IBM kunngjorde i dag at de setter av 1,5 milliarder dollar for å utvikle et helhetlig «ende til ende» tilbud av produkter og tjenester innen IT-sikkerhet for bedrifter, basert på risikovurderinger og risikostyring i forhold til kundens helhetlige virksomhet.
Les også:
- [01.11.2007] IBM vil bygge IT-sikkerhet på risiko
Torgeir Daler, IBMs sikkerhetsansvarlig i Norden, har utarbeidet en liste på ti punkter som er viktige for å oppnå tilfredsstillende sikkerhet i en virksomhet. Listen gjenspeiler den praksisen Daler står for: Den forutsetter ikke at man velger produkter eller tjenester fra en gitt leverandør.
Her er listen, i sin helhet:
10 punkter som er viktige for å oppnå tilfredsstillende sikkerhet i en virksomhet.
1. Sikkerhetspolicy (med fokus på totalsikkerhet og balanse i sikringstiltakene).
Virksomhetens ønskede sikkerhetsnivå må dokumenteres og forankres i en overordnet policy som omfatter hele organisasjonen. Det er viktig at denne policy gjelder alle forretningsprosesser, samt at den ønskede policy er i balanse med den risiko som virksomheten kan utsettes for (se punkt 2). En sikkerhetspolicy må også gi krav om effektive rutiner i alle ledd og et nødvendig kontrollapparat.
2. Risikovurdering (Risk Management)
En god sikkerhetsstrategi baserer seg på virksomhetens kjennskap til eget sikkerhetsnivå, risikoer, konsekvenser ved sikkerhetsepisoder, gjenopprettingsevne og tilgjengelighetskrav. Ledelsen bør som utgangspunkt ha detaljert oversikt over finansielle tap som kan påføres virksomheten ved avbrudd i vitale tjenester, eller ved tap/manipulering av følsom informasjon. En prioritert liste over de mest kritiske forretningsprosesser bør også være resultatet av dette arbeidet.
3. Organisasjon og ansvar
Det er viktig at det er etablert en sikkerhetsorganisasjon i virksomheten, der sikkerhetsansvaret er klart definert og tildelt både gjennom stab og linje. Sikkerhetsorganisasjonen skal understøtte policy, prosesser og prosedyrer.
4. Regler og retningslinjer
For å oppnå tilstrekkelig sikkerhet i virksomheten, er det av avgjørende betydning at det finnes klart definerte regler og retningslinjer som ledelsen og de ansatte skal følge for å ivareta påleggene. Eskaleringsveier samt personellmessige reaksjoner ved regelbrudd må også være definert og forstått.
5. Utdannelse, bevissthet og motivasjon
Sikkerheten ivaretas ikke ved alene å utarbeide policy, regler og prosedyrer. De ansatte må ha et forhold til og være mest mulig motivert for sikkerhet i sitt daglige virke. En bevisst holdning til sikkerhet oppnås gjennom bevisstgjøring, motivasjon og opplæring.
6. Gradering av informasjon
Informasjon innen en virksomhet innehar forskjellig sensitivitet for virksomheten, noe som gir forskjellige behov for beskyttelse. Det er viktig at det finnes et formelt graderingssystem for informasjon, slik at de ansatte vet hvordan slik informasjon skal behandles. Gradering av informasjon, identitetskontroll og tilgangskontroll bidrar til å forhindre at informasjon om virksomheten gjøres tilgjengelig for uautoriserte personer. Dette bidrar igjen til økt tiltro til informasjonsforvaltningen både for eiere, ansatte, og kunder.
7. Håndtering av trusler (tiltak mot innbrudd, virus, spam, spyware osv)
Det er viktig at basistiltak mot de største farene er identifisert, forstått, implementert og regelmessig evaluert. Den raske teknologiske utvikling krever at virksomheten stadig justerer sine tiltak for å holde tritt med endringene i trusselbildet. Ikke minst må gode antivirus-verktøy, brannmurer og tiltak for å hindre de mest vanlige angrep stadig revurderes og kvalitetssikres.
8. Kryptering og elektronisk signaturer (PKI)
Et av de beste informasjonssikkerhetstiltak er innføring av kryptering, både på lagrede data (som kan mistes/stjeles) og på overføringslinjer. Kryptering sikrer både mot kompromittering av informasjon, at man vet hvem man kommuniserer med, og at informasjonen ikke er urettmessig endret. Kryptering av informasjon og elektroniske signaturer er en forutsetning for effektiv og sikker kommunikasjon.
9. Robuste forretningsprosesser
Virksomhetene bør ha detaljert kunnskap om sammenhengen mellom forretningsprosessene, datasystemene som støtter opp under disse prosessene, og effektiviteten, kvaliteten og hastigheten på gjenopprettingsevnen for de mest kritiske forretningsprosessene. Det handler om evnen til å håndtere krisesituasjoner og foreta effektiv gjenoppretting av maskinvare, programvare og data. Dette berører alle deler av virksomhetens produksjonssyklus.
10. Oppfølging og kontroll (revisjon, selvkontroll osv)
Planer, prosesser og rutiner må jevnlig testes, verifiseres og oppdateres for å opprettholde tilstrekkelig sikkerhetsnivå. Ethvert sikkerhetstiltak som iverksettes har et kretsløp. Kretsløpet omfatter planlegging, design, implementering, evaluering og justering av sikkerhetstiltakene i tråd med forretningsutviklingen. Forretningsprosesser og deres sikkerhetsrutiner må derfor jevnlig evalueres. Feil og forslag om forbedringer bør resultere i ny gjennomgang av bedriftens sårbarhet, med påfølgende justering av sikkerhetstiltak – en kontinuerlig prosess med aktiviteter som går i sirkel.
