Säkerhetshot nummer 1 är i huset

call_from_inside

Hot nummer ett är i huset och dessutom innanför brandväggarna. Våra anställda som är slarviga, okunniga eller sura och på väg att sluta. Eller bara sura.

Att vara i ledningsgruppen och att du är upptagen är ingen ursäkt, att vara gammal är att förolämpa alla som är gamla och har superkoll. Att räkna med att ”folk gör säkert inget” är ett dåligt skydd.

Hur funkar säkerheten i våra verktyg?

Alla vet hur lås fungerar, vi behöver också veta hur videokonferenssystem, dokumentdelning och hur information kan läcka från våra telefoner och hemnätverk. Sätt det på kartan genom att alltid ha en kort utbildning, stöd tillsammans med säkerheten. Gör inte säkerheten till ett eget ämne.

Hur ser säkerheten ut hemma hos dina anställda?

Barn som laddar hem torrenter tar hem virus och trojaner som kan smitta hela hemnätverket. De som är verkligen ute efter specifik information för ett företag kommer aldrig skapa en brute force attack på din webbsida.

De kommer att identifiera nyckelpersoner och social engineer DEN personen för att komma åt system. Nyckelpersoner ska då inte heller ha för hög säkerhet. #securitytrimming

Idé: Engångstjänst att erbjuda anställda – säkra deras hemnätverk. Extern part – ny bransch?

Lösenord suger som (enda)säkerhet

Lösenord och koder är för osäkra – man behöver minnas dem – skriva ner den, eller använda samma mönster till flera siter. Är lösningen att hitta svårare lösenord? Nej, de skrivs bara ner oftare och det spelar ingen roll hur tydlig din IT policy är. De fungerar inte, folk kommer först och främst göra sitt jobb och om ramverket är för snävt kommer de gå utanför.

Säkerhet på alla nivåer

Du behöver se till att det finns säkerhet för alla nivåer. Datalager, tjänstelager ska designas och byggas säkert, de ska också övervakas. Enheter (telefoner, datorer, klockor, glasögon..) ska kunna rensas på distans, kommunikation över osäkra nätverk ska krypteras, accessförsök ska kunna rödflaggas och kräva dubbel autentisering. Information ska ha automatisk klassificering och FRAMFÖR allt din personal ska vara utbildade och informerade.

Men städa ditt AD:t nångång!

Och se till att få ordning på ditt AD. Anställ den suraste jävligaste administratören som håller din organisation i schack så att du får den rollbaserade säkerheten som du behöver. Alla andra kompromisser är fel.

AD

Titta på den här bilden. Om du inte förstår den ska du inte hålla på med AD saker. Punkt. Och. Slut. Jag är trött på halvtrötta admins eller tjänsteansvarig som faktiskt inte kan grejerna eller halvchefer som säger “gör det bara, vi får fixa det sen” och sen aldrig avsätter tid eller prioritet till detta magiska “sen”. Om du är en av dem så säger jag såhär – hårt och jävligt surt – du förtjänar att bli hackad. Det är du som har lagt upp bakdörren. Förlåt, men jag är passionerad i dessa frågor. Nu ska jag bli snäll igen.

Känns det för stort för att hantera? Eller är det inte ditt jobb? Gör såhär:

Se över din introutbildning till ditt team/ditt system/din avdelning/ditt företag i koncernen

Om ni enbart pratar om fysisk säkerhet så lägg till mer. Berätta om vad som är viktigt för er affär och vad vi ska skydda och för vem vi ska skydda det. Folk är inte dumma, men om du inte berättar att interna white papers inte är för kunder kan dina anställda med hög servicekänsla skicka ut det.

Tänk igenom din kärnprocess, rita upp den och hitta den känsliga informationen och de svaga länkarna

Det här är inte svårare än att du får en kontakt, skriver en offert, skickar den till kund, förhandlar om pris, levererar och fakturerar för att sen följa upp. En kärnprocess borde du kunna göra med några post it lappar på en whiteboard. Sen sätter du på paraniod-hatten och markerar var riskerna finns. För detaljerade offerter kan ge konkurrenter info, mailen kan avlyssnas, sms kan skickas till fel telefon, osv osv.

Avfärda nonsens och prioritera efter worst case men behåll ett kallt huvud

Behöver kunden så mycket information för att köpa? Ja, kanske. Det handlar om att visa på auktoritet och leveransförmåga. Om du ger mer info än så och du vet att din värsta konkurrent sitter på ett annat uppdrag i huset…. Nonsens eller inte? (Här ska du ta av dig paranoid-hatten.) Det som är skakigt får du se över.

Dropbox är inte så dumt, men köp tjänsten och säkra kommunikationen och se till att kopior tankas ner till arkiv/lagring som du känner dig trygg med. Eller använd OneDrive med kunden. Eller skapa en fet partnerwebb med alla funktioner som vi idag som mänsklighet känner till. Men ta ett beslut!

Pia Langenkrans
Följ mig

Pia Langenkrans

Office 365 Ninja at B3IT
Pia har lång erfarenhet av att jobba med IT, molnet och Office 365. Hon har en bakgrund inom programmering och fokus nu är att hjälpa företag att få moderna arbetsplatser.
Pia Langenkrans
Följ mig

Leave a Reply

Your email address will not be published. Required fields are marked *