I den ständiga jakten på att göra sig
hörd trumfar den ena efter den andra med allt högre procenttal för
att lyfta fram hotbilder relaterade till egen och inhyrd personal.
Inte sällan nämns procenttal närmare 90%. Vill man vända på detta,
säger samtidigt den som vill göra sig hörd att endast 10% av hoten
kommer utifrån. Mer nyktra undersökningar nämner att 1/3 kan
relateras till interna hotbilder och 2/3 till externa hotbilder.
Har procenttalen egentligen någon betydelse?
När man kopplade samman den egna IT-infrastrukturen med Internet
var fokus givetvis att skydda sig mot det okända. Likhetstecken
sattes mellan Internet och det okända. Samtidigt infördes få, i
vissa fall inga, begränsningar för access till Internet. Få såg då
några risker med att ge den egna IT-infrastrukturen frikostig
access till Internet. Detta föranledde i sin tur att man ofta
använt två helt olika grundprinciper för interna respektive externa
hotbilder. Den externa policyn utgår från att allt är förbjudet och
man specificerar vad som skall tillåtas vid access från Internet.
Den interna policyn är helt omvänd, den utgår från att allt är
tillåtet och man specificerar vad som skall förbjudas vid access
till Internet. Med det historiska perspektivet är det inte
speciellt häpnadsväckande att fokus flyttats från externa till
interna hotbilder. Självklart väljer den illasinnade att utföra
sina attacker från en punkt där denne kan operera ostört,
obehindrat och osynligt.
Det har gått mer än ett decennium sedan stora flertalet anslöt sig
till Internet och formade sina policys. Vi kan idag konstatera att
den slapphänta policyn för vad som tillåts, eller rättare sagt
förbjuds, vid access till Internet är en belastning idag. Det är
inte ovanligt att detta är den största enskilda IT-säkerhetsrisken
för en organisation idag. Dessvärre är det inte bara att byta
grundprincip och utgå från att allt är otillåtet och sedan
specificera allt som skall tillåtas. Allt för många har nämligen
inte en aning om vad som skall tillåtas, än mindre vad som kan
relateras till den egna verksamheten.
För att lyckas med att byta grundprincip utan att bli en
belastning för såväl den egna verksamheten som de interna
användarna krävs en minutiös kartläggning av trafikslag, protokoll,
format etc. Detta är ett utmärkt tillfälle att ta stöd av
säkerhetspolicyn med tillhörande dokument för att se hur väl de
fungerar i praktiken. Det finns tyvärr en risk att även
säkerhetspolicyn kommer att påverkas, direkt eller indirekt, av
detta förändringsarbete. Det finns ingen anledning att skjuta upp
detta förändringsarbete. Det blir bara än mer omfattande med tiden
och under tiden utsätts er organisation för risker helt i
onödan.
© 2006 Thomas Nilsson, Certezza AB
