Switch-sikkerhet

Med en smart switch kan man velge hvem som skal få koble til et lokalt nettverk, omtrent slik greia også er for vanlige trådløse aksesspunkt.

Velger man portsikkerhet må man tillate MAC-adresser. Velger man 802.1x må man i stedet autentisere seg, og i virksomheter flest blir dette da med samme brukernavn og passord som når man logger på en datamaskin.

Sikkerhetspolicy

En sikkerhetspolicy kommuniserer på høyt nivå hvilke krav som stilles når virksomhetens datasystemer installeres, vedlikeholdes og brukes. Altså gjør man det klart hvor policyen gjelder og for hvem. Man bør også redegjøre for hva som er meningen med den.

Sikkerhetspolicier er viktige fordi de styrer arbeidet med å utvikle sikkerhetsstandarder, sikkerhetsprosedyrer og sikkerhetsguider.

Å lage en sikkerhetspolicy bør gjøres i faser:

  1. Kartlegging av alle krav – forretningsmessige, lovregulerte, beste praksis og muligens noen som er virksomhetsspesifikke.
  2. Definere behovet og basert på dette lage et grovt forslag til policy.
  3. Skrive en komplett policy med utgangspunkt i forslaget.
  4. Kritisk vurdering av policyen også eventuelt vedtakelse av den.
  5. Publisering og distribusjon av policyen for hele virksomheten.
  6. Evigvarende vedlikehold og fornyelse når policyen trenger det, dvs. at man påbegynner kravinnsamling igjen.

En sikkerhetspolicy skal ikke lages i et vakuum, man må involvere alle avdelinger og ansatte som vil bli berørt av den.

TBC

Konfidensialitet vs. privat

Mens private data som regel bare er tilgjengelig for èn part er konfidensielle data den type data som andre har innsyn i – fordi de har saklig grunn.

Passord, PIN-kode, BankID-kodebrikke o.s.v., er privat. Pasienters sykejournaler derimot er konfidensielle fordi leger trenger tilgang for å få gjort jobben sin.

CIA-triaden

En kjent konseptuell modell for datasikkerhet, som består av tre sider:

  • Confidentiality – altså konfidensialitet.
  • Integrity – integritet.
  • Availability – tilgjengelighet.

Denne modellen gjør at man tenker mer helhetlig rundt datasikkerhet fordi det er fort gjort å f.eks. fokusere bare på tilgjengelighet.

Typer av sikkerhetskontroll

Enhver sikkerhetskontroll har et gitt mål, den skal enten

  • forebygge noe (låser, brannmurer, alarmsystemer, noen som står vakt, ..)
  • detektere noe (overvåkningskameraer, logging, patruljerende vakter, ..)
  • avskrekke noen (piggtråd, advarselbeskjeder, synlige vakter og overvåkningskameraer, ..)
  • korrigere noe (redundant lagring, ..)
  • gjenopprette noe (sikkerhetskopiering, katastrofeplaner, ..)
  • kompensere for noe

Sikkerhetskontrollen kan implementeres

  • fysisk (låser, overvåkningskameraer, piggtråd, ..)
  • administrativt (sikkerhetspolicyer, ..)
  • teknologisk (brannmurer, logging, advarselbeskjeder, redundant lagring, sikkerhetskopier, ..)
  • operasjonelt (noen som står vakt og som patruljerer, synlige vakter og overvåkningskameraer, katastrofeplaner, ..).