|
Det er fristende å påstå at det eneste rådet om informasjonssikkerhet som både er enkelt og godt er at alle andre enkle råd er som regel ikke gode. God sikkerhet krever en helhetlig tilnærming.
Det kan oppstå en alvorlig trussel mot sikkerheten i en organisasjon eller virksomhet dersom en del myter om informasjonssikkerhet får leve og til og med får næring. Det er viktig å huske at vår oppfatning av sikkerhet bestemmes av hva vi er bekymret eller redde for.
Dessverre, sterk kryptering er bare en enkelt brikke og informasjonssikkerhet er et helt puslespill. Sikkerheten blir ikke bedre av en solid lås på hoveddøren dersom vinduer står åpne eller bakdøren er ulåst. Det kan faktisk være en fare at den solide låsen på hoveddøren får så mye oppmerksomhet at vinduer og bakdører blir glemt.
Det er også et viktig poeng at sterk kryptering bare er sterk så lenge den blir brukt på korrekt måte. Det er derfor nødvendig med kompetanse i tillegg til teknologi.
Et viktig begrep for arbeidsstasjoner og bærbare maskiner er klientsikkerhet. Det hjelper ikke at du har god kryptering, hele maskinen må sikres mot uønsket tilgang og innsyn.
Husk at ingen enkelt teknologi kan møte alle utfordringene rundt sikkerhet. Husk også at den som har onde hensikter som regel vil lete etter svakheter i systemet.
På Internettet blir meldinger delt opp i mindre deler, pakker, som sendes hver for seg, som ikke nødvendigvis følger samme vei gjennom nettet, og hvor pakkene flettes sammen med pakker fra andre meldinger.
Enkelte mener at dette er et godt argument for at det er for vanskelig å avlytte meldinger på Internettet. Dessverre er det en myte. Det vil vanligvis finnes knutepunkt for trafikk mellom to parter, og den som ønsker å avlytte kommunikasjon vil ofte forsøke å finne svakheter rundt disse.
Husk også at din egen datamaskin er en del av Internettet, og den kan gjerne være det svake punktet som gjør ulovlig avlytting lett å gjennomføre.
Vinning er et motiv for kriminalitet som det er lett å forstå. Ikke glem at det finnes mange andre motiver. Selv om det kan være vanskelig å forstå hvorfor noen vil drive hærverk mot din virksomhet så er ikke det noen garanti mot at noen faktisk gjør hærverk eller utfører sabotasje mot din virksomhet.
Husk at for noen er det godt nok motiv å bevise at man kan utføre et datainnbrudd. Det er også former for bedrageri hvor den kriminelle kan utnytte din virksomhet som et uvitende mellomledd eller tredjepart for å svindle penger fra andre.
Det kan hende at den kriminelle tror det er verdier der du vet det ikke er noe av verdi, og det kan også hende den kriminelle ser verdier der du tror det ikke finnes noen.
Ikke gjør den feilen at du ser deg blind på motiver. Det er viktigere å forstå handlingene til den kriminelle enn å forstå motivene.
Datainnbrudd etterlater ikke alltid spor. Det er korrekt at det i noen hacker-miljøer er viktig å få anerkjennelse for et innbrudd og at man dermed planter spor, men det finnes også kriminelle som ikke har noe ønske om å øke sin status som hacker på denne måten.
Det er også mange virksomheter som ikke ønsker noen omtale som kan tolkes i den retning at de har dårlig datasikkerhet, eller ansatte som vil unngå oppmerksomhet som kan avdekke at de har vært uaktsomme. Mørketallene på dette området er dessverre store. I virksomheter hvor datainnbrudd dekkes over kan disse hendelsene lett gå i glemmeboken.
Noen ganger møtes problemstillinger hvor de ansatte i en virksomhet er det svake punkt med negative reaksjoner. Det kan være forståelig, det kan være sårende å få et inntrykk av at man ikke har tillit. Problemet er gjerne misforståelser, ikke manglende tillit.
Trusselen er at det kan forekomme noen få råtne epler i en ganske romslig tønne. Det kan også forekomme uhell hvor ansatte uten noen ond hensikt eller forsett om å gjøre noe galt forårsaker et sikkerhetsbrudd. Mange sikkerhetstiltak har derfor som formål å hindre at rene uhell får større konsekvenser enn nødvendig.
Den viktigste oppgaven, og ofte er det den største utfordringen, i sikkerhetsarbeid er å sikre at alle medarbeidere har tilstrekkelig kompetanse til å ivareta det sikkerhetsnivået som virksomhetens sikkerhetspolitikk beskriver.
En viktig del av denne kompetansen er at hver eneste medarbeider er motivert til å følge rutinene i en sikkerhetshåndbok.
Uten motivasjon og kompetanse blir sikkerhet et lykkespill.
Like viktig er det å skaffe seg en ryddig oversikt over registre, databaser og systemer som skal beskyttes. Denne oversikten er grunnlaget for å gjøre en samlet risikovurdering som kan identifisere de største truslene.
Oppdatert 2003-07-06, © Digme
Meld gjerne fra om feil eller mangler.