Cybersäkerhet

Använder du sekretessavtal, innan du lämnar ut information om framtida produkter eller marknadsplaner?

Detta är en av de vanligaste frågeställningarna vi stöter på när vi börjar ta fram regler för informationssäkerhet. Lika viktigt är det att ta fram planer för att kunna hantera avbrott och störningar. Dessa krisplaner, kontinuitetsplaner och avbrottsplaner är det som ofta gör skillnaden för ett företag som överlever en kris.

Vi analyserar dagens miljö och tar fram förslag på förbättringar. Det kan omfatta policyarbete, genomföra utbildning, ta fram checklistor, driva säkerhetsfrågor tillsammans med ledningen och se till att planer implementeras.

Informationssäkerhet är ett strategiskt, taktiskt och operativt arbete där den röda tråden utgår ifrån att identifiera en god riskekonomi, dvs att kostnader för säkerhetsåtgärder är i balans med den vinst det medför.

IT- och Säkerhetsrevisioner

Vad vet du om hur era regler hanteras i praktiken? Osäkerheten leder ofta till felaktiga investeringar baserade på subjektiva bedömningar.

I våra revisioner utgår vi ifrån era regler och riktlinjer men stämmer även av hur relevanta dessa är mot standards och ramverk som ISO 27000, ITIL och Cobit. Några exempel på revisioner som vi brukar göra är

  • Generella IT kontroller där vi verifierar att det finns en grundläggande kontroll
  • Applikationsrevisioner där vi verifierar att kritiska applikationer ger god intern kontroll
  • Ämnesspecifika revisioner där vi beaktar enskilda områden eller händelser som exempelvis projekt, hantering av avbrott och störning, avtalstvister, prestandaproblem, hantering av utlagd drift och validering av system som skall tas i drift.

Den verkliga nyttan med att IT- och Säkerhetsrevisioner är att du får ett beslutsunderlag för att kunna genomföra förbättringar och för att kunna skapa en bättre beredskap att hantera oönskade händelser.

Varför är IT säkerhet en alltid lika aktuell fråga?

Samhället har aldrig varit så utsatt för hot mot IT system som nu. ”Information warefare” är inte längre science fiction, det har resulterat i riktade attacker mot bl.a. styr och reglersystem och viktiga samhällsfunktioner.

Vi har sett hur datavirus har eskalerat i omfattning och blivit så sofistikerade att de byter skepnad och innehåll för att kringgå de skydd som används. Felaktigheter och felkonfiguration i servrar, system och nätverkskomponenter har visat sig öppna upp nätverk för intrång hos en lång rad kända företag där företagshemlig information, persondata och kreditkortnummer har gått förlorad.

Den största skillnaden mot tidigare ligger i att hoten har blivit mycket mer planerade och personliga med ett enda syfte: ATT TJÄNA PENGAR.

I grunden handlar IT-säkerhet om att skapa väl genomarbetade IT system som kan stå emot intrångsförsök och begränsa effekten av felaktig konfiguration. Det handlar också om att skapa och underhålla en IT-säkerhetsarkitektur som kan hantera mobila enheter på ett säkert sätt, ge stöd för ett aktivt utnyttjande av sociala medier samt klara av att hantera förändringar i verksamheter med omorganisationer och sammanslagningar utan att säkerheten äventyras.

När det gäller ”Cloud Computing” är oro för IT-säkerhet en av de starkast hämmande faktorerna för att våga ta steget fullt ut, något som syns i en lång rad undersökningar. Det gäller också för outsourcing och samarbete med affärspartners, där systemavbrott får förödande konsekvenser. Ser vi på affärssystem innebär detta att man måste ta steget från de säkerhetskrav som finns på pappret till att de bli införda i IT-system och i verksamhetsprocesser. Det handlar om att införa lösningar för ”Identity Management” för att förhindra intrång utifrån och att man internt inte missbrukar information och behörigheter. Lika viktigt är det att data inte förvanskas, försvinner eller missbrukas, där redundanta system och säker lagring är en självklarhet.

I detta sammanhang är det en nödvändighet att arbeta med mätbar säkerhet som kompletterar befintliga SLA för att kunna ha en god styrning av IT miljön av IT-säkerheten.

Dina dokument kan innehålla dold information

Det finns mer information än man kan tro i många av de filer som ett företags anställda bifogar i sin epost… De innehåller inte bara den text man ser direkt, utan även dolda data som kallas metadata, vilket förenklat är data som beskriver data!

Metadata i dokument kan innehålla känslig information som potentiellt sett skulle kunna orsaka företaget stor skada om den kommer i fel händer. I genomsnitt är det cirka 10% av all affärsrelaterad epost som innehåller sådan, potentiellt skadlig, information enligt färsk statistik.

Dessa metadata kan inkludera uppgifter som exempelvis dokumentets författare, datum när det skapades, tidigare versioner, inklistrad text, raderad text, spårbara ändringar och kommentarer. Det går även att se vem som skickat samt tagit emot dokumentet via epost!

Praktiskt taget alla filtyper innehåller metadata. På grund av deras stora spridning och användning i företag så är filer från Microsoft Word, Excel, PowerPoint samt PDF-filer och bilder de mest troliga att innehålla potentiellt skadlig metadata.

Konsekvenserna av att man omedvetet lämnar ut gömd data kan sträcka sig från mindre pinsamheter till astronomiskt kostsamma!

I den senare kategorin hamnar metadata som hittades i ett dokument från läkemedelsjätten Merck. Metadata i dokumentet bevisade att de medvetet hade raderat information beträffande kardiovaskulära risker vid användning av läkemedlet Vioxx innan de skickade in information till New England Journal of Medicine.

Detta resulterade i att Merck blev tvungna att betala 950 miljoner US dollar i skadestånd och erkänna sig skyldiga till brottsåtalet, enligt The New York Times.

Nya plattformar ställer nya krav!

Enligt en färsk undersökning som gjorts av SANS Institute bland fler än 100 stora företag och 1000 mindre företag i USA och Europa, över hur de resonerar kring Informations- och IT-säkerhet så kan man utläsa följande intressanta fakta:

Cirka 75 procent av de tillfrågade företagen är mer eller mycket mer oroade över IT säkerhetsproblem och olika typer av intrång nu än för ett år sedan.

Över 70 procent av de tillfrågade för aktiva diskussioner om hur man kan skydda och kontrollera åtkomst till data i molnet eller virtuella miljöer, via kryptering eller olika autentiseringslösningar. Autentisering av mobila enheter, certifikat-baserad autentisering, mjukvaru autentisering och lösningar för säker användning av webbläsare toppar listan över intresse för nya autentiseringslösningar.

Mer än 45 procent av de tillfrågade indikerar att de är intresserade av dessa nya autentiseringslösningar.

Drygt 67 procent av de tillfrågade har kommit väldigt långt i sin planering för att implementera nya lösningar för autentisering och skydd av data i molnet, i virtuella miljöer eller i mobila plattformar. Denna utveckling drivs i hög utsträckning just av en ökad användning av dessa nya plattformar.

Mer än hälften av alla tillfrågade säger att de letar efter eller kommer att leta efter nya lösningar för att skydda och autentisera data i molnet, i virtuell miljö eller i mobila plattformar för att kunna implementera detta inom 9-12 månader.

Dessutom är det 95 procent av alla tillfrågade som anser att, även om kryptering av data eller autentisering av åtkomst till data är viktigt för framtiden, så måste dessa lösningar kompletteras med periodiska säkerhets och sårbarhetsanalyser av alla interna IT-system för att kontrollera att alla system håller rätt nivå. Paralleller dras vid företag som tar backup av sin data men sedan inte kontrollerar att dessa backuper går att läsa tillbaka, utan upptäcker detta först vid ett skarpt läge där man inte kan återskapa viktig data.

Det är viktigt att man inte blint litar på att de säkerhetslösningar man har fungerar som det skall utan att man faktiskt kontrollerar detta faktum. Om ett intrång skulle ske, är det även viktigt att kunna identifiera vilken väg som angriparen utnyttjade för att kunna stänga hålet samt att potentiellt kunna spåra angriparen.

Att fler och fler företag anammar ny teknik och nya plattformar medför även helt nya krav på applikationer och lösningar för att hantera datasäkerhet, men innebär även att nya metoder och verktyg för att kontrollera säkerheten hos dessa applikationer och lösningar måste implementeras.