benjamin christensen bloghoved

Sikkerhed vs. produktivitet – ”Fort Knox” eller ”Welcome in”?

Informationsteknologi har igennem årtier øget produktivitet i virksomheder og organisationer. Der er ikke længere mange af os, der samler meget data i ringbind. De fleste informationer gemmer vi elektronisk. Men denne øgede produktivitet har også omkostninger. Alle de enheder, der er koblet på nettet, giver desværre også uvedkommende muligheden for at se med. Men hvor sikker bør man være?

Hvordan vælger man som it-administrator mellem sikkerhed og produktivitet? Og er man nødt til at vælge? De fleste kender paradokset – stigende it-sikkerhed på arbejdspladsen sker ofte på bekostning af produktivitet: Hvis vi laver en ”Fort Knox” rent it-sikkerhedsmæssigt, lukker vi ned for produktiviteten. Det er en hårfin grænse, som alle it-administratorer dagligt må balancere på kanten af.

Lad mig give et eksempel fra hverdagen: Hvis du udstyrer din hoveddør med både en hængelås, en kæde, tre nøglelåse, et alarmsystem og måske endda en vagthund – ja så er du nok så sikret, som du kan blive mod indbrud. Men det gør det alt andet lige også noget besværligt at smutte i Netto efter en liter mælk. På den anden side betyder det jo ikke, at du skal fjerne din hoveddør og byde indbrudstyvene velkommen.

Det er den afvejning, som enhver it-administratorer skal forsøge at lave – og det er ikke altid, at alle medarbejderne har forståelse for vigtigheden af opdateringer og installationer, fordi disse afbrydelser ofte har en tendens til at forekomme, når medarbejderen har allermest travlt, og det er allermest ubelejligt. Hvem kender ikke til, at computeren lige skal lave 16 opdateringer, inden man skal skynde sig ud af døren?

Men selvfølgelig skal vi hverken lave en ”Fort Knox” eller en fuldstændig hovedløs ”Welcome in”-dørmåtte til hackere. Ingen af delene fordrer en lønsom virksomhed.

Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Hans-Michael Varbæk

Sikkerheden bør ikke hindre medarbejderne i at udføre deres arbejde, men sikkerheden skal være så høj som mulig alt efter hvilken type data man behandler og hvor kritisk den data er. ((Meget) personlige oplysninger (PII), kreditkort, Intellectual Property , osv. skal sikres på højere niveau.)

Opdateringer kan evt. være "optional" i en periode medmindre de er ekstremt kritiske (orme som er i omløb og som har spredt sig vidt/meget på kort tid), og så være påkrævet/forced efter en bestemt dato. (Sådan er det hos nogle størrere firmaer.)

Der er dog mange ting man kan gøre indenfor IT-sikkerhed, som ikke vil have nogen effekt på produktiviteten hos brugerne generelt, hvor andre kun vil have minimal effekt. Mange af de her punkter bliver glemt eller ikke indført pga. de tager tid som eventuelt kan bruges på andre opgaver. Disse "sikkerhedsoptimeringer" er måske kategoriseret som "lav risiko" og er derfor ikke nogen direkte trussel, men kan dog blive det på sigt eller hvis flere "lav risiko" problemer kombineres sammen af en udefrakommende eller "insider" angriber systemet.

Især "insider" angreb ser ud til at forekomme oftere (dog ikke meget ofte, men jeg hører mere om det), især fordi virksomhedernes "perimeter" mod Internettet er i nogle tilfælde ikke til at skyde igennem (udefra), imens det sejler så slemt internt at en person som kobler en bærbar eller et "rogue device" på netværket, kan få fuld adgang (Domain Admin, enten en ny bruger med alle privilegier eller at kodeordet er blevet opsnappet) på 15-60 minutter.

I de "insider" angreb jeg beskriver var det pga. usikker konfiguration og mangelfuld opdatering af bruger-maskiner (primært), men også domæne/domain controller. (Domain Controller'en var dog fuldt opdateret i de fleste tilfælde.)

  • 0
  • 0
Claus Jacobsen

ikke en som IT-administratoren skal træffe, men derimod forretningens ledelse - som med alle andre ting så kan man købe de første 95% for stort set ingen penge. Det er de sidste 5% der virkelig koster - Så det er i høj grad administratoren/IT-chefens opgave at stille nogle scenarier op og så få dem til at vælge deres prioriteter. Ud fra de prioriteter kan han så sige at der skal afsættes x antal kroner for at kunne opfylde deres ønsker. - Når de så ser prisen for livrem, seler, waders og det hele - så begynder de at pille fra, og så har han gjort sit arbejde.
Hvis han/hun havde valgt at træffe beslutningerne selv, så ville ledelsen ikke kunne forstå hvorfor han brugte så mange penge på tilsyneladende usynlige ting (med mindre det lige griber ind i workflows :D) og hvis tilfældet er ude at de FÅR sikkerhedsproblemer, så ville de stille sig kraftigt undrende over hvorfor han ikke har tænkt over det og gjort noget ved det inden det skete. Den anden måde er virksomheden tvunget til at træffe nogle valg omkring deres forretningsgange, og de ved at der så sandsynligvis vil være nogle steder der er åbne. Så kan de tage den efterfølgende videreudvikling med ind i deres forretningsplaner. Der er ikke noget værre end at man laver et tiltag for at afhjælpe et umiddelbart problem for derefter at finde ud af at virksomheden faktisk planlagde at gå i en retning som enten hindres eller umuliggøres af det tiltag.

  • 0
  • 0
Marc Munk

Den virker måske med bjørne og fysiske huse. Men det er ikke noget jeg ville satse på når det kommer til et netværk.jeg ville gå efter det højest mulige sikkerhedsniveau uden at være til gene for forretningen. Og bruge endnu mere krudt på at sikre mig at jeg ved hvornår jeg bliver angrebet.

  • 0
  • 0
Log ind eller Opret konto for at kommentere