Dette må it-sjefen gjøre i 2005

Dette må it-sjefen gjøre i 2005

It-sjefene må bli mer bevisste på at ansatte med manglende innsikt og forståelse er den største sikkerhetstrusselen i de fleste organisasjoner

Nyttårsaften nærmer seg. Det betyr nye nyttårsforsetter, både privat og på jobb. Teknisk sjef Øyvind Andhøy hos Computer Associates Norge har satt opp en liste over hva han synes norske it-sjefer bør tenke på når rakettene skytes opp.

1. Mennesker utgjør den største risikoen.

Det handler ikke så mye om ondsinnethet når sikkerheten kompromitteres, men manglende innsikt og forståelse. Jeg vil hele tiden ha i tankene at mennesker er det svakeste leddet i sikkerhetskjeden og jeg vil bruke ressurser på å forbedre informasjon, atferd og holdninger. Mine medarbeidere skal forstå hva de kan bidra med for å øke sikkerheten og alle mine sikkerhetseksperter skal ha god opplæring og sertifiseres.

2. Øke samspillet mellom drift og sikkerhet

Sikkerhet dreier seg om Konfidensialitet, Integritet og Tilgjengelighet. Sikkerhet og drift er uløselig knyttet til hverandre, uten god drift vil jeg aldri være sikker og uten god sikkerhet kan vi aldri få stabil drift. Jeg må derfor øke min interaksjon med drifts-avdelingen og sørge for at vi kan overføre kunnskap og erfaring til hverandre. Vi skal etablere gode prosesser oss i mellom for sikker og stabil drift til det beste for forretningen.

3. Jeg vil bli mer proaktiv ved å holde meg oppdatert på hva som skjer ute, hvordan det påvirker min infrastruktur og hva jeg må gjøre for å opprettholde god sikkerhet

Jeg skal anskaffe meg verktøy for å holde meg informert om hvilke sårbarheter som til enhver tid finnes og hvordan de påvirker min infrastruktur. Jeg skal bli holdt løpende oppdatert om endringer ute og i min infrastruktur og jeg vil ha konkrete råd om utbedring. Mitt foretrukne system skal automatisk sørge for oppdatering i henhold til vår policy eller være beslutninger.

                                                                                                                                              

4 Sikkerhetsinformasjon system

Jeg får alt for mye data og informasjon fra mine sikkerhetssystemer. Jeg trenger ikke data og informasjon, men kunnskap. Jeg vil etablere et helhetlig sikkerhetsinformasjonsystem som samler informasjon fra alle mine sikkerhetssystemer, som korrelerer og filtrerer og hjelper meg å prioritere, rapportere og dokumentere. Kun på den måten får jeg kunnskap om vår sikkerhet og kapasitet til å håndtere de viktigste hendelsene når de skjer.

5. Single Sign On, bruker og passordadministrasjon

Jeg vil gjøre det enklere for brukerne å holde våre it-systemer sikre ved å utnytte teknologi for bruker- og passord- administrasjon. Brukerne skal ha ett brukernavn og passord som skal gi adgang til alle nødvendige systemer. Da blir systemet sikrere og vi vil spare penger.

6. Sikkerhet på mobile plattformer og trådløst nettverk

Jeg vil sørge for at våre bærbare datamaskiner, Pda-er, mobiltelefoner holder samme høye sikkerhetsnivå som resten av vårt it-miljø og våre trådløse nettverk skal være like sikre som våre trådbaserte.

7. Pests og spyware

Jeg skal unngå at vi blir eksponert som en bedrift med dårlig eller mangelfulle systemer for sikkerhet og drift i 2005. Være seg presseoppslag, omtale eller virusmail som blir videresendt fra oss. Jeg vil sikre våre datamaskiner for virus, ormer, spam, pest og spyware, selv om vi kanskje trenger nye og oppdaterte verktøy. Mine systemer skal være riktig konfigurert, vedlikeholdt og oppdatert.

8. Automatisering av sikkerheten

Jeg vil i størst mulig grad automatisere mine sikkerhetsprosedyrer slik at jeg kan konsentrere meg og de oppgaver hvor det virkelig er bruk for meg.

9. Adgangskontroll

Jeg kan ikke lukke nettverket (selv om jeg gjerne skulle ønske det av og til). I stedet skal jeg med gode adgangssystemer, tett integrert med brukeradministrasjonsverktøy, sørge for at våre brukere, kunder og partnere får adgang til den informasjon de har bruk for, når de har bruk for den. Men eller ikke mer.

10. Sikkerhet er helhet og må vurderes på alle nivåer

Sikkerhet er helhet, på alle nivåer og integrert. Ikke bare pc-er, men servere, svitsjer, rutere og brannmurer må fungere sammen med vårt operativsystem, databaser, webservere og applikasjoner. Vår it-infrastruktur skal først og fremst understøtte bedriftens behov, men naturligvis slik at vi holder oss innenfor gjeldene lover, regler og forordninger og slik at vi tilfredsstiller de forventninger som stilles til vår bedrift.