Fra Computer Associates har vi fått tilsendt dette forslaget til nyttårsforsetter for en norsk IT-sjef. Det er teknisk sjef Øyvind Andhøy i Computer Associates Norge som står for utformingen:
1. Mennesker utgjør den største risikoen.
Det handler ikke så mye om ondsinnethet når sikkerheten kompromitteres, men manglende innsikt og forståelse. Jeg vil hele tiden ha i tankene at mennesker er det svakeste leddet i sikkerhetskjeden og jeg vil bruke ressurser på å forbedre informasjon, atferd og holdninger. Mine medarbeidere skal forstå hva de kan bidra med for å øke sikkerheten og alle mine sikkerhetseksperter skal ha god opplæring og sertifiseres.
2. Øke samspillet mellom drift og sikkerhet.
Sikkerhet dreier seg om Konfidensialitet, Integritet og Tilgjengelighet. Sikkerhet og drift er uløselig knyttet til hverandre, uten god drift vil jeg aldri være sikker og uten god sikkerhet kan vi aldri få stabil drift. Jeg må derfor øke min interaksjon med IT drift avdelingen og sørge for at vi kan overføre kunnskap og erfaring til hverandre. Vi skal etablere gode prosesser oss i mellom for sikker og stabil drift til det beste for forretningen.
3. Jeg vil bli mer proaktiv ved å holde meg oppdatert på hva som skjer ute, hvordan det påvirker min infrastruktur og hva jeg må gjøre for å opprettholde god sikkerhet.
Jeg skal anskaffe meg verktøy for å holde meg informert om hvilke sårbarheter som til enhver tid finnes og hvordan de påvirker min infrastruktur. Jeg skal bli holdt løpende oppdatert om endringer ute og i min infrastruktur og jeg vil ha konkrete råd om utbedring. Mitt foretrukne system skal automatisk sørge for oppdatering i henhold til vår policy eller være beslutninger.
4 Sikkerhetsinformasjon system.
Jeg får alt for mye data og informasjon fra mine sikkerhetssystemer. Jeg trenger ikke data og informasjon, men kunnskap. Jeg vil etablere et helhetlig sikkerhetsinformasjonssystem som samler informasjon fra alle mine sikkerhetssystemer, som korrelerer og filtrerer og hjelper meg å prioritere, rapportere og dokumentere. Kun på den måten får jeg kunnskap om vår sikkerhet og kapasitet til å håndtere de viktigste hendelsene når de skjer.
5. Single Sign On, bruker og passordadministrasjon.
Jeg vil gjøre det enklere for brukerne å holde våre IT-systemer sikre ved å utnytte teknologi for bruker- og passord- administrasjon. Brukerne skal ha 1 – ett - brukernavn og passord som skal gi adgang til alle nødvendige systemer. Da blir systemet sikrere og vi vil spare penger.
6. Sikkerhet på mobile plattformer og trådløst nettverk.
Jeg vil sørge for at våre bærbare datamaskiner, PDA-er, mobiltelefoner holder samme høye sikkerhetsnivå som resten av vårt IT-miljø og våre trådløse nettverk skal være like sikre som våre trådbaserte.
7. Pests og spyware
Jeg skal unngå at vi blir eksponert som en bedrift med dårlig eller mangelfulle systemer for sikkerhet og drift i 2005. Være seg presseoppslag, omtale eller virusmail som blir videresendt fra oss. Jeg vil sikre våre datamaskiner for virus, ormer, spam, pest og spyware, selv om vi kanskje trenger nye og oppdaterte verktøy. Mine systemer skal være riktig konfigurert, vedlikeholdt og oppdatert.
8. Automatisering av sikkerheten
Jeg vil i størst mulig grad automatisere mine sikkerhetsprosedyrer slik at jeg kan konsentrere meg og de oppgaver hvor det virkelig er bruk for meg.
9. Adgangskontroll
Jeg kan ikke lukke nettverket (selv om jeg gjerne skulle ønske det av og til). I stedet skal jeg med gode adgangssystemer, tett integrert med brukeradministrasjonsverktøy, sørge for at våre brukere, kunder og partnere får adgang til den informasjon de har bruk for, når de har bruk for den... men heller ikke mer.
10. Sikkerhet er helhet og må vurderes på alle nivåer
Sikkerhet er helhet, på alle nivåer og integrert. Ikke bare PC-er, men servere, svitsjer, rutere og brannmurer må fungere sammen med vårt operativsystem, databaser, webservere og applikasjoner. Vår IT infrastruktur skal først og fremst understøtte bedriftens behov, men naturligvis slik at vi holder oss innenfor gjeldene lover, regler og forordninger og slik at vi tilfredsstiller de forventninger som stilles til vår bedrift.
