Vi kjøper teknologi fordi vi stoler på at teknologien skal redde oss, eller bringe oss fram til målet vårt; bedre sikkerhet. Vi legger da ansvaret på teknologien, fordi vi ikke har lyst til å ta mer stilling til det enn nødvendig, sier Filip Fog i Netsecurity.
Les: Ingen ønsker sikkerhet, men alle må ha det.
Det er ofte vanskelig å vite hva man bør prioritere når man har som mål å forbedre informasjonssikkerheten. Det er mange der ute som ønsker å selge deg produkter og løsninger som har som mål å bedre din sikkerhet. Men du har ikke ressurser til å velge alle løsningene, og da må prioritere.
Filip Fog mener Informasjonssikkerhetskalaenen The Sliding Scale of Cyber Security, er en god modell å bruke.
Modellen trekker fram fem kategorier i prioritert rekkefølge:
Informasjonssikkerheten må ligge på et godt fundament for at den skal holde. Sikkerheten må også følge prinsippet om lagvis sikkerhet. Dette er et prinsipp som går ut på å opprette flere forebyggende tiltak som skal redusere skade. Dette prinsippet blir ikke bare brukt i IT-verdenen men også i andre fagområder; bygg og anlegg, politiet, helse mfl.
Det å legge et godt fundament tar tid og er krevende. Det må planlegges, kartlegges og etableres. Ikke nok med det, det må også holdes ved like. Fundamentet, eller med andre ord arkitekturen, skal dekke bedriftens behov. Dersom behovet endrer seg, så må også fundamentet av og til også legges på nytt.
Det er ingen fasitsvar på hva som er beste arkitektur eller beste fundament, men det som må være starten er et godt design, som møter forventningene og behovene. Planen bør lages i tråd med gode retningslinjer. Deretter kan «jernet» som skal brukes i fundamentet kjøpes inn. Og så kan vi etablere forebyggende tiltak for skade.
I følge Fog går forebyggende tiltak som regel under kategorien passiv sikkerhet. Gode forebyggende tiltak er systemer som blir lagt til i arkitekturen for å gi konsis beskyttelse uten konstant oppfølging fra mennesker.
Det er noen forebyggende tiltak som går under kategorien aktiv sikkerhet. Eksempler på dette er overvåking, respondering og regelmessig helsesjekk. Disse tiltakene krever betraktelig mer ressurser og bidrar ikke til like mye sikkerhet som de andre passive tiltakene. De er allikevel veldig viktig for å vite «rikets tilstand» eller "husets tilstand".
Det er vanlig å kjøpe brannalarmer, eller inngå en avtale med en overvåkingssentral som skal passe på husets tilstand. Men ofte i IT-verdenen, glemmer man å tenke på hva som skjer når alarmen ringer. Hvilke tanker, prosesser eller rutiner har jeg når alarmen går? Det er en viktig del av aktiv sikkerhet. Uten en god respons hjelper alarmen veldig lite.
Noen sikkerhetsområder har du ansvaret for og har ingen mulighet til å sette bort. Mens andre ansvarsområder har du mulighet til å sette bort. Vi har laget sikkerhetsplattformen Intellisec , en plattform som er bygget nettopp for å tilrettelegge for en slik tilnærming. Du kan gi ansvaret for noen av områdene du ikke har ressurser til, til oss.
Ønsker du å snakke med oss om sikkerhetstjenester, er det bare å ta kontakt.
