Bygga säkra IT-system på riktigt! Del 1: Kontroll
För att uppnå hög IT-säkerhet, hög informationssäkerhet eller just den nivå av säkerhet som just din organisation anser sig behöva, krävs kontroll. Genom att man som IT-, säkerhets- eller annan verksamhetschef skaffar sig kontroll kan man styra vilka nivåer det ska vara på skydd och säkerhetsfunktioner, och göra det med trygghet.
Ju mer kontroll, desto mer granulär förmåga till att anpassa sina IT-stöd till den kravställda nivån av säkerhet. Dock som med det mesta, kostar kontroll också resurser i form av människor, tid eller minskad mängd funktioner.
IT administrerat av en egen IT-avdelning eller outsourcat till annan, datorerna i egna lokaler eller via molnet, det spelar ingen roll. Varje organisation i dagens digitaliserade samhälle har en mer eller mindre välformulerad kravbild avseende vilken säkerhet och trygghet ett IT-stöd ska erbjuda. För att kunna mäta vilken nivå man har, eller kanske oftast INTE har, krävs kontroll.
De mest omtalade metoderna för att öka kontrollen och därmed förmågan att styra, är loggning av säkerhetshändelser och monitorering av telemetri och nätverk. Ett Security Operation Center, SOC, är en viktig funktion som blir allt mer efterfrågad. Men att titta på loggar i efterhand och övervaka telemetri i realtid är bara en del av lösningen. Utöver dessa funktioner måste man som IT-säkerhetsansvarig säkerställa bl.a. följande för att kunna påstå att man har kontroll:
- System och systemdokumentation behöver vara synkade och stämma överens över tid
- Hur ser miljön ut som systemet utvecklas/integreras i?
- Vilka applikationer och funktioner används, och vart kommer de ifrån?
- Vilka personer är inblandade i konstruktion av systemet?
- Tillträdesskydd till lokaler?
- Process för kravställning, arkitektur och design i kombination med metodik för Peer review under framtagning av systemet, loggning av alla åtgärder och konfigurationer för att uppnå spårbarhet
- Hotbildsanalys och en systematik i att hantera och bygga bort hot och risker, ta fram en restrisklista som beslutsunderlag för beslutsfattare.
- Korrekt uppsatta och kontrollerade säkerhetsfunktioner
- Dokumenterade och verifierade katastrofrutiner
- Metodik för Förvaltning och vidmakthållande ska bevara och öka säkerhet och trygghet, inte obönhörligt tappa och försämra säkerheten över tid vilket ofta är fallet.
- Driften måste kunna bedrivas utan eskalerade behörigheter som root eller admin. De flesta driftavbrott sker i samband med åtgärder utförda av IT-personal med root-behörigheter.
- Aktiv omvärldsbevakning för att upptäcka kända sårbarheter och tillgängliga säkerhetsuppdateringar i kombination med korta ledtider för att installera dessa i driftsatta system
- Testa, säkerhetsgranska och kvalitetssäkra ALLA uppdateringar, uppgraderingar och all funktionstillväxt i ett annat system är det som körs i produktion.
- Utbildningsnivå och säkerhetsmedvetande bland användare och driftpersonal
Listan kan nog fortsätta ett tag till, men poängen är att kontroll är nödvändig för att kunna förutsäga och styra graden av säkerhet. För att uppnå kontroll behöver IT-avdelningar och dess kravställare, verksamheten, hitta nya metoder och arbetssätt som säkerställer spårbarhet, trygghet och får bort beroenden till enskilda individer. Man måste kunna kontrollera de man litar på mest.
Basalt har utvecklat en metod benämnd BEANS som adresserar frågan runt kontroll. Med ordning och reda under utveckling och införande når IT-lösningar byggda enligt BEANS-konceptet väldigt långt avseende trygghet och förutsägbarhet. Basalt har idag levererat och implementerat ett flertal system åt kunder som har en hög OCH kontrollerbar nivå av IT-säkerhet.
Skribent
-
Få tips och inspiration från Basalt
Prenumerera på vårt nyhetsbrev -
Ligg steget före
Låt Basalt ansvara för ert verksamhetsskydd.
Kontakta oss så guidar vi er rätt!
Sök på sidan
Sök efter sidor eller nyheter
Cookiesamtycke
Vi behandlar personuppgifter och använder cookies på vår webbplats i enlighet med vår integritetspolicy. Vissa cookies krävs för att ge dig åtkomst till webbplatsen, medan andra används för att uppgradera din användarupplevelse och är frivillig att acceptera. Välj nedan om du samtycker till att vi bearbetar cookies för att aktivera och analysera tillhandahållandet av funktionaliteter från tredje part (t.ex. plugins för sociala medier) och förbättra din användarupplevelse genom att analysera din användning av webbplatsen. Du kan när som helst dra tillbaka ditt samtycke.Sekretessöversikt
Nödvändiga cookies är absolut nödvändiga för att webbplatsen ska fungera korrekt. Dessa cookies säkerställer grundläggande funktioner och säkerhetsfunktioner på webbplatsen, anonymt.
| Kaka | Varaktighet | Beskrivning |
|---|---|---|
| cookielawinfo-checbox-analytics | 11 months | Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Analytics". |
| cookielawinfo-checbox-functional | 11 months | Cookien sätts av GDPR-cookie-samtycke för att registrera användarens samtycke för cookies i kategorin "Funktionell". |
| cookielawinfo-checbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
| cookielawinfo-checkbox-advertisement | 1 year | Denna cookie, som anges av GDPR Cookie Consent-plugin, används för att registrera användarens samtycke för cookies i kategorin "Annons". |
| cookielawinfo-checkbox-necessary | 11 months | Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookies används för att lagra användarens samtycke för cookies i kategorin "Nödvändigt". |
| cookielawinfo-checkbox-performance | 11 months | Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Prestanda". |
| viewed_cookie_policy | 11 months | Cookien ställs in av GDPR Cookie Consent-plugin och används för att lagra om användaren har samtyckt till användningen av cookies eller inte. Den lagrar inga personuppgifter. |
Funktionella cookies hjälper till att utföra vissa funktioner som att dela innehållet på webbplatsen på sociala medieplattformar, samla in feedback och andra tredjepartsfunktioner.
| Kaka | Varaktighet | Beskrivning |
|---|---|---|
| bcookie | 2 years | LinkedIn ställer in denna cookie från LinkedIns delningsknappar och annonstaggar för att känna igen webbläsar-ID. |
| bscookie | 2 years | LinkedIn ställer in denna cookie för att lagra utförda åtgärder på webbplatsen. |
| lang | session | LinkedIn ställer in denna cookie för att komma ihåg en användares språkinställning. |
| lidc | 1 day | LinkedIn ställer in lidc-cookien för att underlätta valet av datacenter. |
Prestandacookies används för att förstå och analysera webbplatsens nyckelprestandaindex, vilket hjälper till att leverera en bättre användarupplevelse för besökarna.
Analytiska cookies används för att förstå hur besökare interagerar med webbplatsen. Dessa cookies hjälper till att ge information om mätvärden för antalet besökare, avvisningsfrekvens, trafikkälla, etc.
| Kaka | Varaktighet | Beskrivning |
|---|---|---|
| _ga | 2 years | _ga-cookien, installerad av Google Analytics, beräknar besöks-, sessions- och kampanjdata och håller även koll på webbplatsanvändningen för webbplatsens analysrapport. Cookien lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att känna igen unika besökare. |
| _ga_756JKDQ1KE | 2 years | Denna cookie installeras av Google Analytics. |
| _gat_gtag_UA_55739322_1 | 1 minute | Inställd av Google för att särskilja användare. |
| _gat_UA-55739322-1 | 1 minute | En variant av _gat-cookien som ställts in av Google Analytics och Google Tag Manager för att tillåta webbplatsägare att spåra besökarnas beteende och mäta webbplatsens prestanda. Mönsterelementet i namnet innehåller det unika identitetsnumret för kontot eller webbplatsen det hänför sig till. |
| _gid | 1 day | Installerad av Google Analytics lagrar _gid cookie information om hur besökare använder en webbplats, samtidigt som den skapar en analysrapport över webbplatsens prestanda. En del av de uppgifter som samlas in inkluderar antalet besökare, deras källa och de sidor de besöker anonymt. |
| _hjAbsoluteSessionInProgress | 30 minutes | Hotjar ställer in denna cookie för att upptäcka den första sidvisningssessionen för en användare. Detta är en True/False-flagga som sätts av cookien. |
| _hjFirstSeen | 30 minutes | Hotjar ställer in denna cookie för att identifiera en ny användares första session. Den lagrar ett sant/falskt värde, vilket indikerar om det var första gången Hotjar såg den här användaren. |
| _hjIncludedInPageviewSample | 2 minutes | Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens sidvisningsgräns. |
| _hjIncludedInSessionSample | 2 minutes | Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens dagliga sessionsgräns. |
| _hjTLDTest | session | För att bestämma den mest generiska cookie-sökvägen som måste användas istället för sidans värdnamn, ställer Hotjar in _hjTLDTest-cookien för att lagra olika URL-understrängsalternativ tills den misslyckas. |
| CONSENT | 2 years | YouTube sätter denna cookie via inbäddade youtube-videor och registrerar anonym statistisk data. |
| Google_Tag_Manager | 1 year | |
| nQ_cookieId | 1 year | Albacross sätter denna cookie för att hjälpa till att identifiera företag för bättre leadgenerering och effektivare annonsinriktning. |
| UserMatchHistory | 1 month | LinkedIn ställer in denna cookie för synkronisering av LinkedIn Ads ID. |
Annonscookies används för att ge besökarna relevanta annonser och marknadsföringskampanjer. Dessa cookies spårar besökare över webbplatser och samlar in information för att tillhandahålla anpassade annonser.
| Kaka | Varaktighet | Beskrivning |
|---|---|---|
| VISITOR_INFO1_LIVE | 5 months 27 days | En cookie som ställs in av YouTube för att mäta bandbredd som avgör om användaren får det nya eller gamla spelargränssnittet. |
| YSC | session | YSC-cookien ställs in av Youtube och används för att spåra visningar av inbäddade videor på Youtube-sidor. |
| yt-remote-connected-devices | never | YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video. |
| yt-remote-device-id | never | YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video. |
Andra okategoriserade cookies är de som analyseras och som ännu inte har klassificerats i en kategori.
| Kaka | Varaktighet | Beskrivning |
|---|---|---|
| _hjSession_2668272 | 30 minutes | Ingen beskrivning |
| _hjSessionUser_2668272 | 1 year | Ingen beskrivning |
| AnalyticsSyncHistory | 1 month | Ingen beskrivning |
| li_gc | 2 years | Ingen beskrivning |
| nQ_userVisitId | 30 minutes | Ingen beskrivning |
