Slik får du mest sikkerhet for pengene

Gartner har et prioritert forslag til hvordan bedrifter bør disponere sitt IT-sikkerhetsbudsjett i år.

Analyseselskapet Gartner har nylig publisert rapporten Desktop Personal Firewalls: When to Buy, When to Wait. Utgangspunktet for rapporten er en diskusjon om når det lønner seg for en bedrift å investere i personlige brannmurer på alle stasjonære PC-er, gitt at IT-budsjettet er stramt og at også sikkerhetstiltak må settes opp mot hverandre. I praksis er rapporten en generell veiledning for hvordan man skal foreta denne prioriteringen, for å få mest mulig sikkerhet for pengene som skal brukes på IT-sikkerhet i 2005.

Gartner forutsetter, i tråd med tidligere anbefalinger, at alle bærbare PC-er i bedriften har personlige brannmurer under sentral kontroll. Det forutsettes også at man har korrekt implementert antivirus. Rapporten tar ikke opp generelle sikkerhetstiltak på randen av nettverket, men spesifikke tiltak rettet mot PC-er i bedriftens eget nettverk.

I stedet for å utstyre også alle stasjonære PC-er med personlige brannmurer under sentral kontroll, er det mer lønnsomt med følgende tiltak, i prioritert rekkefølge:

  1. Kjapp patching av alle systemer
  2. Skanning, fjerning og blokkering av all spionvare
  3. Vern og styring av alle WLAN-forbindelser
  4. Tiltak for å hindre potensielt infiserte maskiner fra å kople seg til lokalnettet

Gartner peker på at all verdens brannmurer ikke hadde hindret ødeleggende ormer av typen Blaster. Det typiske for de mest ødeleggende ormene er at de utnytter kjente sårbarheter i utbredt programvare, sårbarheter som det allerede finnes fikser for, men som mange ikke installerer raskt nok. Det er langt mer regningssvarende å sørge for at fikser og sikkerhetsoppgraderinger installeres så kjapt som mulig, enn å investere i sentralt driftede personlige brannmurer, mener Gartner.

Spionvare er en stadig økende sikkerhetsrisiko. Den formidles gjennom nettleseren, og kan ikke stanses av brannmurer. Derfor er antispionvare og antivirus begge påkrevet på enhver PC i lokalnettet. De må styres sentralt slik at ingen er i stand til å deaktivere dem. Sentralt kontrollert antispionvare på hver PC er en bedre investering enn sentralt kontrollert personlig brannmur, mener Gartner.

Sikkerhetshensyn tilsier at WLAN-aksesspunkter bare skal kunne installeres av den sentrale IT-organisasjonen. Tiltak for å hindre uvedkommende tilgang til lokalnettet gjennom WLAN-forbindelser må prioriteres høyt, mener Gartner. Vern mot WLAN-snoking er dyrt, men påkrevet.

Som et supplement til kjapp patching av alle PC-er, kreves tiltak for å hindre potensielt infiserte maskiner fra å få tilgang til nettverket. Det innebærer at bærbare maskiner og PC-er som fysisk står utenfor lokalnettet, for eksempel gjennom en VPN-forbindelse, kontrolleres før de gis tilgang til interne tjenester. Maskiner uten påkrevde fikser, oppdatert virusvern med mer, skal ikke slippes til før de er konfigurert i samsvar med bedriftens sikkerhetspolitikk. Det finnes produkter for dette, kjent under felles betegnelsen «Network Access Control» eller NAC. I 2005 mener Gartner at NAC på VPN-forbindelser bør få høyere prioritert enn personlige brannmurer på stasjonære PC-er. Innleide konsulenter med egne PC-er bør ikke gis direkte tilgang til lokalnettet, men tvinges til å gå veien om VPN og NAC. På den andre siden har mange personlige brannmurer egen NAC, slik at det ikke er vanskelig å tvinge bærbare PC-er gjennom en konfigurasjonskontroll, mener Gartner.

Gartner understreker at denne prioriteringen gjelder for 2005. Tendensen går i retning av at personlige brannmurer i stadig større utstrekning integreres i helhetlige sikkerhetspakker, og at de faktiske omkostningene ved å drifte dem faller. Innen 2009 vil personlige brannmurer i praksis være gratis, og innen 2010 vil praktisk talt alle stasjonære PC-er ha en. Mens det i dag bare er påkrevet å utstyre bærbare PC-er med personlig brannmur, ifølge Gartner, bør man fra 2006 vurdere å utstyre også stasjonære PC-er med personlig brannmur, i første omgang maskiner som brukes til kritiske oppgaver.

    Les også:

Til toppen