Bli inte som Transportstyrelsen – vad ska du som ansvarig veta om säkerhet?

Transportstyrelsen situation hoppas jag, och många andra inom IT, ska fungera som en väckarklocka. Det går inte att bara som ansvarig att skriva ett avtal där det ‘ska vara säkert’ och titta bort. ALLA måste förstå och agera säkert i sina roller. Nu när låset på dörren och väktarna i entrén är det minsta problemets lösning behöver alla uppdatera sig. Den politiska svängen tänker jag inte fördjupa mig i men det är oerhört komplicerat med vart ansvaret ligger och här är hur haveriet utspelat sig dag för dag. Det här inlägget är mer en säkerhetsöversikt och vad du som ansvarig eller beställare har för uppdrag när det gäller säkerhet. Det finns olika former av säkerhet och du behöver känna till alla.

Fysisk säkerhet

Det är alltså väktaren i dörren. Lås, larm, passagesystem, administration av passagesystem, bevakning. För äldre system så var fysisk access jackpott. Då kunde man ta kontroll över allt, men så är det inte längre. Om det är rätt gjort. Passagesystemet är en applikation som jag beskriver mer nedan.

 

IT säkerhet

IT säkerhet är ett stort område och har flera olika dimensioner. Och du får tänka på det som lager i en lök. Alla lager ska ha skydd från båda håll (hackare är sneaky).

Men vi bryter ner lite snabbt vad de olika lagren kan vara. Detta är inte på något sätt en uttömmande lista utan generella begrepp så att du ska förstå vad det hela handlar om och vad din roll som ansvarig eller användare faktiskt är.

Internet

Det är där allt är öppet, sökbart och kan nås av vem som helst i hela världen. Det inkluderar även robotar. Även om du raderar något som har varit ute på internet betyder det inte att det är borta. Kopior finns. Exempelvis här är Yahoos startsida 17 oktober 1996. Wayback machine är en öppen tjänst men det finns många – många- fler som bara sparar undan data för att senare använda.

Du ska:

Ditt jobb är att se till att ingen som inte ska vara här, inte hamnar här. Vilken roll du än har. Vilket uppdrag du än har. Här är den yttre gränsen. Det gäller även social media, marknadsföring och hela baletten.

 

Servrar

Dessa kan finnas var som helst, i molnet, hos en hostingpartner eller i dina egna lokaler. Dessa servrar har ett OS och är ihopkopplade på något sätt med andra servrar och tjänster. En server har någon form av applikation installerad. Denna server ska bl.a kunna backas up, underhållas, replikeras, ge behörigheter, ligga på en domän och hanteras.

Som beställare/ansvarig ska du:

Du som inte har en teknisk roll finns här den juridiska domänen och ansvarsfrågan att hantera. Du ska se till att det finns avtal, förstå alla allmänna villkor, förstå bolagets struktur för hur du lägger ut data eller inte. Processer för kontakter och incidenter, följa upp och ha en eller flera kontaktytor hos bolaget eller partners till bolaget.

Om du har en egen organisation ska du se till att den kompetensförsörjs (japp, utbildningsbudget), att du utför tester (som ex penetreringstester) och verifierar din arkitektur med experter och ser till att den expertis byggs upp i bolaget eller säkras hos externa leverantörer. Nöj dig inte med att “ja, vi har denna kompetens” utan se till att du får en presentation av din arkitektur av en expert med en annan expert bredvid dig som verifierar att det är fullgott. Här är det ett spel hos bolag att det finns kompetens att nå men de är inlåsta hos andra kunder eller de håller på att rekrytera. Det är oerhört svårt att få tag på folk. Det är ditt jobb att skapa det nätverk som krävs. Gå på seminarium, köp lite tjänster och rapporter, skaffa dig en uppfattning. Ett test är att om du förstår allt som de pratar om i Modern Workplace webcast så är du ok (titta igenom hela arkivet).

 

Applikation

Applikationer är program som till exempel en brandvägg, e-mailserver, dokumentarkiv, inköpssystem, tidrapportering, ärendehantering, databaser… här har vi all kreativitet som finns hos utvecklare som kan finnas.

Som beställare/ansvarig ska du:

Tjänsteägare ska kunna förklara vad systemet är för något, vad det tillför för värde till organisationen, vad det kostar, risker och processerna för att hantera allt från små förändringar till DR (Disaster recovery) hantering. Du ska förstå vilka typer av användare det finns, och vilken nivå av kunskap de behöver för att kunna använda din applikation. Kan du inte hålla utbildningar själv ska du ansvara för att de genomförs och följs upp. Du har ansvar för att klassificera vilken information som finns i ditt system och du ska ge ut behörigheterna själv, möjligtvis delegera till någon som är under dig men är anställd. Om tjänsten är upphandlad ska du också förstå bolaget, de allmänna villkoren och ha en eller flera kontaktytor till företaget eller partner till företaget som du underhåller.

 

 Device

Nu finns det så många saker som du kan koppla upp dig mot applikationer med så vi kallar dem alla för devices. Det blir lättast så. De kommer dessutom att bli så otroligt många fler. Först var det datorer på kontoret, sen de hemma också, sen smartphones, sen klockor och nu även sensorer. IoT är en förkortning av Internet of Things vilket också är mer ett koncept än en sak, men det är först använt för att kontrollera och styra sånt som temperatur och annat men det exploderar. Det är så himla billigt nu och ger en sådan hög användbarhet.

Som beställare/ansvarig ska du:

Du måste förstå vilka olika devices som används, vilka det är som behövs, skapa policys som fungerar, se till att alla applikationer som används kan säkert nås via dessa devices, du behöver förstå och anpassa dina processer och arbetssätt till de policys som finns och hjälpa till att vidareutveckla dem konstant. Du behöver följa upp incidenter och se till att varje övertramp hanteras på ett föredömligt sätt. Konskekvenser är allt från att justera processen, köpa in ny hårdvara, genomföra utbildning, skriftlig varning och omplacering. Du ska kunna förstöra data på devices och du ska kunna skydda data på devices.

När det kommer till IoT måste du förstå hur detta kan förbättra, förfina och göra din verksamhet mer effektiv. För oss på IT är detta en härlig utmaning som vi älskar, men det blir inte mindre komplext. Det är framtiden. Häng med eller hoppa av.

 

Användare

Användare är inte alltid en människa, men alla människor har minst en användare. En applikation har ofta en användare som till exempel har upp uppgift att ta backup på ett system. Den användaren ska då kunna logga in, få tillgång till systemet, ta en backup och lägga den på något annat ställe.

Som beställare/ansvarig ska du:

Du ska alltid veta vem som har tillgång. Du ska kunna förklara varför service konton finns och vad de används till, vilken nivå av tillgång de har och en rutin för att uppdatera alla lösenord. Här är det hackar-heaven med alla konton som bara “måste” finnas. De måste ha en anledning. En arkitekt ska kunna förklara för dig vilka konton det är och vad de gör. Ta ingen skit, utan borra ner i vilka konton det är och gör det regelbundet. Se till att ha en rapport som du kan ta ut för att se vem som har tillgång till vad.

 

Data

Data är information. Viss data är värdelös (brus) och viss data är extremt värdefull. Den data som vi har på IT som är värdefull är oftast metadata (information om informationen). Att en person som är anställd som VD är VD är inte direkt hemligt, men VD’s uppgifter som devicemodell, var hen har kopplat upp sig, vilka nätverk som hen nyttjat. Det är vår information som vi behöver för att säkra alla lager.

Som beställare/ansvarig ska du:

Kunna de olika klassificeringarna. Du ska kunna förklara dem för alla dina anställda och ha dokumenterade processer och rutiner som säger vilken klassificering all information som finns i ditt system. All data som du skapar ska du veta vilken klassificering det är och lägga på den. Du ska kunna se om någon gör fel och rätta till det. Du ska inte backa för grupptryck utan konsekvent göra ditt jobb. Stå på dig! Vägra ge behörighet till dokument till människor som inte ska ha det.

 

Informationssäkerhet av din data

Men om vi tittar mer noggrant på vad som är hela grejen med Transportstyrelsen, vårdslöshet med skyddad information. Vad är då skyddad information?

"Dessa data innehåller bland annat information om alla fordon i Sverige och uppgifter från körkortsregistret, där det även finns information om människor som lever med skyddad identitet."

Det är alltså inte vi på IT som sitter på det som ska skyddas. Vi sitter och skyddar lagring och system för att hantera datan. Ni i verksamheten är de som har datan som ska skyddas. Det börjar med er. Kärnan är datan som är längst in.

För tänk på att alla företag har data som är öppen och ska vara tillgänglig för allmänheten, som exempelvis de senaste fem årsredovisningarna som brukar ligga på webbsidan (för börsnoterade företag). Det är oftast en PDF-fil. Vad är skillnaden på den och strategi2025.pptx filen? För oss är det ingen skillnad. Det är DU som skapar filen som gör skillnaden.

Om vi går tillbaka till VDn och hens strategidokument. För oss är det en PowerPoint fil som har skapats och har en viss storlek. Kanske finns den i olika versioner. Resten är information som du ger oss på IT.

Hur det hänger ihop

Du (din användare) skapar filen (data) på din dator (device) och sparar den i din OneDrive (applikation) mapp som synkar filen till molnet (servern). Du lägger på metadata på ditt dokument genom att klassificera den som “Hemlig”.

Det är en flagga som gör att vi från IT ser till att den blir särbehandlad. Som ett exempel så kan det då inte bli skickat på mail utan kan bara länkas till. Eller du får en varning när du lägger till den som en bilaga i mail att “är du säker? Det är ett hemligt dokument du verkar vilja skicka iväg.”

Om du klickar på skicka ändå – är det inte ITs fel om det hamnar i fel händer. För hur ska vi skydda dig från dig själv?

 

Tips: Utbildning

Det behövs fler som kan detta. Och det är nyss. Kanske är det du som lägger till denna kompetens till din CV? Eller ska du lägga in det i utvecklingsplanen för en handfull av dina anställda?

Utvecklare/samordnare informationssäkerhet, Ny yrkeshögskoleutbildning – distans – halvfart.

 

Håller du med? Eller inte? Skriv i kommentaren.

Pia Langenkrans
Följ mig

Pia Langenkrans

Office 365 Ninja at B3IT
Pia har lång erfarenhet av att jobba med IT, molnet och Office 365. Hon har en bakgrund inom programmering och fokus nu är att hjälpa företag att få moderna arbetsplatser.
Pia Langenkrans
Följ mig

Leave a Reply

Your email address will not be published. Required fields are marked *