Kategori: Projektledning

15 december
2015

Informationssäkerhet, projekt och människor

Man ser dagligen artiklar på olika forum om informationssäkerhet. Vad kan det begreppet egentligen omfatta? Enkelt uttryckt är det vad det låter som, information som man vill hålla säker. Enklast är att relatera till bankkontonummer, kontokortsnummer och annan stöldbegärlig information. Det vet vi redan att man skall vara ytterst försiktig med. Men kände ni till att man i dagens läge med hjälp av så få som 2 till 3 enskilda bitar information enkelt kan härleda vem den informationen tillhör? Vi talar alltså om information som var och en för sig inte nödvändigtvis pekar ut någon specifik, t ex postort, förnamn, arbetsgivare.

Vi måste inse vilka fenomenala möjligheter till integritetsintrång som öppnat sig och dagligen öppnas det flera. Den information som våra slutkunder ofta så villigt lämnar ut till oss, personnummer, för- och efternamn, e-postadress och så vidare, vi tar ansvar för att hålla dessa personuppgifter lagrade på ett säkert sätt. Det är vi skyldiga enligt lag. I och med den tekniska utveckling vi lever i bör vi öka vår omsorg om våra slutkunders data och personliga integritet. Informationssäkerhet har aldrig varit viktigare.

Men varför är det viktigt? Det spelar väl ingen roll att man kan se att den personen handlat här? Nej. Det i sig spelar ingen roll. Det är vad som händer om en tredje part kommer över informationen som är intressant. Vad man kan åstadkomma med de små bitarna data i ett helt annat syfte är det intressanta. Ett hack sker stegvis med en liten del i taget. Första steget in kan vara kunddata som läckt ut. Många företag har insett detta och arbetar aktivt med informationssäkerhet både i linje och i projekt.

Vad kan ett informationssäkerhetsprojekt omfatta? Helt översiktligt omfattar det att säkra den infrastruktur där informationen lagras samt ofta ett omfattande processarbete med en rad olika kontrollprocesser som skall komma på plats: till exempel kontohantering, struktur för fysiska och digitala accesser, sårbarhetshantering, säkerställandet av säker modifiering av systemet, aktiv monitorering av loggar från systemen.

Kontrollprocesserna bör bygga på någon typ av direktiv eller policy. En struktur till vilken man kan återvända och kontrollera att man inte bygger processer som man inte behöver.

En god förutsättning för att lyckas med arbetet med kontrollprocesserna är att man redan har fungerande understödjande processer och rutiner. Några av de viktigaste är bl a  förändringshantering, konfigureringshantering, underhåll av dokumentation av befintlig arkitektur, patchningsprocedurer.

Men alla dessa åtgärder och allt detta arbete är knappt värt pappret man dokumenterat det på om man inte ser till att medvetenheten om informationssäkerhet är hög hos medarbetarna på företaget. Detta av två anledningar.

Den första är helt relaterad till Informationssäkerhet: 1. Vi människor är vår egen värsta säkerhetsrisk. Vad betyder det att man strukturerar upp accesser i flera nivåer om man medarbetare emellan lånar ut sin inloggning? Vad spelar det för roll att man dokumenterat ner sin patchningsprocess i olika lättillgängliga format om man missar att en server inte bootat om vid senaste patchningen. Hur viktigt blir det att man har en sårbarhetsansvarig om man i syfte att lösa sårbarheter mailar beskrivningar av sårbarheten samt olika lösningsförslag mellan sig helt okrypterat. Vi måste inse att om människor inte förstår varför de skall följa en process är de betydligt mindre benägna att göra det.

Den andra anledningen härleds till naturen hos informationssäkerhetsprojekt: 2. Ett informationssäkerhetsprojekt är inte ett infrastrukturprojekt så mycket som ett förändringsprojekt och därför bör man använda sig av de konster och knep som erbjuds på den fronten. Och förankring av processen är en fundamental byggsten för ett lyckat genomförande av förändringsarbete. Man kan alltså med gott samvete låta den allmängiltiga informationskampanjen om informationssäkerhet gå före det mer handfasta arbetet med processerna. Med största sannolikhet kommer ändå arbetet med processerna fortgå även efter att projektet stängs. (Mycket få förändringsprojekt är så långa att man faktiskt får genomdriva en förändring helt till slut). Det viktigaste i det arbetet är att se till att linjen börjar jobba i processerna och gör dem till sina.

leave a comment

 

Kontakta oss