Hej
Detta är mitt absolut första blogginlägg! Wow, jag trodde aldrig att jag skulle börja blogga men nu har det skett. Min blogg kommer till stor del att handla om IT och informationssäkerhet. Trista ämnen? Ja, i månt och mycket är det faktisk det för gemene man. Dock är dessa områden ett nödvändigt ont att vara lite insatt i med tanke på hur dagens samhälle fungerar. Vi lever i en tid där allt mer sker i digital form och detta öppnar otroliga möjligheter för oss men det öppnar också dörrar för individer med en ljusskyggare agenda än den du och jag har.
Ett problem vad gäller IT och informationssäkerhet är att den bransch som jag tillhör har skrikit efter vargen så många gånger, utan att denne har dykt upp, att den vanlige datoranvändaren börjar bli mer eller mindre avtrubbad för de olika hotbilderna som förekommer i vår digitala värld. På Internet är ju exempelvis det mesta farligt!
Förstå mig rätt, jag tycker att man skall ha full respekt för att t.ex. Internet är en farlig plats. Framförallt om man är naiv och godtrogen men jag har också respekt för att man som vardaglig datoranvändare tröttnar på allt hojtande om att ”Nu finns det 10 000 000 virus i omlopp på Internet” och ”Den nya supermasken som kommer att ta död på Internet är snart här” samt ”Ny trojan kommer att logga allt du gör på din dator, så skyddar du dig”.
Det är lite som med den aktuella svininfluensan. Mycket massmedial information där nästan all information är olika och mer eller mindre diffus. Vad blir kontentan? Jo vi avtrubbas och ifrågasätter till och med om vi skall låta vaccinera oss eller ej vilket möjligen kan ge katastrofala följder (ingen vet ju säkert).
När det gäller elak kod förekommer det naturligtvis att organisationer råkar ut för t.ex. virusangrepp och det kostar pengar att sanera och ställa saker och ting tillrätta. Men efter 10 år i den här branschen är min uppfattning den att virus (och annan fientlig kod) är (eller borde vara) ett ganska litet problem när vi pratar IT och informationssäkerhet i sin helhet, i alla fall på företagsnivå.
Visst har jag varit med om några riktiga skräckexempel och de kommer jag att beskriva vid senare tillfälle i denna blogg. Det som jag dock oftare upplever som ett problem i min yrkesroll är avsaknaden av styrande dokument, så som policys, rutiner, intern utbildning, incidentrapportering, upplysningsplan mm.
Lite snabbutbildning
För att ge dig som läser denna blogg lite mer kunskap om elak kod kan du läsa två mer ingående dokument som jag har skrivit om ämnet, dessa finner du om du följer dessa länkar:
http://www.secure-it.se/hotbild.htm
http://www.secure-it.se/generator.htm
Kanske dags att börja styra upp lite?
Jag är av följande uppfattning. Om du som företagsägare, IT chef eller IT ansvarig införlivar alla medarbetar under samma paraply där samtliga individer får ta del av företagets synsätt på hur de IT-tekniska hjälpmedlen skall hanteras, via en t.ex. IT policy, kan man få ett helt annat scenario kring t.ex. nämnd ”antivirusproblematik”.
Du måste fortsättningsvis använda antivirus som en del i det skalskydd du omger dig av men jag är alldeles övertygad om att du kan både spara licenspengar och minska antalet incidenter gällande detta område.
Det är en fråga om att medarbetarnas okunskap utgör risken och hotet och inte huruvida ditt företag använder Norton, Nod32 eller AVG. Om Bengt, på ekonomiavdelningen, på grund av okunskapen om IT relaterade hot konstant klickar på alla länkar i inkommande e-brev kommer företagets situation se ut på ett sätt. I detta scenario finns det inget antivirussystem i världen som kommer skydda organisationen från ett slutligt utbrott av fientlig kod.
Om däremot företaget har arbetat fram rutiner (i skriftlig form) som har implementerats, godkänts och signerats av medarbetarna där det beskrivs hur exempelvis bifogade länkar i e-post skall hanteras kommer vi att ha en annan situation. Bengt kommer nu att ta bort länken eller rådfråga den IT-ansvarige innan han hej vilt klickar på dessa.
Naturligtvis måste parametrar som exempelvis ”känd avsändare ” och andra faktorer bakas in och för att en policy eller rutin skall ha ett värde måste det finnas en konsekvensbild beskriven, presenterad och accepterad av den anställde för att denna ”lösning” skall ha en fullgod effekt.
För att summera denna första bloggskrivelse av mig på ett någorlunda nyanserat sätt anser jag alltså att policys, rutiner, intern utbildning och andra ”mjuka” delar har ett större värde än de tekniska lösningar vi i regel omger oss av. Skalskydd är nödvändigt men det går inte att enbart luta sig mot dessa eftersom risken blir att vi snart hamnar i falsk säkerhet.
Vad händer då när vargen verkligen står där?
Funderingar kring IT säkerhet 