Otillräcklig säkerhet är inte längre bara en teknisk utmaning, det är ett affärsmässigt problem. Där vi tidigare riskerat pinsamma artiklar i pressen så riskerar vi nu att i värsta fall försätta vårt bolag i konkurs om vi brister i vår IT-säkerhet, dels som en konsekvens av själva angreppet eller den skadliga koden i sig, men också som en konsekvens av höga viten och skadestånd.
Detta gör att säkerheten måste genomsyra allt vi gör i verksamheten och det måste finnas en förståelse för varför. Historiskt har IT-säkerhet hanterats genom att investera i produkter och teknologier, och även om dessa fortfarande behövs har det aldrig vart tydligare än det är nu att en kedja är inte starkare än dess svagaste länk. Det finns inte en säkerhetsprodukt i världen som kan skydda oss mot användare av system som antingen utav oförstånd eller av missgärning felaktigt hanterar vår information och våra IT-system.
Processer, rutiner, avtal, arbetsmetoder och uppgifter måste alla ta hänsyn till informationssäkerheten. En utvecklare av projektsystem måste tänka på att utveckla koden på så sätt systemet stöder ”Security by design” och ”Security by default” för att möta kraven från nya dataskyddsförordningen, på samma sätt som denne måste ha förståelse för att utveckla säker kod. En anställd på ett vårdboende måste förstå varför all personal på boendet måste ha egna konton med komplexa lösenord eller förhoppningsvis att de använder sig av Smarta kort och att dessa inte får lämnas i datorn när man inte aktivt arbetar med den. En inköpare måste förstå att redan i starten vid en upphandling skall informationssäkerhetsfrågor vara med i underlagen och att en resurs från IT-säkerhetsfunktionen skall vara rådfrågad genom hela processen.
Vidare måste de tekniska säkerhetskontroller som införs ge verklig effekt. Att införa skydd bara för att bevisa efterlevnad håller inte i längden utan de investeringar vi gör i teknologi måste verkligen försvåra för en angripare av våra IT-miljöer. Vi måste också förutsätta att miljöer kommer att bli hackade och därför bygga dessa på ett sätt så att de ändå är motståndskraftiga och våra känsligaste resurser förblir skyddade.
Det är först när vi på alla nivåer förstår riskerna och hoten som vi kan börja bygga ett riktigt motståndskraftigt försvar mot angrepp på vår information. Och på samma sätt som lagar tvingar våra företag att ta riskerna på allvar får vi genom anställningsavtal, leverantörskontrakt, utbildningar och uppföljning av regelefterlevnad säkerställa att våra anställda och leverantörer tar säkerhetsarbetet på samma allvar.
För att lyfta fram dessa frågor har vi på Addlevel tagit fram våra föreläsningar kring informationssäkerhet och t.ex. Dataskyddsförordningen. Ni hittar dem här.
Vårt systerbolag TrueSec har tagit fram en whitepaper kring hur man kan arbeta proaktivt med sin säkerhet genom nyttjandet av olika tekniska verktyg, ni hittar dokumentet här.
Europakommissionens pressmeddelande gällande Dataskyddsförordningen.
Vill du veta mer:
Kontakta Mårten
The post Hollistisk säkerhet 23 appeared first on Addlevel.