Gartner åpnet mandag et todagers europeisk symposium om IT-sikkerhet. Analytikerne legger fram oppdaterte oppfatninger av hvordan et stadig vekslende trusselbilde skal håndteres. Nytt i år er at offentlige reguleringer og pålegg betraktes som en del av trusselbildet.
Les også:
- [07.12.2006] Oracle klar med suite for «single sign on»
- [18.10.2006] Oracle tettet 101 sikkerhetshull
- [19.09.2006] Advarer mot reguleringsiver innen IT
Hovedbudskapet omfatter flere poeng: Alle tiltak for IT-sikkerhet bør bygge på en risikoanalyse. Legg mulig manglende overholdelse av nye offentlige krav inn i risikoanalysen. Man må forberede seg på morgendagens trusler, ikke gårsdagens. Datakriminaliteten øker kraftig. Man må være forberedt på å øke investeringene innen IT-sikkerhet en periode, før teknologien og markedet blir så modne at de vanlige mekanismene for prisfall slår til.
– Det vil ta minst fem år før nye offentlige reguleringer kan få praktiske virkninger. Det vil komme pålegg som ikke reduserer risiko, for eksempel om regelmessig fornyelse av passord. Reguleringer får sitt eget liv, og virker distraherende i forhold til virkelige utfordringer innen IT-sikkerhet. Det kan være feil prioritering å dekke alle offentlige krav før man tar fatt på det som virkelig teller, sier analytiker Vic Wheatman.
Wheatman anbefaler at også offentlige pålegg betraktes som et risikoproblem.
– Vurder risikoen for følgene dersom du ikke retter deg etter et bestemt pålegg. Offentlige reguleringer er egentlig bare enda en risiko som bedrifter må ta hensyn til. Sørg for at dine verktøy for risikoanalyse er à jour, og vurder IT-sikkerheten helhetlig, sier han.
Særlig større organisasjoner må evne å se framover når de legger opp sin IT-sikkerhet.
– Man må ikke forberede seg på gårsdagens trusler. Prosesser, arkitektur og strategier må være fleksible. Prøv å se noen måneder, og så et år framover.
Det er kommet mye ny teknologi som man bør vurdere.
– Det er nye verktøy for styring av sårbarhet, for å hjelpe til når et innbrudd er oppdaget, for å håndtere ID-er, for å skanne klienter og brukere ved oppkopling og pålogging, for nettverksovervåking og så videre. Hvordan de skal settes sammen og brukes effektivt er ikke gitt ennå. Men det ser ut til at markedet for sikkerhetsprogramvare er i ferd med å modnes. Det vil bidra til å forenkle bruken. Det vil også si at vi er i ferd med å nærme oss en tid da vi kan forvente den samme utviklingen som i andre typer IT, at man etter hvert investerer mindre og likevel får stadig mer funksjonalitet.
_logo.svg.png){kind=logo}
Wheatman mener at sikkerhetsbransjen blant annet har skjønt at man ikke kan stille med stadig flere punktløsninger, etter hvert som virus suppleres med spam og spam suppleres med spionvare.
– Det dreier seg ikke om å få suiter, men om konsolidering av funksjonalitet og om at man skal forholde seg til ett brukergrensesnitt. Spam, virus og spionvare dreier seg om mye av det samme, nemlig skanning. Det skal ikke være nødvendig å skanne flere ganger. Det skal heller ikke være nødvendig å bruke ett verktøy for å patche programvare, og en annen for andre former for oppdatering og utlegging. Dette er konvergens: Slå funksjonalitet sammen og gjør livet enklere.
Kombinasjonen av risikovurdering hos brukerne og konvergens på verktøysiden vil innebære at leverandørene som satser på å være best innen sin nisje, vil lide i konkurranse mot blant annet Microsoft, understreker Wheatman.
– Brukere vil ikke ettertrakte de absolutt beste løsningene, men heller den pakken som beste dekker deres behov. Den beste løsningen vil være å skyte spurv med kanoner. Microsoft vil tjene på dette. De er på vei inn i sikkerhetsmarkedet på både bedrifts- og forbrukersiden, og de vil markere seg gjennom aggressiv prising. De vil også fortsette å stappe sikkerhet inn i eksisterende produkter. Windows XP fikk sin SP2, og Vista vil ha enda mer innebygget sikkerhet. Vi vil merke en tilsvarende tendens hos andre programvareleverandører til å bygge sikkerhet inn i eksisterende produkter. SAP og Oracle har allerede kjøpt teknologi for å gjøre dette. Det svarer til brukernes nye oppfatning om at sikkerhet ikke kan betraktes som noe atskilt: Det må være et konstant hensyn, ikke en ettertanke.
Wheatman mener det er på tide å tenke nytt når det gjelder forholdet mellom brukere og sikkerhet.
– Brukere betrakter sikkerhet som en plage. Blir de pålagt sikkerhetsmotiverte begrensninger, finner de omveier. Du kan pålegge lange og kompliserte passord, men da vil du oppleve at de skriver dem ned på gule lapper som stikkes under tastaturet. Tenk heler på nye løsninger som forenkler brukernes liv samtidig som de øker sikkerheten. En åpenbar måte å gjøre det på er å legge opp til en kombinasjon av sterkere autentisering og single sign on.
