Skip to main content
Portal
Under angrep?

    IT-sikkerhet – hva kan man overvåke?

    IT-sikkerhet – hva kan man overvåke?

    En stor andel av verdiene i en bedrift er immaterielle. Stadig mer forretningskritisk informasjon ligger lagret i datasystemene. Paradoksalt nok overvåker de færreste virksomheter disse verdiene med tanke på sikkerhet. 

     

    Det finnes en rekke områder innen IT-sikkerhet som man kan overvåke. La oss først dra en parallell som mange kan relatere til – fysisk sikring av kontorbygg. De fleste bedrifter sitter i et kontorbygg som har en viss sikring, eksempelvis adgangskontroll på dører og porter, overvåkingskamera, besøkskontroll, vektere som er innom og sjekker bygget på natten, osv.

    Paradokset er at de største verdiene ofte er lagret på IT-systemer, enten på PC’er, servere eller i skyen. For en kriminell vil det være lettere å prøve å hacke bedriften enn å fysisk bryte seg inn. Likevel er normen at svært få bedrifter i dag overvåker IT-systemene med hensyn til sikkerhet.

    I lys av dagens digitale trusselbilde er det avgjørende for bedrifter å ha overvåking også på sine immaterielle verdier, både med automatisk overvåking og med personell som daglig sjekker status, slik som vakten som sjekker alle alarmer og dører på natterunden sin.

    Hva kan man så overvåke?

     

    Komponenter som kan og bør overvåkes

    En bedrift sitter på en rekke forskjellige teknologier som generer informasjon som er nyttig å overvåke. Vi har tidligere skrevet om hvorfor man bør analysere logger, men hva kan man egentlig overvåke og hente logger fra?

    1. Brannmurer (dører og porter)
    Brannmurer rapporterer angrep fra utsiden, kjenner igjen forskjellige angrep, blokkerer alle kjente trusler og en del ukjente (nye). Denne informasjonen er likevel unyttig hvis den ikke brukes aktivt.

    2. Nettverk (ganger og trapper)
    Hvilken type trafikk beveger seg på nettverket ditt, fra hvor til hvor? 

    3. Servere (arkiv, lagringsrom, verktøyskap)
    Pålogginger, tjenester, applikasjoner.

    4. Andre enheter på nettverket
    Andre komponenter på nettverket som kan ha viktig informasjon i sikkerhetssammenheng.

    5. Brukere (kontorer)
    Oppførsel, tjenester, applikasjoner.

    6. Sky og web (eksterne leverandører som har tilgang)
    Oppførsel og brukeraktivitet i skyen. Hvilke data deles i skyen?

    7. Sårbarheter (ødelagte låser, vinduer, uovervåkede områder)
    Ha kontroll over sårbarheter og sett ressurser på å fjerne dem (“Fiks den ødelagte låsen”).

    8. Informasjonsflyt
    Ha kontroll på hvor personsensitiv informasjon beveger seg (GDPR).

    Les også: Har dere god IT-sikkerhet? Slik finner du det ut

     

    Avdekking av risiko og konsekvens for virksomheten

    Noe av det viktigste man gjør etter å ha samlet inn informasjon fra disse komponentene, er å korrelere og analysere data over lengre tidsrom, slik at man kan identifisere komplekse sammenhenger mellom indikatorer på sikkerhetshendelser på tvers av ulike nettverk og tjenester.

    Slik kan vi eksponere ikke bare teknisk risiko, men forretningsrisiko og -konsekvens.

     

    New call-to-action
    Skrevet av Sigbjørn Sørensen
    Følg meg på LinkedIn
    Oslo

    Drammensveien 288

    0283 Oslo

     

    Bergen

    Sandviksbodene 1

    5035 Bergen

    Stavanger

    Kanalsletta 4

    4033 Stavanger

    Grimstad

    Bark Silas vei 5

    4876 Grimstad

    Kristiansand

    Dronningens gt 12

    4610 Kristiansand

    Stockholm

    Kammakargatan 22

    111 40 Stockholm