December 2013 Har du hittat rätt säkerhetsnivå för ditt företag? Här får du hjälp i det arbetet, och med att få resurser för att nå den trygghet du tycker verksamheten behöver. God jul, Oskar Ehrnström Försäljningschef NSEC I detta nummer av What if: Industrispionage i världsklass Hitta rätt säkerhetsnivå Ditt jobb, företagets framtid
Industrispionage i världsklass Plötsligt erbjöd en asiatisk konkurrent samma lösning som den svenska koncernen investerat år i att utveckla. Säkerhetsanalysen visade att ritningar stulits från en oskyddad server hos det svenska företaget. Än mer överraskande var ytterligare en upptäckt. På samma server hittades detaljerade affärshemligheter, som tillhörde en annan aktör i branschen. Dessutom visade en separat forensik-utredning att en tidigare anställd hade sparat ner en stor mängd dokument på ett USB-minne. Listan över säkerhetsbrister växte för var dag. Till slut innehöll den bland annat oskyddade datafiler och osäkerhet kring var företagshemligheter egentligen förvarades. Brist på säkerhetspolicy och programvara som inte längre stöddes av tillverkaren. Samt en händelselogg och ett antivirusfilter som båda var avslagna. Företagsledningen förstod situationens allvar och gav problemet högsta prioritet. Allas blickar var nu vända mot IT-chefen, och NSEC, som hade gjort den inledande säkerhetsanalysen. Hitta rätt säkerhetsnivå Dålig säkerhet kan bli kostsamt och äventyra företagets framtid, det insåg företagsledningen i exemplet ovan. Frågan de ställde sig var: Hur mycket ska vi betala för att lösa problemet? Det är affärskritiskt, men vi kan inte investera obegränsat för det. För att svara på frågan gjordes en sårbarhetsanalys. Syftet var att kartlägga var det fanns företagshemligheter och att ha som underlag till vidare arbete med säkerhetspolicy, behörighet, rutiner, dokumentation och tekniska system. Ett exempel på ett tekniskt system var en DLP-lösning (Data Loss Prevention eller Data Leakage Prevention). Ett DLP-system krypterar data och loggar. Eller förhindrar att ritningar kopieras, skrivs ut, skickas via e-post, kopieras till USB eller postas via webben. Resultatet av analysen presenterades tillsammans med tre olika säkerhets- och investeringsnivåer, liknande dem nedan:
skydd mot obehörig åtkomst skydd mot informationsstöld genom behörig användare skydd mot riktad attack. Vill du också få hjälp med att hitta rätt säkerhetsnivå? Hör av dig till oss, så hjälper vi dig på samma sätt som vi har hjälpt tusentals andra säkerhetsansvariga. Ring mig på 08-564 728 43, eller mejla: oskar.ehrnstrom@nsec.se, alternativt besök: www.nsec.se. Ditt jobb, företagets framtid Vill du att ditt arbete och dina projekt ska prioriteras högre i företaget? Denna följetong ger dig råd för att ta IT-säkerhet högt upp på ledningens agenda. Utan probleminsikt behövs du inte Det spelar ingen roll om du ser att bristande säkerhet riskerar att försätta företaget i konkurs. Får du inte beslutsfattarna att inse det, då når inte din insikt utanför IT-avdelningen. Det behövs probleminsikt hos dem som sitter på plånboken för att det ska läggas pengar på IT-säkerhet. Ingen köper en biljett till himmelen, om de har det relativt bra där de är. Först måste du slå dina konkurrenter på fingrarna Om du arbetar med IT-säkerhet så har även du konkurrenter andra problem som pockar på din chefs eller ledningens uppmärksamhet och pengar. Och vi människor har bara förmåga att prioritera ett till fem områden eller problem i taget. Detsamma gäller en grupp av människor. Är inte ITsäkerhet ett av de prioriterade problemen hos ledningen, då är du inte med i matchen och får kanske höra: Vi hann inte med frågan om säkerhet på ledningsmötet. Vi får ta det nästa gång. Och så håller det på. Det du behöver göra är att ta dig in och klättra på företagets lista över prioriterade problem, genom att konkurrera ut andra problemområden.
Gör ditt problem stort och akut Ett problem som bara är stort blir lätt en surdeg man skjuter upp. Likaså om problemet är akut, fast litet. Men ett både stort och akut problem får människor att lyssna och agera. Du behöver skapa den insikten hos din chef, andra beslutsfattare och personer som påverkar IT-besluten på ditt företag. Det gör du bäst genom att systematiskt förankra din fråga i organisationen. Luncha exempelvis med kollegor som du tror skulle bli personligen drabbade om säkerheten fallerade, innan du vänder dig till din chef eller ledningsgruppen. Kartlägg vad konsekvenserna skulle bli av olika händelser, fråga: Vilka konsekvenser ser du om följande scenario inträffar? Vilka drabbas? Hur, var och när drabbas de? När ni har börjat skapa er en bild av problemets omfattning, då är nästa steg att förstå hur stor risken är i pengar, som underlag till ditt business case. Fråga exempelvis: Kan du se något sätt för att värdera dessa konsekvenser i pengar? Om den du talar med inte kommer på något bra svar, var då förberedd med att föreslå och stämma av alternativa vägar till att sätta värde på problemet. Referera exempelvis till rapporter eller artiklar som The 15 worst data security breaches of the 21st Century. Hör efter om ni kan sätta ett värde på säkerhetsproblemet utifrån dessa exempel. Den som inte är med är lätt emot. Naturligtvis kan du ta fram ett business case helt på egen hand, och slippa lunchmöten. Men då riskerar du att missa ett större och mer nyanserat perspektiv på din fråga. Och att bli stående ensam. Så förankra ditt spörsmål hos viktiga personer i ditt företag. Människor du kan referera till och få stöd av, när du lyfter upp frågan på ledningsgruppens lista över prioriterade projekt. I nästa What if får du veta hur du går vidare med att prioritera upp säkerhetsfrågan på ditt företag. Slå mig en signal om du vill veta mer innan dess: 08-564 728 43 eller oskar.ehrnstrom@nsec.se. Här hittar du den första artikeln i följetången om hur du ökar engagemanget för IT-säkerhet i din organisation.
NSEC AB Ulvsundavägen 106 C SE 16867 Bromma Telefon + 46 (0)856472 830 info@nsec.se Vidarebefordra NSEC gör världen säkrare genom att täcka in hela kedjan från IT-strategi, utbildning och molntjänster till förvaltning och produkter inom områden som webfiltrering, kryptering, klientskydd och brandväggar.