Informasjon er selve gullet i de fleste bedrifter i dag. Alle bedrifter både produserer og anvender informasjon, i små og store mengder. Mister du denne informasjonen, for eksempel i et cyberangrep, betyr det at du sitter igjen med lite eller ingen verdi.
Poenget med it-sikkerhet er nettopp å sikre disse verdiene, slik at konsekvensene blir mindre ved et angrep. Men i praksis – hvordan sikrer du verdiene dine, og ikke minst hvordan går du fram? Min erfaring er at du må legge et solid grunnlag for god it-sikkerhet i bedriften din.
Disse tre stegene viser deg hvordan:
Steg 1: Klassifiser informasjon
All informasjon er ikke like viktig. Klassifisering handler om å kartlegge hvilke verdier du har, og hvilken informasjon som er mest verdifull for bedriften. Noe informasjon er hemmelig og noe kan være åpent for alle, og informasjonen bør være pålitelig og til å stole på.
Den mest vanlige måten å klassifisere informasjon på er med TLP-rammeverket. Dette rammeverket baserer seg på hvor stor gruppe mennesker informasjonen skal deles med. Hvis informasjonen er hemmelig, skal det markeres med TLP:RØD, men hvis informasjonen deles med flere andre organisasjoner, skal det merkes med TLP:GRØNN.
Steg 2: Kartlegg informasjonskilder og databehandlere
Hvor kommer informasjonen fra og hvor blir den håndtert? Noe av informasjonen i bedriften blir kun produsert og håndtert internt i en organisasjon, men vi ser at informasjon stadig oftere blir håndtert av en ekstern part.
Å kartlegge informasjonskilder og databehandlere er derfor svært viktig. Det handler om å finne ut hvilke systemer og systemprosesser som på en eller annen måte er integrert og som deler data. Hvis et system for eksempel produserer konfidensiell informasjon, er det viktig å ha oversikt og kontroll over hvilke systemer eller prosesser som behandler denne informasjonen.
Steg 3: Sikre transportkanaler
Alle bedrifter har transport - det vil si bevegelse og utveksling - av informasjon mellom prosesser på et OS, mellom servere og klienter, og mellom organisasjoner. Alle disse lagene må kartlegges og vurderes ut fra:
1) Hvor tilgjengelig skal transportkanalen være? Vi bruker gjerne en skala som går fra at kanalen kun skal være tilgjengelig for én person eller behandler, til at transportkanalen må være tilgjengelig for alle hele tiden.
2) Hvor pålitelig er informasjonen fra start til slutt i transportkanalen? Transportkanalen må sikres i henhold til informasjonsklassifiseringen.
En transportkanal som sender TLP:RØD informasjon bør sikres strengere enn en kanal som sender TLP:GRØNN informasjon.
Husk å etablere gode prosesser for overvåking og testing
Når grunnmuren for informasjonssikkerhet er lagt, er det veldig viktig at man lager gode prosesser for overvåking og testing:
- Pass på at databehandlere er operasjonelle og ikke er blitt kompromittert på noen måte
- Test integriteten av transportkanalene og databehandlerne
Det er dumt å investere for mye i disse to tingene dersom fundamentet er dårlig. Som IT-sjef eller sikkerhetsansvarlig bør du ha fokus på det store bildet og vite hva som gir langsiktig verdi.
I dagens risikofylte hverdag er det blitt nødvendig med sikkerhetstjenester som for eksempel konsulenthjelp, overvåking og testing. Men har leverandørene tatt i betraktning informasjonsklassifisering, databehandlere og transportkanalene som er i bruk? Sikkerhetsleverandører bør kartlegge disse punktene først, for å adressere informasjonssikkerheten.
IT-avdelingen bør tilrettelegge for god forståelse av de tre punktene over, for å være i tråd med organisasjonens langsiktige verdi. Disse fundamentale punktene må bli forstått internt, og dette ansvaret kan ikke bli kjøpt som en tjeneste. Det er fornuftig å få hjelp med kartlegging og sikring av databehandlere og transportkanaler, men det er viktig at man internt tar eierskap for resultatet. Dette fordi ingen andre eksterne kommer til å ta det ansvaret.
Ønsker du hjelp med å klassifisere, kartlegge og sikre dine verdier? Våre rådgivere har lang erfaring med å hjelpe bedrifter med dette.
