Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 28. oktober 2005.
Stigende kompleksitet i it-miljøerne samt strengere lovkrav til it-sikkerhed får flere virksomheder til at outsource dele af it-sikkerheden, og eksterne sikkerhedskonsulenter gennemgår virksomhedernes sikkerhedsopsætning.
Outsourcing af it-sikkerhed er ikke kun et spørgsmål om firewalls og netværksovervågning. Det handler også om hjælp og sparring til at definere en sikkerhedspolitik.
Når man tænker på sikkerhed i forbindelse med it, tænker de fleste nok på antivirus-programmer, firewalls og andre tekniske sikkerhedsforanstaltninger. Sikkerhed er dog mere end teknik. Det handler i høj grad også om at etablere fornuftige sikkerhedsprocedurer i virksomhederne.
- Der er forskellige niveauer af sikkerhedsoutsourcing. Nogle outsourcer måske firewall-administrationen og netværksovervågning, men mange har også et behov for, at eksterne sikkerhedskonsulenter analyserer virksomhedens nuværende sikkerhed og assisterer med at definere en sikkerhedspolitik, siger Khalda Parveen fra analysefirmaet Gartner.
Gartner forventer en vækst på 10,7 procent på markedet for konsulentydelser inden for sikkerhed i tidsrummet 2004-2009. En stor del af de konsulentydelser vil være rettet mod sparring og rådgivning inden for udvikling af sikkerhedspolitikker. It-leverandørerne har da også indset nødvendigheden af at supplere teknologien med sikkerhedsrådgivning.
- Sikkerhed er typisk forankret i netværksafdelingen eller i server-afdelingen, hvilket gør sikkerhed meget produktorienteret. Er der noget, sikkerhed ikke er, så er det produktorienteret, siger Poul Martin Kjeldgaard fra HP's Technology Services. Han understreger, at sikkerheden ikke bare kommer af sig selv, når man har købt de nødvendige tekniske sikkerhedsprodukter:
- Mange virksomheder har eksempelvis branddøre og brandslukkere. Brandslukkerne bliver ofte anvendt til at holde branddørene åbne for at få frisk luft ind i et rum. Det er et eksempel på to sikkerhedsprodukter, der uden fornuftige sikkerhedsprocedurer faktisk kommer til at fungere potentielt skadeligt, siger Poul Martin Kjeldgaard.
Sikkerhedsekspert Henrik Lund Kramshøj fra security6.net supplerer:
- Førhen troede man, at man kunne købe sikkerhed i en papkasse. Man skulle blot installere et sikkerhedsprodukt; så var sikkerheden på plads. Det er ikke tilfældet. Det er nødvendigt at etablere procedurer og løbende vedligeholde sit sikkerheds-setup, siger Henrik Lund Kramshøj.
Ifølge Henrik Lund Kramshøj vil et sikkerheds-setup, der ikke indgår i nogle faste sikkerhedsprocedurer, blot give en falsk tryghed og det kan i nogle tilfælde være direkte farligt.
- Et intrusion detection-system kan eksempelvis også blive udsat for hacking. Hvis det ikke vedligeholdes, kan det være skadeligt for sikkerheden, da hackerne kan anvende et hul i intrusion detection-systemet til at komme videre ind i virksomhedens it-systemer. Eksempelvis blev der for nylig udsendt en sikkerhedsrettelse til Snort (intrusion detection system), der lukkede et potentielt sikkerhedshul, siger Henrik Lund Kramshøj.
Også IBM understreger behovet for at se sikkerhed i et større perspektiv.
- Sikkerhed er et spørgsmål om teknologi, processer og folk. Det er eksempelvis et problem, hvis en virksomhed har købt firewalls og intrusion detection, men ikke har folk og processer på plads til at overvåge systemet. Så får man ikke analyseret logs ordentligt og i tide til at forebygge eller opdage angreb, siger Martin Grundtvig fra IBM's Sikkerhedsgruppe.
En vigtig opgave er at få prioriteret sikkerheden.
- Typisk sætter organisationen sig sammen med sikkerhedskonsulenterne og kategoriserer forretningens aktiver. Aktiver kan være en database, en server eller en forretningsproces som modtagelse af ordrer. De forskellige aktiver kategoriseres efter, hvor vigtige de er for forretningen. Herefter begynder man at se på, hvordan man skal beskytte de vigtigste aktiver, siger Khalda Parveen fra Gartner.
Hos HP er man opmærksom på, at virksomhederne skal foretage en prioritering, så der kan sættes ind på de rigtige områder.
- Det giver ingen mening at bruge mange penge på at reducere en sårbarhed, hvis der reelt ikke er en trussel, siger John Piatt, leder af HP's Security Services i EMEA.
Hos IBM griber man sikkerheden an ved at yde konsulentassistance til risikoanalyse og konsekvensanalyse.
- Ved risikoanalysen finder vi ud af, hvordan sikkerhedsniveauet er. Hvor stor er sandsynligheden for, at det går galt? Ved konsekvensanalysen undersøger vi hvad der sker, hvis det går galt. Hvad koster det for virksomheden i direkte omkostninger som tab af data og penge, men også indirekte som tab af tillid og kunder, forklarer Martin Grundtvig fra IBM.
Billedtekst:
tredeling Lederen af IBM's danske sikkerhedsgruppe,
Martin Grundtvig, pointerer, at ud over teknologi er der to vigtige ingredienser i sikkerhed:
Mennesker og processer.
Boks:
Definition af sikkerhed
En virksomheds it-sikkerhed skal understøtte virksomhedens forretningsproceser. It-sikkerheden skal sikre tre ting:
Tilgængelighed: Forretningsprocesserne skal være tilgængelige.
Fortrolighed: Kun folk, der har ret og behov for at se data, får lov.
Integritet: Data i et it-system skal være korrekte. Uautoriseret adgang til eller ændring af data skal forhindres.
ƒIntrusion Detection Systems (IDS)
Et Intrusion Detection System er software/hardware der forsøger at opdage unormal, muligvis ondsindet, aktvitet på et netværk eller en server. Et serverbaseret IDS anvender systemlogs og andre logs til at identificere mistænkelig aktivitet. Et netværksbaseret IDS anvender netværkssensorer til at scanne netværkstrafikken for mistænkelig netværkstrafik. Begge dele kan producere anseelige datamængder, der skal analyseres for at fjerne såkaldt falske positiver; aktivitet som kunne være ondsindet, men som blot er en del af den normale system eller netværksaktivitet.