Sikker nok? Blog om informationssikkerhed

De næste ofre efter Nets / IBM / Se & Hør-sagen

[fa icon="calendar"] 21. maj 2014 / af Lars Neupart

Efter den massive omtale af datalækagen, hvor en tidligere IBM ansat er anklaget for at sende oplysninger om kendte fra Nets til Se & Hør, er der mange virksomheder der med god grund tænker "Kan noget tilsvarende ske for os?" og som er ved at træffe ekstra forholdsregler. Hvordan kan vi undgå at det sker for os? Hvor meget sikkerhed er det rimeligt og fornuftigt at indføre?

Hvis den anklagede dømmes, er der tale om en kriminel medarbejder (IBM) og kriminel ekstern konsulent (Nets). Kan man undgå det? Typiske forebyggende forholdsregler er baggrundscheck, ren straffeattest, måske en sikkerhedsgodkendelse m.m. Jeg tror ikke disse redskaber havde kunnet afværge den aktuelle datalækage. Og hvis man indfører for meget af den slags tiltag, laver man en formentlig unødvendig og måske skadelig mistænkeliggørelse af personer, man hellere skal have et godt arbejdsforhold til.

Men der er andre for sagen aktuelle områder, hvor jeg vurderer at flere - måske mange (?) - virksomheder bør overveje om de gør tilstrækkeligt:

  1. Brugerstyring: Tildeler vi for mange rettigheder til medarbejdere og konsulenter i forhold til hvad der er nødvendigt? Rydder vi op efter os når nogle skifter job internt eller forlader os? Især vigtigt i forbindelse med it-folk, der får privilegeret adgang.
  2. Logning: Kan vi med rimelig sandsynlighed opdage hvis en betroet medarbejder misbruger sin adgang? Logning og overvågning skal doseres rigtigt efter behov. Behov er oftere til stede, når der er tale om privilegeret adgang.  
  3. Reaktion på revisionsrapporter: Hvis der påpeges svagheder eller det der er værre, reagerer vi så på det? Har vi en proces, der sikrer opfølgning?
  4. Reaktion på sikkerhedshændelser: Hvis der sker noget eller kunder gør os opmærksomme på et problem, reagerer vi så på det? Og igen: Har vi en proces, der sikrer opfølgning?

Om ovenstående generelle vurderinger også holder hos jer kommer selvfølgelig an på hvem "I" er - det kræver en mere individuel vurdering. Har jeg glemt nogle tiltag I kan kigge på?


Min kollega Gaffri Johnson er gået mere i dybden med emnet i dette indlæg.

Sikker Nok?

Neuparts blog er gode råd og viden om effektiv it-sikkerhedsledelse, it-sikkerhedsstrategier, risikostyring, efterlevelse af standarder og andre krav, beredskabsplanlægning, ISO2700x, EU persondatakrav, PCI DSS etc.

Populære indlæg