EMC World, Las Vegas: Sikkerhed i form af separate eksterne software- og hardware-produkter er ikke godt nok.
Hvis man kun forsøger at takle sikkerhedsudfordringen på denne måde, vil man hele tiden halte et skridt efter truslerne. Derfor er vi nødt til at bygge sikkerheden ind i infrastrukturen. Sådan lød ordene i dag fra Arthur Coviello chef for EMC’s sikkerhedsdivision på EMC World 2008.
"Det første trin til en god sikkerhed er, at man skal kende indholdet af sine data, hvis man ikke forstår sine data, kan man ikke beskytte dem," sagde han.
"Hvis vi ikke bygger sikkerheden ind i systemerne, svarer det til, at en bilfabrikant først bygger bremser ind i en bil når uheldet er sket," sagde Arthur Coviello.
Ideen med at bygge sikkerheden ind i infrastrukturen er ifølge EMC, at man på denne vis kan overhale truslerne indenom.
"Traditionelle sikkerhedsprogrammer som antivirus og firewall er ikke gode nok til at beskytte os i dag. De bygger nemlig på at fejl først rettes efter de er opstået, og derfor er man hele tiden et skridt bagud."
"Løsningen er, at man lærer indholdet af sine data at kende og sikre dem efter en prioritering," sagde Coviello.
Ikke en skudsikker plan
I et stille hjørne langt væk fra konferancesalens larm fortalte Rena Mears, der er partner i Deloitte & Touche LLP, om firmaets erfaringer med at differentiere data.
"Vi startede processen med at analysere forretningsmodellerne i firmaet og kategoriserede vores data. Herefter så vi på de teknologimuligheder, der kunne understøtte vores forventninger og lagde en plan for infrastrukturen. Først herefter designede vi den endelige løsning," fortæller hun.
"Trods de gode intentioner er vores løsning ikke 100 procent skudsikker, og der stadig opstår sikkerhedsproblemer, men vi har nu overblik over situationen," fortæller Rena Mears.
Krypter kun det nødvendige
Sikkerhedsanalytiker Rob Enderland fra Endeler Group, fortæller ligeledes, at planen ikke er helt vandtæt. Blandt andet fordi, man efter hans vurdering kun skal sikre efter behov.
"Man behøver ikke kryptere hele serverparken bare fordi, der ligger et enkelt dokument af høj vigtighed, det er i øjeblikket både dyrt og besværligt," sagde han.
"Men det er væsentligt, at man prioritere informationsværdien i dokumenterne, og lægger det nødvendige sikkerhedsniveau på de enkelte servere," lød det fra ham.
Det bliver dyrere men ikke tryggere
Ifølge analysehuset IDC’s opgørelse er udgifterne til sikkerhed steget fra 1,5 procent af de samlede sikkerhedsudgifter i 2001 til fem procent i 2008.
"Trods de øgede udgifter føler vi os langt fra mere sikre i dag end vi gjorde i 2001," sagde Arthur Coviello fra EMC i sit indlæg. "Det skyldes eksempelvis, at der i dag udvikles flere malware-programmer end regulære software-programmer."
For at kunne sove trygt om natten skal man derfor udarbejde en sikkerhedsplanen for sine data og den skal rumme overvejelser om tre elementer, lød det fra konferencecentrets talerstol.
Ifølge Arthur Coviello skal den indeholde overvejelser om, hvordan man opnår sikker adgang til netværkets data, således at man undgår banale problemer med eksempelvis statiske bruger-passwords, der er nemme at omgås og derved kan give uvedkommende adgang til informationer på trods af at der er krypterede.
Selve datastrømmen skal sikres ved hjælp af kryptering, der er tilpasset sikkerhedsniveauet, og så skal man sidst men ikke mindst overvåge hele sit miljø, både hardware og software, og løbende vurdere om sikkerhedsniveauet er tilfredsstillende.
Grundlaget for sikkerhedsniveauet skal lægges på baggrund af firmaets differentierede behov og de lovmæssige krav, der er gældende, lød det fra Arthur Coviello.
