BrandStory er et annonseprodukt, produsert etter gjeldende retningslinjer.

Retningslinjer for BrandStory

BrandStory er en markedsføringskanal for annonsører. Tanken bak annonseformatet er at firmaer med komplekse budskap skal få anledning til å gå i dybden på sine temaer, og ha mulighet til å få direkte feedback fra en relevant målgruppe.

Annonsørene er velkomne til å dele innsikt fra forskning og utvikling, refleksjoner rundt sin rolle i samfunnet og tanker om ledelse.

Produktreklame er ikke tillatt i dette formatet. Annonsører kan heller ikke bruke BrandStory som en kanal for tilsvar på journalistikk som utøves på redaksjonelle flater.

– Lønner sikkerhet seg? Selvsagt kan visse sikkerhetsgrep være for kostbare. Går hele arbeidskapitalen til sikkerhetstiltak må du jo legge ned. Samtidig kan sikkerhetshendelser bli enormt kostbare gjennom tapte inntekter og renommé, sier Esten Hoel, SVP Quality & Security i Basefarm
– Lønner sikkerhet seg? Selvsagt kan visse sikkerhetsgrep være for kostbare. Går hele arbeidskapitalen til sikkerhetstiltak må du jo legge ned. Samtidig kan sikkerhetshendelser bli enormt kostbare gjennom tapte inntekter og renommé, sier Esten Hoel, SVP Quality & Security i Basefarm
Innhold fra annonsør

7 sikkerhetsråd for eiere av komplekse IT-strukturer (også smart for små)


Du trenger ingen gigaprosjekter eller enorme, organisatoriske løft for å heve sikkerheten raskt og mye. Her er 7 sikkerhetsråd og noen knallgode poenger fra Basefarm sikkerhets- og kvalitetspresident for deg med ansvar for skikkelig store og sammensatte IT-strukturer.

 Kanskje har du alt på stell og kan gjøre ingenting? Regelmessige medieoppslag viser imidlertid at det ikke er tilfellet hos mange. Siden folk helst vil være tyst om flaue saker som dette, kan vi regne med at bare toppen av isfjellet er synlig i media.

Råd fra driftseksperter

Basefarm jobber som digitale konsulenter, med devops-plattformer for nyutvikling og med virksomhetskritisk IT-drift, big data-løsninger og hybride skyplattformer levert fra både egne datasentre og offentlige skytjenesteleverandører som Microsoft Azure og Azure Stack.

 Basert på sin brede driftskompetanse kan selskapet fortelle mye om hva som faktisk kan skje av sikkerhetsbrudd i en virksomhet. Det handler om praksis, ikke teori. Basefarm går også inn med konsulenter. Da sørger selskapet for brannslukking av fæle sikkerhetsbrudd og langsiktig etablering av et velfungerende sikkerhetsregime både teknisk og organisatorisk.

 Basefarm gjør dette også hos virksomheter som drifter IT-systemer selv eller partner, og mener at det er sunt å få et blikk utenfra fra en uavhengig aktør.

PEN-test først

Esten Hoel. Han er Senior Vice President for kvalitet og sikkerhet i Basefarm.

– Det første jeg ville gjøre? Kjøre sårbarhetsanalyser og penetrasjonstester! Detectify og andre sårbarhetsanalyseverktøy kan avdekke sikkerhetshull, men det kan likevel være andre mekanismer på plass som gjør tingene vanskelige for hackere. En PEN-test skjer ved en snill hacker som tester sikkerheten på samme måte som skurkene, sier Esten Hoel. Han er Senior Vice President for kvalitet og sikkerhet i Basefarm.

Basefarm ser sikkerhet også fra et forretningsmessig perspektiv.

 – Lønner sikkerhet seg? Selvsagt kan visse sikkerhetsgrep være for kostbare. Går hele arbeidskapitalen til sikkerhetstiltak må du jo legge ned. Samtidig kan sikkerhetshendelser bli enormt kostbare gjennom tapte inntekter og renommé. Det blir en avveining om man vil satse på at ting går bra eller ta kostnadene ved innbrudd.

Esten Hoel 

Senior Vice President kvalitet og sikkerhet, Basefarm

CISM og ITIL Expert sertifisert

Erfaring som senior prosjektleder, kvalitetssjef og teknologidirektør

Driftsleder for 24/7-operasjoner hos både Jernbaneverket og Eurowatch/TRI-MEX

Prosjektleder Norsk Philips AS

Ansvarlig for kommunikasjon og telematikk i NSB Gardermobanen

Tidtagning, resultatservice og TV-grafikk under OL på Lillehammer

Høyskolekandidat informatikk fra Hedmark Distriktshøgkole, Rena

– Som regel er det bedre og rimeligere å patche servere enn på renomméet hvis noe går galt.

 Hoel forteller at den klassiske måten å drive innovasjon og utvikling på, er å holde drifts- og sikkerhetsfolka på armlengdes avstand så lenge som mulig. – Ja, det er utrolig, men sant, sier han.

Kvelden før tjenesten skal i produksjon vil man kanskje sjekke at sikkerheten er god nok, for sikkerhet er jo viktig, tross alt. Problemet er at man da mest sannsynlig finner sikkerhetsutfordringer, men har allerede skapt forventninger om lansering. Så blir det lansering likevel – med uønsket smell, tilbakespoling, medieomtale og mange ukers utsettelse for å få sikkerheten på plass.

– God sikkerhet og compliance gir færre problemer og mer glede. Gjør sikkerhet til en del av hele bedriftskulturen også utover IT, og vær rundhåndet med ros og belønning til de som går i bresjen, sier Hoel.

7 sikkerhetsråd for alle som vil ha sikkerheten på plass

 

#1 Sikkerhet - del av kultur og utvikling

Sikkerhet er et felles ansvar for alle. I nye utviklingsprosjekter kan du fra begynnelsen av etablere sikkerhet som en integrert del av kulturen. Dette gjelder spesielt devops-prosesser med hvor alle fra utvikling til IT-drift jobber på samme plattform. En bonus er at sikkerhet og compliance relativt enkelt kan bli en del av det samme løpet. Å tenke sikkerhet fra dag én er ingen bremsekloss, men snarere en forsikring for å kunne lansere til riktig tid. Det er ikke mange forunt å starte ut med blanke ark og fargestifter på denne måten. Da må de dypere ned i materien for å få sikkerheten inn som en del av livssyklusen til systemer og applikasjoner. De kommer langt ved å følge de øvrige rådene her. 

#2 Ha oversikt, fordi du bærer risikoen

Start med det helt grunnleggende: Ha fortløpende kontroll på fysiske enheter, programvare og integrasjoner internt og eksternt. Dine objekter og data være plassert internt eller hos ulike leverandører, inkludert i skyen. Grunnmuren du bygger gjennom dette krever i større grad disiplinert arbeid enn stor produktkunnskaper og omfattende investeringer. Hvorfor skal du ha oversikt over noe som er eksternt? Det er fordi du godt kan outsource driften, men ikke ansvaret for forretningsrisikoen. Neida, du trenger ikke å vite alt i minste detalj, men like fullt ha ansvar over vesentligste sikkerhetsaspekter på et nokså detaljert nivå. Lykkeligvis er det løsninger og skript som både kan skanne systemer for å bygge og ajourføre dokumentasjon. Basefarm har for sin del investert millioner i å dokumentere og sette opp enhetlig infrastruktur som lett lar seg duplisere for testformål eller nye leveranser.  

Patch your servers not your brand

– Esten Hoel, Basefarm

#3 Sørg for riktig konfigurasjon

Sørg for riktig konfigurasjon av IT-løsningen. Her finnes masse veiledninger til hjelp fra relativt enkle oppgaver som å sette opp en Microsoft Windows-server korrekt til hvordan konfigurere et brannmurnettverk riktig så det slipper inn og ut det som skal, og ikke mer. Utfordre applikasjons- og systemleverandører på det øvrige. Sjekk integrasjonene. 

#4 Bare admin-tilgang til de som må ha

Følg et minimumsprinsipp for tilgang til å tukle med konfigurasjoner (admin-rettigheter). Bare de som har kompetanse til slikt, og som trenger tilganger for å gjøre sin jobb skal få de tilgangene. 

#5 Skann regelmessig

Skann regelmessig - helst automatisk – etter kjente sikkerhetshull med verktøy fra leverandører som for eksempel Basefarms samarbeidspartner for webapplikasjoner: Detectify. Fiks snarest når det oppstår nye sikkerhetshull som verktøyet avdekker. Utviklere skriver i dag 10-20 prosent av koden selv og henter resten fra biblioteker uten garanti for at disse er sikre. Ha testmetodikk på plass før koden integreres i egne produkter. Vær grei og varsle utviklerne om huller du finner så de kan fikse før hele verden får vite det.

#6 fem først – deretter de avanserte

De fem første tiltakene vil mange IT-organisasjoner selv være i stand til å gjennomføre, hvis de har tid. Det er tiltak som ikke krever superspesialistkompetanse på sikkerhet i det hele tatt, men et bevisst forhold til sikkerhet og hardt arbeid. Gjennom slike tiltak luker du erfaringsmessig ut mellom 80 og 95 prosent av sikkerhetsutfordringene du møter eller kan møte. Fra kanskje å være i en mer uviss situasjon om hvordan sikkerheten ligger an, får du større visshet og mer på stell. Først etter dette kan du gi deg i kast med å identifisere og stoppe mer avanserte angrep, inkludert de som er målrettet mot egne applikasjoner. Det nytter lite å starte med dette uten at grunnmuren i punktene 1 til 5 først er på plass. Det pågår en enorm mengde rudimentære angrep mer eller mindre blindt på nett, utført av kriminelle personer eller virksomheter som vil tjene penger eller drive sabotasje. Disse forsvarer du deg i stor grad mot med de enkle midlene vi har beskrevet her.

#7 Admin-tilgang til de som må ha

Bygg dokumentasjon og rutiner underveis i gjennomføringen av disse rådene. Å jobbe med dette konkret og praktisk er en øyeåpner som også IT-ledelsen vil ha glede av å delta i.  

 

Den største feilen av alle er å droppe søk etter sikkerhetshuller. Den neste største er å kjenne til huller uten å foreta seg noe. Dette er mye vanligere enn de fleste kan forestille seg. Typisk blir store sikkerhetshull tettet, mens små får være. Mange slike småfeil utgjør i sum én stor.

Linus Särud, Security Researcher hos Basefarm-partner Detectify

 

 

 

Få varsling om nye saker fra Basefarm

Til toppen