Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Velkommen.
Danske Banks legendariske direktør op gennem 1980’erne, Tage Andersen, var kendt for såkaldte omvendte sprogblomster. Således sagde han engang: “Sig mig, er der da ingen huller i journalisters uvidenhed?”
Det samme kunne man godt sige om min start i cybersecurity-verdenen. Jeg troede – temmelig naivt – på, at jeg med en teknisk baggrund ville lære emnet på et par uger.
Men efter en uge var jeg komplet desillusioneret og måtte erkende, at det nok ville tage et års tid. Præcis som min daværende chef havde sagt.
Det er imidlertid ikke nok at konstatere, at emnet cybersikkerhed er svært.
Der skal gøres noget ved det. Vores regering har desværre gjort det unødigt ineffektivt og kompliceret, og det beskriver Mogens Nørgaard rigtig godt her.
Som skrevet før, så kommer store samfundsændringer altid nedefra.
Tillad mig derfor at introducere Folkeligt Oplysningsforbund for Cybersikkerhed – det højeste organ for din digitale sikkerhed. En demokratisering af den lidt lukkede cybersecurity-verden, forstås.
Første lektion
Den første lektion kommer til at handle om Posture Management.
Nogle vil måske tro, at posture management handler om kropsholdning. Og nogle vil måske erindre idrætstimerne, hvor læreren sagde: “Tilbage med skuldrene, frem med brystet og ret ryggen”.
Men lad mig undlade at rippe op i gamle traumer og i stedet få en rigtig SME (en Subject Matter Expert) til at forklare det.
Dagens SME er min højt estimerede kollega Balder Borup, som – ulig mig – rent faktisk ved, hvad han snakker om.
Posture management er helt essentielt for både individer og virksomheder i vores digitale verden. Så man kan sige, at posture management – ligesom en kropsholdning – handler om, hvordan vi er i stand til at imødegå og håndtere digitale trusler.
Ligesom en dårlig kropsholdning kan føre til dårligt helbred, så kan dårlig posture management have alvorlige konsekvenser for individet og for virksomheder. Dette kunne for eksempel være finansielle tab, et dårligt omdømme eller juridiske konsekvenser.
En af nøglekomponenterne i posture management er risikoanalyse. Mange vil måske korse sig, når en leverandør tilbyder en assessment. Men det er helt essentielt at få et overblik over, hvor cybersecurity-skoen trykker.
Det er værd at bemærke, at denne type risikoanalyse, ikke er en statisk begivenhed. Det er således vigtigt, at man kontinuerligt får vurderet, hvor klar man er til at imødegå cybersecurity-trusler.
Så når din leverandør tilbyder dig en assessment, så er det ikke for at få folk til at græde i kor.
Eller for at stille kætterske spørgsmål. Det er for at give dig den bedst mulige sikkerheds-posture.
Alle disse vurderinger udmønter sig i implementering af reelle sikkerhedstiltag. Det kan være, at du skal have opgraderet din firewall, din endpoint-sikkerhed, din cloud-sikkerhed eller din applikations-sikkerhed.
Opdateringer nu!
Generelt, så skyldes mange sikkerhedsbrister, at man ikke får opdateret.
Det kan ikke siges ofte nok, at ny firmware, nye drivere eller ny software kan forhindre mange sikkerhedshændelser. Faktisk, så opfandt Mikkel engang en ny jobfunktion – en såkaldt updater – og det kan du læse mere om her.
Udover almindelig cyber-hygiejne på de digitale sikkerhedsforanstaltninger, som du nu engang har, så er uddannelse og konstant træning også vigtige komponenter.
Mange har sikkert erfaret, at store organisationer ofte tester deres medarbejderes evner indenfor netop dette felt.
Dette kan i mange tilfælde gøres automatisk ved for eksempel at tvinge brugere til at lave et stærkt password, lukke for adgangen til kompromitterede hjemmesider eller at teste e-post, før det leveres.
Men når det kommer til posture management i cloud-miljøer, så er der flere ting, der gør sig gældende.
Kunsten at opdage fejlkonfigurationer er af kritisk betydning. Tal viser nemlig, at fejlkonfigurationer står for hele 82 pct. af alle sårbarheder i cloud-miljøer.
Det er selvsagt et meget højt tal.
Således kan evnen til at opdage og udbedre fejlkonfigurationer være altafgørende for ens virksomheds sikkerhedsprofil.
Men 82 procent er også så højt et tal, at mange virksomheder – og måske i særdeleshed, de mennesker der arbejder i virksomheden, vil føle, at det er en uoverkommelig opgave at løse.
Man fristes til at spørge, om det overhovedet er rimeligt at putte et menneske ind i den ligning?
Så når man får lavet en gennemgang af sit miljø, skal man også sørge for, at der bliver leveret en prioriteret liste.
Det er en liste, der definerer hvilke fejlkonfigurationer, der har høj betydning for virksomhedens sikkerhed, og hvilke der er knap så vigtige.
Mange virksomheder har test-miljøer, og her gør det måske ikke så meget, at disse ikke har det højeste niveau af sikkerhed.
Er der derimod adgang direkte fra internettet, ind til en database i produktionsmiljøet, så skal der naturligvis tages hånd om det med det samme.
Udover fejlkonfiguration, så arbejder man også med et begreb i sikkerhedsverdenen, som kaldes ShiftLeft.
ShiftLeft betyder blot, at man meget tidligt i udviklingsfasen begynder at implementere sikkerhed. Hvis man får udviklerne til at implementere sikkerhedstjek i de-res kodning, så ender man med en langt mere robust applikation.
Den stigende brug af open source gør sikkerhed i udviklingsstadiet endnu mere vigtig end hidtil.
Open source gør en masse godt for verden. Det effektiviserer programmørers arbejde i en ekstrem grad, da man ikke skal opfinde den dybe tallerken, hver gang man går i gang med noget nyt.
Open source har dog den skyggeside, at alle har tilgang til det.
Man kan derfor ikke være sikker på, at der ikke er indlejret kompromitterende funktioner i den kode man ”låner”. Således vil en løsning, der tjekker koden for sårbarheder, hjælpe til med at sørge for en mere robust applikation.
Et praktisk eksempel på posture management kunne være, at en virksomhed ønsker at flytte en del af deres workload fra et traditionelt selvejet datacenter til en cloud-leverandører.
Som en del af denne proces vurderes det, hvor egnet det givne workload er til at blive cloud-enabled. Altså: Hvor klar er den givne applikation til at blive afviklet “ude i byen”, og hvilke sikkerhedsrisici medfører dette?
Generelt bliver vi mennesker meget hurtigt risikoblinde, hvis en trussel ikke er top-of-mind.
Tænk på, at alle troede, at Rusland ikke længere var en trussel for verdensfreden. Altså indtil de var det igen.
De geopolitiske realiteter har det med at bide hårdt. Ergo, så skal man aldrig smide sine cybersecurity-ulveklæder og vende tilbage til græsgangen som et lam.
Konklusion: posture management er en kombination af noget teknisk, en regelmæssig vurdering af ens cybersikkerheds-parathed og noget uddannelse. Alt sammen for at beskytte ens digitale virke i fagre nye verden. Mægtigt.
Sværere er det såmænd ikke.
Kommentarer modtages altid med glæde på mikkel.terp@gmail.com.
Husk, at vi i Danmark ikke lever i en binær struktur, hvor du enten er imod eller med. Det er således helt fint at have et åbent sind eller en anden mening.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
