|
|
 |
 |
|
 |
| Februar 2004 - Fra StayInTouch™ - Fort Consults elektroniske sikkerhedsnyheder |
| |
| Af Ulf Munkedal, direktør og grundlægger af Fort Consult |
I denne artikel kommer jeg ind på, i hvor høj grad det er hensigtsmæssigt for virksomheder at uddanne deres brugere inden for IT-sikkerhed. Artiklen skal ses i lyset af de seneste ormeangreb, som fik øget effekt på grund af brugernes manglende viden på området.
Den seneste tids mange ormeangreb rejser det relevante spørgsmål: Hvordan kan vi forhindre, at medarbejderne åbner uønskede filer, som kan risikere at indeholde orme? Ormene Bagle.A og Mydoom blev fx spredt hurtigere end andre orme, vi har set hidtil, fordi brugerne åbnede de ormebefængte filer.
"Medarbejderne skal uddannes i IT-sikkerhed" er det åbenlyse svar fra mange sikkerhedsfirmaer. Andre, især virksomhederne, befinder sig i den modsatte ende af skalaen og er oftest mere modvillige i at uddanne brugerne. Det er dyrt og tidskrævende, hævder de, og der er ingen garantier for, at det resulterer i en øget IT-sikkerhed i praksis.
Uddannelse er vigtig - det er jeg helt enig i. Og der er bestemt behov for at øge brugernes vidensniveau, så de ikke foretager sig noget katastrofalt, som fx at udlevere deres password til andre. Løsningen ligger imidlertid i at finde den optimale fordeling mellem, hvad IT-systemerne skal håndtere, og hvad man bør uddanne medarbejderne i. Så man kan sætte ind, hvor det giver markante resultater og derved optimere den tid, der bliver brugt på uddannelse. |
| |
| Risikabelt at være afhængig af viden |
Det er efter min mening for risikabelt at lade en virksomheds sikkerhed være afhængig af brugernes viden og adfærd. En enkelt uopmærksom medarbejder må ikke komme til at kompromittere virksomhedens sikkerhed ved at kritiske eller komplicerede beslutninger overlades til ham eller hende. Fx bør det ikke være op til den enkelte medarbejder, om vedkommende vil åbne en fil, der med stor risiko kan indeholde en orm. Det bør i stedet for være op til IT-systemerne at bremse filer, der kan være virusbefængte. Også selv om nogle vil hævde, at det censurerer mail-trafikken.
Ifølge min erfaring er det afgjort bedst at implementere sikkerhed i IT-systemerne. I dag er teknologien blevet så god, at langt de fleste sikkerhedsproblemer kan løses rent teknisk. Den menneskelige faktor bliver derfor primært vigtig for at opretholde et ekstra lag af sikkerhed, fx i tilfælde af at en virus alligevel slipper ind. Vi bør med andre ord lade IT-systemerne og virksomhedens IT-medarbejdere klare sikkerheden i så stor udstrækning, det er muligt. Som en tommelfingerregel mener jeg, at man bør lade systemerne klare 95 procent af sikkerheden og lade de sidste 5 procent bero på, at medarbejderne følger nogle få men vigtige sikkerhedsprocedurer. |
| |
| Klar definition af de vigtigste regler |
Det er væsentligt, at man nøje definerer, hvad de 5 procent omfatter. Og herudfra giver medarbejderne nogle klare, realistiske instrukser om, hvad der forventes af dem. Håndhæv nogle få, enkle regler, som fx at passwords ikke må videregives, og at medarbejderne skal søge hjælp i IT-afdelingen ved det mindste spørgsmål eller usikkerhed. 5-10 tommelfingerregler er som regel nok.
Ved at fokusere på de få steder hvor uddannelse af brugerne virkelig giver mening, bevarer man fokus i virksomheden på, hvad medarbejderne skal bruge deres tid på. Nemlig fornuftige forretningsmæssige opgaver frem for IT-sikkerhed. Samtidig undgår man at blive afhængig af, at alle brugere opfører sig 100 procent sikkert - og at der skabes unødvendigt usikkerhed og nervøsitet omkring de mange sikkerhedsmæssige problemstillinger. |
|
