Switch-sikkerhet

Med en smart switch kan man velge hvem som skal få koble til et lokalt kablet nettverk, omtrent slik greia også er for vanlige trådløse aksesspunkt.

Det finnes to muligheter:

  • Portsikkerhet – her velger man hvilke MAC-adresser som skal tillates på nettverket.
  • 802.1x – hvor man kobler til ved å autentisere seg. I virksomheter flest blir dette da med samme brukernavn og passord som når man logger på brukerprofilen sin, hvis ting er satt opp riktig.

Alternativ nr. 1 er ikke sikker da MAC-adresser kan forfalskes. Ønsker man uautorisert tilgang med alternativ nr. 2 må man derimot finne et gyldig brukernavn og passord.

Sikkerhetspolicy

En sikkerhetspolicy kommuniserer på høyt nivå hvilke krav som stilles når virksomhetens datasystemer installeres, vedlikeholdes og brukes. Altså gjør man det klart hvor policyen gjelder og for hvem. Man bør også redegjøre for hva som er meningen med den.

Sikkerhetspolicier er viktige fordi de styrer arbeidet med å utvikle sikkerhetsstandarder, sikkerhetsprosedyrer og sikkerhetsguider.

Å lage en sikkerhetspolicy bør gjøres i faser:

  1. Kartlegging av alle krav – forretningsmessige, lovregulerte, beste praksis og muligens noen som er virksomhetsspesifikke.
  2. Definere behovet og basert på dette lage et grovt forslag til policy.
  3. Skrive en komplett policy med utgangspunkt i forslaget.
  4. Kritisk vurdering av policyen også eventuelt vedtakelse av den.
  5. Publisering og distribusjon av policyen for hele virksomheten.
  6. Evigvarende vedlikehold og fornyelse når policyen trenger det, dvs. at man påbegynner kravinnsamling igjen.

En sikkerhetspolicy skal ikke lages i et vakuum, man må involvere alle avdelinger og ansatte som vil bli berørt av den.

TBC

Konfidensialitet vs. privat

Mens private data som regel bare er tilgjengelig for èn part er konfidensielle data den type data som andre har innsyn i – fordi de har saklig grunn.

Passord, PIN-kode, BankID-kodebrikke o.s.v., er privat. Pasienters sykejournaler derimot er konfidensielle fordi leger trenger tilgang for å få gjort jobben sin.

CIA-triaden

En kjent konseptuell modell for datasikkerhet, som består av tre sider:

  • Confidentiality – altså konfidensialitet.
  • Integrity – integritet.
  • Availability – tilgjengelighet.

Denne modellen gjør at man tenker mer helhetlig rundt datasikkerhet fordi det er fort gjort å f.eks. fokusere bare på tilgjengelighet.

Typer av sikkerhetskontroll

Enhver sikkerhetskontroll har et gitt mål, den skal enten

  • forebygge noe (låser, brannmurer, alarmsystemer, noen som står vakt, ..)
  • detektere noe (overvåkningskameraer, logging, patruljerende vakter, ..)
  • avskrekke noen (piggtråd, advarselbeskjeder, synlige vakter og overvåkningskameraer, ..)
  • korrigere noe (redundant lagring, ..)
  • gjenopprette noe (sikkerhetskopiering, katastrofeplaner, ..)
  • kompensere for noe

Sikkerhetskontrollen kan implementeres

  • fysisk (låser, overvåkningskameraer, piggtråd, ..)
  • administrativt (sikkerhetspolicyer, ..)
  • teknologisk (brannmurer, logging, advarselbeskjeder, redundant lagring, sikkerhetskopier, ..)
  • operasjonelt (noen som står vakt og som patruljerer, synlige vakter og overvåkningskameraer, katastrofeplaner, ..).