krypteret, da dette må anses som en passende sikkerhedsforanstaltning.
Her skal der ikke foretages en risikovurdering. I stedet skal kravet om kryptering følges. Dette giver rigtig god mening, når der er tale om så basale krav, og vi snart skriver 2020 i kalenderen.
Det er simpelthen ikke nok at foretage en risikovurdering og derved vedtage, at der ikke er en risiko ved af sende fortrolige og personfølsomme oplysninger uden kryptering.
Jeg ved godt, at der eksempelvis er forskellige metoder til at kryptere e-mailkorrespondance på, og at der derfor skal foretages en risikoanalyse for at vurdere hvilken metode, der skal benyttes til kryptering.
Det er ikke for at starte en diskussion om kryptering af transportlaget vs. end-to-end kryptering, algoritmer, nøgle håndtering osv., stor ros til datatilsynet for at sende et signal som dette.
Hvad forstår jeg ved basale hygiejne tiltag?
Jeg er stor tilhænger af CIS top 20-kontrollerne, også kaldet Critical Security Controls. Her vil jeg klart se på Top 5 (6)-kontrollerne som basale hygiejne kontroller.
Jeg har sat kontrol 6 i parentes, da denne omfatter logning og monitorering.
Her er en hurtig opsummering af Top 5 (6) kontrolområderne:
1. Du skal kende alle de komponenter der er i dit it-miljø.
2. Du skal have overblik over al software som er i dit it-miljø.
3. Du skal have overblik over de sårbarheder, der er i dit it-miljø.
4. Du skal have kontrol med administrative rettigheder.
5. Du skal konfigurere dine komponenter på en sikker måde.
6. (Du skal have overblik over hvad der foregår i dit it-miljø).
Jeg vil klart opfordre alle, som arbejder med it-kontroller,at læse op på CIS Top 20-kontrollerne, hvad enten det er til inspiration eller en decideret implementering af kontrollerne.
Der er meget fornuft bag kontrollerne, og de er baseret på de angreb, som ses udført i praksis.
Dette er simple kontroller, som alle virksomheder, der er afhængige af it, bør have styr på. De udgør det fundament, som mere avancerede it-kontroller bygger på.
Nogle af de argumenter, som jeg tidligere har hørt, er, at det er dyrt at implementere, og det er måske også rigtigt.
Jeg vil dog stadig mene, at rigtig mange virksomheder allerede har værktøjerne til rådighed, så det drejer sig primært om ressourcer til at implementere disse.
Udover dette vil jeg dog påstå, alt andet lige, at mængden af ressourcer, der skal benyttes til at sikre dette, er meget afhængig af størrelsen på den enkelte virksomhed eller deres brug af it, hvorfor en mindre virksomhed vil skulle benytte en mere begrænset mængde ressourcer til implementering end en større virksomhed.
Nu er det ikke fordi, at jeg mener, at risikovurderinger er forkerte at foretage.
Jeg er stor tilhænger af at benytte risikovurderinger til at implementere det korrekte sikkerhedsniveau for de enkelte forretningsområder/risikoområder, der opereres med i virksomheden.
For eksempel vil en hjemmeside, som forklarer om virksomhedens grønne profil, formentligt ikke kræve det samme sikkerhedsniveau som virksomhedens produktionsmaskiner.
Alligevel vil jeg mene, at de basale hygiejnetiltag bør være på plads for begge områder.
Når det så er sagt, så er det ikke fordi jeg tænker, at kontrollerne bør implementeres ukritisk eller fuldt ud, men kontrolmålet eller formålet med kontrollerne bør man forholde sig til.
En simplificeret it-strategi
En meget simplificeret it-sikkerhedsstrategi kunne se ud som nedenstående, altså først implementering af de basale hygiejnetiltag, herefter udførsel af risikovurdering af de enkelte forretningsområder/risikoområder eller hvilken inddeling, der nu giver mening for den enkelte virksomhed.
Figur 1 Simplificeret it-sikkerhedsstrategi
Når risikovurderingerne er på plads, så kan der startes på at implementere mere avancerede kontroller baseret på de enkelte vurderinger.
Eksempelvis kunne man forestille sig, at en virksomhed har risikovurderet dets HR-system til at være et højrisikoområde, da der er indeholdt personfølsomme og fortrolige informationer.
Så ud over at implementere de basale hygiejnetiltag har man valgt at udføre løbende penetrationstest af området, implementere en DLP-løsning og igangsat et awareness-program, som sikrer, at HR-medarbejderne løbende uddannes i at behandle personoplysninger.
I dette eksempel er det min holdning, at de avancerede kontroller som penetrationstest, DLP og awareness ikke kan stå alene uden de basale hygiejnetiltag, hvorfor disse altid bør prioriteres at få implementeret.
Hvis du eksempelvis udfører en penetrationstest uden at have styr på dine patchprocesser og hærdning af komponenter, vil resultatet af testen formentligt vise at du bør prioritere at få patchet og konfigureret dine enheder sikkerhedsmæssigt korrekt.
Så i stedet for at bruge en formue på en penetrationstest, så brug dine ressourcer på at få patchet og hærdet dine enheder.
En DLP-løsning vil heller ikke give mening at implementere, hvis du ikke har et overblik over dine komponenter og/eller applikationer.
I forhold til awareness-tiltag er dette altid fornuftigt at få implementeret, da mennesket jo ofte er det svageste led, især hvis du har styr på dine basale hygiejnetiltag.
Awareness kan ikke stå alene uden tekniske kontroller ligesom at tekniske kontroller ikke kan stå alene uden awareness træning.
Så få nu styr på hygiejnen. Min holdning er klart, at det ikke er muligt at foretage en risikovurdering som viser der ikke er behov for basale hygiejne tiltag.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.