Viewing entries tagged
#it-säkerhet

Obefintlig säkerhetsanalys

Comment

Obefintlig säkerhetsanalys

Beror säkerhetsbrister i din IT-miljö p.g.a bristfällig eller obefintlig säkerhetsanalys? 

Dagens behov och konsumtion av IT har i takt med den snabba utvecklingen förändrats dramatiskt de senaste åren. I och med denna förändring så ställer det högre krav på ett kontinuerligt säkerhetsarbete i verksamheten vilket i slutändan ofta hamnar på IT-avdelningens ansvar.

Att ta reda på vad som är skyddsvärt i den egna verksamheten är grunden i allt säkerhetsskyddsarbete. Görs säkerhetsanalysen korrekt vet den upphandlande enheten vart den ska rikta sina säkerhetskyddsinsatser och hur de ska dimensioneras.

För att lyckas är det en god idé att utgå från en verksamhetsanalys och avgränsa den delen som är föremål för säkerhetsanalysen. Vad är skyddsvärt i verksamheten, vilka konsekvenser är acceptabla och vilka är inte det? Skapa spårbarhet till skäl för åtgärder genom att beskriva detta.

 Sårbarheter som identifierats behöver värderas och knytas till adekvata skyddsåtgärder. Endast systemtekniska åtgärder som brandväggar, spamfilter etc. är sällan ett komplett säkerhetsskydd utan behöver kompletteras med utbildning av personal och kontroll av säkerhetsskyddets efterlevnad.

För de som omfattas av upphandlingslagstiftningen kan det medföra extra stora problem med en bristfällig säkerhetsanalys då lagen medger begränsade möjligheter att ändra ett avtal.

Checklista för att komma igång med säkerhetsarbetet:

  • Genomför en grundlig säkerhetsanalys

  • Upprätta processer/rutiner och säkerställ spårbarhet

  • Utbilda personalen

  • Följ upp och säkerställ efterlevnad

Comment

IT-säkerhet åt folket

Comment

IT-säkerhet åt folket

I ett tappert försök att göra titeln till en travesti av romartidens devis, “bröd och skådespel åt folket” vill vi ta tillfället i akt att kort reflektera över Försvarets radioanstalt’s (FRA) relativt nyutgivna årsrapport för 2018.

Snabbt konstateras att cyberfrågorna uppmärksammas med emfas, vilket är högst rimligt i dagens digitaliserade samhälle. FRA har uppgiften att vara statens resurs för teknisk informationssäkerhet, vilket innebär att de lämnar stöd till andra myndigheter och statliga bolag för att stärka deras förmåga att stå emot IT-angrepp.

I färskt minne har vi händelserna med till exempel Transportstyrelsen och Svenska Kraftnät som illustrerar behovet av IT-säkerhet. Man kan också antaga att det finns ett visst mörkertal av statliga aktörer som har haft incidenter och brister gällande IT-säkerheten. Antagande stärks av att årsrapporten berättar om en ökad efterfrågan av stöd från FRA angående informationssäkerhet. Den ökade medvetenheten och sannolikt kunskapen om de alltmer intrikata hoten är såklart också en parameter till varför efterfrågan ökat.

Intrycket av rapporten är att IT-säkerheten verkligen är i fokus och att mycket görs för att utveckla och stärka förmågor. Även vikten av samverkan, både mellan myndigheter och privata företag, fastslås som en nyckel till framgång. 

Frågorna om IT-säkerhet som historiskt sätt varit på IT-avdelningens bord för beslut behöver förankras och tilldelas resurser på ledningsnivå för att nå önskat resultat. Detta är i linje med utvecklingen för dagens organisationer, där IT generellt kan användas som ett strategiskt vapen för de som drar nytta av det på rätt sätt i sin affärsverksamhet.

Hur har ni det med segmentering i nätverket, brandväggar, lösenord och autentisering?

Comment