En kort introduktion till informationssäkerhet samt ett antal texter inom området som jag har producerat.
Informationssäkerhet är bra därför att alternativet är dåligt. Alternativet är till exempel att alla dina dokument och bilder raderas av misstag eller av en illvillig person. Det kan också vara att svenska företag förlorar ordrar på miljarder på grund av industrispionage.
En bra sammanfattning som täcker det mesta är att korrekt (oförvanskad) data ska finnas tillgängligt vid rätt tidpunkt, och endast för rätt person. Det låter väl enkelt?
Tyvärr krävs ganska mycket för att kunna uppnå detta. Med rätt finansiering, kompetens och metodik går det att bygga ett system som står sig någorlunda bra mot kända attackmetoder. Det är däremot betydligt svårare att bygga ett system som även står emot alla framtida attacker.
Det är därför nödvändigt att bygga sitt skydd i flera lager vilket inkluderar att kunna upptäcka och reagera på incidenter innan de orsakar allvarlig skada. Just reaktionsbiten är det dock många som slarvar med, troligen för att det kräver ett systematiskt och långsiktig arbete. För att kunna reagera effektivt vid en incident måste rutiner finnas på plats den dagen något händer. Det är därför viktigt att inte bara skriva rutinerna utan också regelbundet öva och förfina dessa så att verksamheten har förtroende för att de fungerar.
God säkerhet kan inte uppnås enbart med hjälp av tekniska lösningar. Illvilliga personer som verkligen vill komma åt information kommer att använda den enklast möjliga metoden för att uppnå målet. Det spelar ingen roll om du har fyrdubbla brandväggar och lås så länge någon kan klä ut sig till vaktmästare och promenera in i byggnaden, be någon att öppna dörren ("jag tog med mig fel nyckelknippa idag..."), plocka med sig hårddiskarna, och gå därifrån igen.
Den andra halvan av säkerheten uppnår man genom att ha en organisation som stödjer säkerhetsarbetet. Personalen behöver förstå syftet med säkerhetsskyddet och att viss information måste hanteras extra försiktigt.
Det sägs ofta att den egna personalen är det största hotet eftersom de redan är "inne" i systemet. Det finns naturligtvis sanning i detta, men jag tycker att man ofta glömmer bort att personalen samtidigt är den absolut största tillgången för säkerheten. En organisationskultur där de anställda reagerar om något ser konstigt ut och rapporterar detta, är för mig värt minst lika mycket som ett tekniskt intrångsdetekteringssystem. En sådan kultur uppstår givetvis inte av sig självt, utan kräver en organisation som dels följer upp rapporter, och dels kontinuerligt utbildar personalen om hur de kan arbeta på ett säkert sätt. Min uppfattning är att de flesta, om inte alla, vill arbete på ett sätt som förhindrar säkerhetsincidenter, men att de sällan får tillräckliga stöd och verktyg för att göra det. Resultatet blir istället att säkerhet upplevs som något jobbigt som förhindrar arbetet.
Det är ingen mening att säkra upp allt och göra det hopplöst svårt att få tag på ett dokument som egentligen inte behöver skyddas. För det första kostar skydd pengar och resurser, och för det andra tappar informationen sitt värde om den inte går att använda.
Fundera på vilken information du har, och vad som skulle hända om den kommer ut eller otillbörligen förändras. Var medveten om att flera dokument som i sig inte är så känsliga kan bli det om en motståndare har tillgång till alla samtidigt. Först när du vet vad som behöver skyddas mot vilka hot är det dags att fundera på tekniska och organisatoriska skyddsmekanismer.
En beskrivning om vad OpenID är och hur autentiseringen i det fungerar.
Skrivet i processen för att bli GIAC Certified Intrusion Analyst. Gott om hexdumpar.
Skrivet i processen för att bli GIAC Systems and Network Auditor. Beskriver hur en säkerhetsrevision på FreeBSD kan gå till.
Skrivet i processen för att bli GIAC Certified Firewall Analyst. Det stod explicit i uppgiften att det inte fanns några begränsningar i budget.