Artikel top billede

(Foto: Koben_top)

Seks myter om flytbare storage-medier

Tema: Alle ved efterhånden, hvor vigtigt det er at beskytte de flytbare storage-medier, men opgaven bliver ofte vanskeliggjort for ledere, der hopper på en eller flere af disse seks myter.

Vi læser med jævne mellemrum skrækhistorier om mistede bånd eller stjålne laptops, der efterlader os med frygten for, at vigtige oplysninger ender i de forkerte hænder.

En række storage- og sikkerhedsmyter er med til at sløre svaret på, hvordan man undgår situationen.

Myte nr. 1: Bånd er gammeldags

Det beskedne magnetiske bånd, der umiddelbart virker som et levn fra fortiden, har somme tider forhindret drev til drev-backup til eksterne lokationer via et netværk.

Men til hurtig og effektiv backup, arkivering og gendannelse af store mængder data, er der intet, der kan slå båndet.

Iron Mountain tilbyder både data-backup via netværksforbindelse og bånd-storage.

"I en katastrofesituation, hvor tiden er afgørende, er der ikke noget, der er mere effektivt end at smide en stak bånd ind i en bil og køre dem til et gendannelses-sted," siger Ken Rubin, underdirektør i storage-virksomheden.

"Og på grund af begrænsningerne i båndbredde ved transport af mange terabytes eller petabytes data via netværket kan det være en upraktisk løsning."

Alligevel foretrækker nogle brugere at gå væk fra storage på bånd.

"Vi forsøger at komme væk fra båndene på grund af faren for fysisk tab," fortæller Christopher Leach, it-sikkerhedschef hos Affiliated Computer Services (ACS), og tilføjer, at man er i gang med at installere en tjeneste, der kan sende krypterede data-backups til kunder via en web-browser, hvis filerne ikke er for store.

Myte nr. 2: Det er tekniknørdernes opgave at beskytte bånd og laptops

It-beskyttelse er selvfølgelig it-afdelingens opgave. Men virksmhedens andre medarbejdere spiller også en stor og ofte overset rolle.

CIO for staten New York, Melodie Mayberry-Stewart, trækker på et juridisk team af 12 personer til at undersøge, hvordan man opnår den bedste sikkerhed, især i finansbranchen.

Nogle af juristerne er specialiserede i områder som kryptering og telekommunikation, fortæller hun. Derudover har hun et separat team af teknikere, der er specialiserede i sikkerheds- og risikostyring.

Melodie Mayberry-Stewart fortæller, at juristerne forhandler meget detaljerede kontrakter og overenskomster med virksomheder som Iron Mountain, der transporterer og gemmer statens bånd - omkring 4.000 om måneden - fra de fire mainframe-datacentre.

Hos Sun Microsystems bliver der produceret bånd i syv datacentre rundt om i verden. Selvom hvert datacenter administrerer deres egne dataopbevaringsprocesser, får de ikke lov til at lave deres egne regler på alle områder, fortæller it-sikkerhedschef Leslie Lambert. Men hvor kommer regler, politikker og forretningsgange så fra?

"Vi har et meget opmærksomt juridisk team, et privacy-team, et forretningsførelses-team, interne og eksterne revisorer og en informationsbeskyttelses-gruppe, der alle arbejder sammen," fortæller hun.

Christopher Leach fra Affiliated Computer Services fortæller, at det kræver menneskelig ekspertise at overholde myndighedskravene om databeskyttelse, men opgaven er så krævende, at han får automatiseret hjælp fra software til styring af risici og compliance fra virksomheden Relational Security.

Myte nr. 3: Et mistet bånd er primært et sikkerhedsproblem

Et mistet bånd kan helt sikkert være en sikkerhedskatastrofe og uden tvivl et PR-mareridt, hvis det ryger ud til offentligheden. Men der er andre lige så skadelige, men mindre dramatiske, risici.

"Jeg tænker ikke så meget på risikoen for at miste medarbejderoplysninger som for eksempel personnumre, selvom det helt sikkert også er vigtigt. Det, der holder mig vågen om natten, er risikoen for at miste et bånd og efterfølgende være nødt til at fremskaffe data til en retssag. Jeg er bange for at miste oplysninger, som loven kræver, at virksomheden opbevarer," udtaler Brian Lurie, it-chef hos medicinalvirksomheden Stryker.

Selvom loven kun kræver, at visse oplysninger bliver opbevaret i syv år, skal Stryker gemme data om kunder, der bruger virksomhedens produkter, så længe de lever, fortæller Brian Lurie. Selvom virksomheden kopierer sine drev til et eksternt disaster recovery-center, vil nogle data efter et stykke tid kun ligge på de bånd, der transporteres og opbevares eksternt af Iron Mountain.

Brian Lurie sender jævnligt et par auditører ud til Iron Mountains facility for at lave en opgørelse over Strykers bånd. Han fortæller, at de regelmæssige gennemgange er en del af en trepartsplan for at beskytte båndene, som også indeholder omhyggeligt udformede kontrakter og samarbejde med en velrenommeret leverandør af bånd-storage.

Eksperterne siger, at tyveri af bånd efterfulgt af ulovlig brug sker så sjældent, at de næsten ikke betegner det som et reelt problem. Derimod er tab af bånd på grund af en menneskelig fejl uden tvivl det mest almindelige problem.

Myte nr. 4: Der er ingen teknologisk løsning - det er et spørgsmål om skærpet kontrol

Gennemtænkte arbejdsgange og kontroller, der er grundigt testede og automatiserede, hvor det er muligt, er den bedste måde at begrænse tab fra mistede bånd og laptops, mener flere eksperter. Men teknologi kan også være en stor hjælp.

Det primære redskab er stadig datakryptering. Selvom teknologien ikke fjerner Brian Luries bekymringer om retssager og data, der ikke kan gendannes, er det godt at kunne fortælle advokater, journalister og politi, at de ansvarlige ikke kan gøre ret meget med den mistede laptop, fordi harddisken er krypteret, eller med båndene, fordi de ikke kan læses.

Affiliated Computer Services kræver, at alle medarbejderes desktops og laptops er 'whole disk encrypted,' fortæller Christopher Leach.

"Når først drevet er krypteret, overvåger vi det og sporer det, og hvis brugeren forsøger at dekryptere sin harddisk, får vi det at vide og underretter personens chef."

ACS har over en million bånd i sit båndbibliotek i Dallas, og virksomhedens standardpraksis er at kryptere indholdet. Men nogle kunder ønsker ikke at ofre pengene og arbejdsindsatsen, det kræver at dekryptere de backup-bånd, de modtager fra ACS, så de beder om, at deres bånd ikke bliver krypterede.

"Vi har meget strenge procedurer for pakning, signering og sporing af disse bånd," fortæller Christopher Leach. "Båndene kommer i specielle kasser, der er låst i begge ender."

Derudover er båndene forsikrede for et stort beløb - ikke fordi bånd eller cd'er er mange penge værd, men fordi det afføder strammere arbejdsgange og et mere omhyggeligt eftersyn fra fragtmandens side.

Flere brugere fortæller, at de undersøger nye teknologier som supplement til eller erstatning for kryptering. Staten New York kigger på fingerscanning til beskyttelse af laptops og båndbeholdere, og ACS ser på prototyper af tre magnetiske enheder, der kan slette indholdet på bånd i en lukket æske, hvis den brydes op.

Myte nr. 5: Kryptering er løsningen på alting

Kryptering bliver ofte opfattet som den bedste tekniske løsning, men der er også ulemper ved metoden. Hvis man for eksempel har mistet nøglen til at dekryptere et bånd, har man måske et problem. Derudover kan det kræve mange computer-ressourcer at kryptere data, før de skrives til et bånd, en laptop eller et mobilt medium. Endelig er kryptering i mange virksomheder valgfrit eller et krav, der kan omgås.

Derfor krypterer Stryker ikke harddiskene på sine laptops, med mindre der ligger følsomme data på dem. Følsomme oplysninger, som distancebrugere kan få brug for, bliver liggende på beskyttede servere, som der kun gives adgang til ved behov, og de kan ikke opbevares lokalt. Men Brian Lurie erkender, at det ikke er den perfekte løsning, fordi det kræver, at medarbejderne overholder reglerne.

Han mener, at hans arbejde bliver lettere, når Stryker går over til Windows Vista, fordi styresystemet indeholder muligheden for automatisk kryptering af data. Men han mener samtidig, at det bliver en byrde, fordi det kræver mere hukommelse og får maskinen til at arbejde langsommere.

Myte nr. 6: Hvis man bare beskytter sine bånd og laptops, kan man føle sig sikker

Der har tidligere været stort fokus på mistede bånd og laptops, men der er nu øget opmærksomhed på de mange andre forskellige enheder, der forlader virksomheden sammen med medarbejderne hver eftermiddag. Brian Lurie fortæller, at mobile enheder som Blackberry er beskyttede hos Stryker.

"Jeg har muligheden for at slette dem, selvom jeg ikke er i nærheden," forklarer han. "Hvis en medarbejder mister sin Blackberry, sender vi et signal til den om, at den skal slette hukommelsen øjeblikkeligt."

Men flash drives, cd'er og dvd'er er mere problematiske, forklarer han. Brian Luries bedste løsning på det problem er, at hvis mobilerne ikke er krypterede, bliver medarbejdere bedt om at undlade at downloade følsomme oplysninger på dem. Han bekymrer sig endda om mobiltelefoner.

"Vi tillader ikke kameraer i bygningen, men der er masser af mennesker, der har dem på deres mobiltelefoner. Hvis nogen tager et billede af nogen eller noget og lægger det ud på internettet, står vi måske med en erstatningssag. Jeg er ikke sikker på, hvordan vi skal håndtere det endnu, men jeg har tænkt meget over det."

Oversat af Mille Bindslev




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
EG Danmark A/S
Udvikling, salg, implementering og support af software og it-løsninger til ERP, CRM, BA, BI, e-handel og portaler. Infrastrukturløsninger og hardware. Fokus på brancheløsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere