Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem.

Transkript

1 1

2 Jobbet har slutat vara något vi går till och det är numera något vi gör. Våra kollegor är vana att använda ny teknik hemma, de vill nu göra det på jobbet. Helst vill de dessutom jobba från sina enheter så de slipper bära runt på två olika telefoner. Det här är själva grunden till Consumerazation of IT. Vi kan egentligen inte kämpa emot, eftersom organisationer vill ha nåbara och nöjda användare utan vi måste bara lära oss hantera detta på säkraste möjliga sätt. 2

3 Jo, det grundläggande problemet är att informationen flyttat hemmifrån. Vi är vana att förlita oss på perimeterskyddet, vi fläskar på med brandväggar runt hela företagsnätverket och så förlitar vi oss på att all information håller sig där. Sedan började vi använda USB minnen och våra anstälda började bära med sig dokumenten hem. Därefter kom det telefoner och nu har väll i princip alla en padda? Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem. Vi samarbetar även mer och byter information med våra sammarbetspartners. Ett informationsutbyte som numera ses som nödvändigt. Organisationen måste tänka om, tänka om men inte uppfinna om hur den bygger säkerhet. För att använda publika moln måste organisationen förändra hela sin syn på hur man uppnår säkerhet, för att använda privata eller hybridmoln måste den iaf förändra sin säkerhetsarkitektur. 3

4 Hur får man då koll på sin information? Vår erfarenhet säger att utgångspunkten är att kartlägga vilken information som finns eller ska finnas i systemet. Gör en bedömning om hur skyddsvärd denna information är, tänk på att all information även inom ett system inte behöver ha samma skydd. De flesta system idag kan hantera olika nivåer av skydd, om inte annat så kan man kryptera viss information men inte annan, ha lösenord på viss info och inte annat. Så identifiera vilken information som behöver vilket skydd, så det inte blir för mycket skydd och därmed ofta krångligt, eller för lite skydd och risk för sårbarheter. En annan viktig fråga som inte alltid är så lätt att svara på är vem som äger information i systemet. Speciellt när det gäller informationen som ska hanteras i en molntjänst är det nödvändigt att få med detta i kontraktet. Vad gäller mobila enheter så måste man ha en bra policy, eller regelverk, kring information speciellt om man tillåter BYOD. Vår erfarenhet och även sunt förnuft säger att detta görs bäst av några som känner systemet och informationen däri väl. Man bör även ha med sig några som är vana att göra informationsanalyser och kan vägleda och dokumentera analysen. 4

5 När man identifierat vilken information som är viktig i systemet är det dags att gå vidare och göra en risk- och sårbarhetsanalys för att utreda vilka hot som finns mot att denna information ska komma fel händer, ändras eller förstöras. Ett tips kan vara att fundera på hoten i olika kategorier, sekretesshot, dvs information ska bara vara tillgänglig för behöriga, integritetshot, viss information är kanske inte hemlig men man vill absolut inte att den ska ändras och tillgänglighetshot, dvs viss information måste vara tillgänglig för vissa personer vid en viss tidpunkt för att de ska kunna utföra sitt jobb 5

6 I brainstormningfasen ska det få vara högt till tak och fantasin ska flöda vad det gäller risker.

7 Sedan kommer sannolikhetsbedömningen också in och ser till så man hittar de mest relevantaste riskerna att fokusera på. När man hittat de relevanta riskerna så är det dags att fundera på åtgärder för att dessa ska elimineras eller åtminstone reduceras. Här kommer ofta en stor del av vårt jobb som informationssäkerhetsexperter in. Vi funderar kring olika säkerhetsfunktioner och dess möjligheter för att reducera riskerna. Tillsammans prioriterar man vilka säkerhetsfunktioner som ger lagom skydd. Även här är det nödvändigt att ha med någon som vet var systemet kommer in i helheten och hur informationen ska användas, detta för att göra riskerna och åtgärderna så anpassade till detta specifika system som möjligt. Allt man diskuterar och kommer fram till ska dokumenteras väl så man kan gå tillbaks och se vad som ledde fram till de beslut som togs om vad som ska åtgärdas och vilka säkerhetsfunktioner som ska användas. 7

8 Har man hittat rätt nivå på de säkerhetsfunktioner man prioriterat att införa har man mycket att tjäna. Lagom säkra system ger trygga och därmed nöjda kunder, inga incidenter skapar en vassare marknadsföring där man kan hålla vad man lovar. Olika lagar reglerar också hur man ska hantera informationen, tex personuppgiftslagen, och dessa blir lättare att följa med väl genomtänka säkerhetsfunktioner. Inte minst viktigt är att man även får trygga och nöjda anställda, de kan lita på att systemet hjälper dem att skydda informationen som behöver skyddas. 8

9 Det här är Markus, det är som Markus ser ut här som jag vill att ni ska känna er när ni pratar med era molnleverantörer. Han vet att han kan vara lite besvärlig och det vill jag att ni ska våga vara mot era leverantörer också. Det går faktiskt att ställa krav, diskutera säkerhet med leverantören. Ni kan faktiskt fråga leverantörerna hur de uppnår säkerhet i deras system och ni ska förvänta er att de har någon form av svar. Vi måste förklara för molnleverantörerna att det är en konkurrensfördel att svara på den frågan. Cloudsercurityalliance.org innehåller mycket information om vilka krav man kan ställa, kolla under deras STAR. Man ser på Markus att han inte bara nöjer sig med att någon säger att de är säkra, han kommer kräva bevis och om inte han själv får kontrolera så förväntar sig han att i alla fall att en tredje part får göra det. 9

10 Combitech har jobbat med många olika system, för kunder med väldigt höga säkerhetskrav och så här brukar vi tänka: Information skall skyddas efter dess känslighet Säkerhetslösningar måste vara skalbara och enkla, både för användaren och för administratören. Enheter och system skall kommunicera med öppna, pålitliga och säkra protokoll. Alla enheter och system måste vara kapabla att skydda sig själva, att uppfylla säkerhetspolicyn själva. Upprätta en förtroendemodell, när litar vi på användare/enheter och när gör vi det inte? 10

11 Access till data skall styras av metaattribut i datat självt, data skall taggas. Data skall alltid vara skyddat under lagring, transport och användning. Federation är antagligen nödvändigt. Använd kryptering. 11

12 Kryptering, visst är det häftigt?! Med hjälp av en korrekt implementerad krypteringsalgoritm och bra nyckelhantering kan kryptering hjälp dig med bla: Sekretess eller textskydd, dvs att förhindra att obehöriga läser din information, här används ofta en symmetrisk algoritm tex AES då dessa är snabba för stora textmassor. Det är den jag använt här och jag antar att ni inte förstår någonting. Kryptoalgoritmerna kan även hjälpa dig med integriteten, dvs förhindra att obehöriga ändrar i din information, här är det asymmetriska algoritmer, tex ECC, som hjälper till med detta då du med matematikens hjälp kan se om en text har ändrats. Matematiken och asymmetriska algoritmerna hjälper dig även med autentisering, dvs att knyta informationen till en källa. Ofta pratar man om skydd av data vid transmission, eller i rörelse, och skydd av data vid lagring. Metoderna är ofta desamma men man får tänka till vad gäller nyckelhantering. 12

13 Några konkreta tips vad gäller kryptering och mobila enheter vid transmission: Precis som för web-browsern i datorn så är det viktigt att se till att mobil-browser, och mobilens appar, använder HTTPS vid överföring av känslig data, som autentiseringsuppgifter och kreditkortsuppgifter. Kan du kryptera informationen själv så gör det, men ibland får man lita till andra och då är det HTTPS som ska gälla. För mobila enheter väljer tillverkarna ibland HTTP för att spara bandbredd. Att gå över från HTTPS till HTTP efter själva autentiseringen skyddar inte tillräckligt då det är lätt att ta över den redan autentiserade webbsidan då. Man får också se upp med vilket nätverk som mobilen skickar information med, om den tappar kontakten med det nätverk man tror man valt väljer den något annat. Tex om man sitter på kontoret uppkopplad mot det krypterade företagsnätet och det går ner av någon anledning så byter telefonen kanske till det okrypterade nätverket i caféet på nedervåningen där du surfat en gång tidigare. Användarvänlig som den är sker detta utan att meddela användare i vissa enheter. 13

14 När det gäller data vid lagring så är kryptering ett viktigt verktyg i både molnet och den mobila enheten där man inte kan lita till företagets perimeterskydd för att skydda informationen. Systemet ska säga välkommen in bara till de som är behöriga. Det man får tänka på är att om man lägger ett krypterat dokument på Dropbox tex så krävs kryptonyckeln för att du ska kunna läsa det. Information som lagras i smarta telefoner, suftplattor, eller för den delen USBminnen som blir stulna är också ett bra exempel på när kryptering behövs. Enligt en artikel i Computer Sweden den 10 januari så kan man inte heller lita på att informationen försvinner vid en fabriksåterställning. Är dock informationen man vill skydda krypterad så blir det mycket svårare att hitta något. Man får också fundera kring vad som händer med din information om den molnfirma du anlitat går i konkurs, vem får då tillgång till din information? Kryptera och behåll nyckeln. 14

15 Vad ska man då tänka på när man installerar säkerhetsfunktioner med krypteringsalgoritmer? Mina enkla råd är att använda välkända och vältestade algoritmer som är implementerade av välkända leverantörer. Tex innehåller Suite B's, som är amerikanska säkerhetstjänstens NSAs rekommendationer, bra exempel på hur man ska välja. Här rekommenderas bla AES med GCM, ECDSA, ECDH, SHA-256 och SHA-384. En annan bra källa är European Network of Excellence for Cryptology II, som ger ut EUs kryptorekommendationer vad gäller algoritmer och bra parametrar att använda, detta dokument innehåller mycket nyttig information. Det är också viktigt att implementeringen är korrekt gjord och att nyckelhanteringen sköts på ett bra sätt. En certifiering av en oberoende part, tex med hjälp av Common Criteria, kan garantera detta. Eller så tar man hjälp av en säkerhetsexpert. När det gäller mobila enheter så har fler och fler av dem kryptering inbyggt i olika säkerhetsfunktioner, oftast med välkända och bra algoritmer. Använd dem! 15

16 Vår slutsats är att det går att skydda den information vi behöver skydda vad gäller sekretess, integritet och tillgänglighet. Se bara till att ni tar initiativet och skapar ett lagom skydd till era molntjänster och mobila enheter. Speciellt de av er som har ett ansvar för informationen inom ert företag, och ska skapa trygga och nöjda kunder och medarbetare. Tanken kanske smyger sig på att detta är överväldigande, med tänk på att det inte är allt eller inget som ska skyddas, utan lagom skydd och prioriteringar! Tveka inte att kontakta oss om ni har några frågor eller funderingar angående detta, ni kan även följa oss på twitter: Johan Tina och såklart 16