I den ständiga jakten på att göra sig hörd trumfar den ena efter den andra med allt högre procenttal för att lyfta fram hotbilder relaterade till egen och inhyrd personal. Inte sällan nämns procenttal närmare 90%. Vill man vända på detta, säger samtidigt den som vill göra sig hörd att endast 10% av hoten kommer utifrån. Mer nyktra undersökningar nämner att 1/3 kan relateras till interna hotbilder och 2/3 till externa hotbilder. Har procenttalen egentligen någon betydelse?
När man kopplade samman den egna IT-infrastrukturen med Internet var fokus givetvis att skydda sig mot det okända. Likhetstecken sattes mellan Internet och det okända. Samtidigt infördes få, i vissa fall inga, begränsningar för access till Internet. Få såg då några risker med att ge den egna IT-infrastrukturen frikostig access till Internet. Detta föranledde i sin tur att man ofta använt två helt olika grundprinciper för interna respektive externa hotbilder. Den externa policyn utgår från att allt är förbjudet och man specificerar vad som skall tillåtas vid access från Internet. Den interna policyn är helt omvänd, den utgår från att allt är tillåtet och man specificerar vad som skall förbjudas vid access till Internet. Med det historiska perspektivet är det inte speciellt häpnadsväckande att fokus flyttats från externa till interna hotbilder. Självklart väljer den illasinnade att utföra sina attacker från en punkt där denne kan operera ostört, obehindrat och osynligt.
Det har gått mer än ett decennium sedan stora flertalet anslöt sig till Internet och formade sina policys. Vi kan idag konstatera att den slapphänta policyn för vad som tillåts, eller rättare sagt förbjuds, vid access till Internet är en belastning idag. Det är inte ovanligt att detta är den största enskilda IT-säkerhetsrisken för en organisation idag. Dessvärre är det inte bara att byta grundprincip och utgå från att allt är otillåtet och sedan specificera allt som skall tillåtas. Allt för många har nämligen inte en aning om vad som skall tillåtas, än mindre vad som kan relateras till den egna verksamheten.
För att lyckas med att byta grundprincip utan att bli en belastning för såväl den egna verksamheten som de interna användarna krävs en minutiös kartläggning av trafikslag, protokoll, format etc. Detta är ett utmärkt tillfälle att ta stöd av säkerhetspolicyn med tillhörande dokument för att se hur väl de fungerar i praktiken. Det finns tyvärr en risk att även säkerhetspolicyn kommer att påverkas, direkt eller indirekt, av detta förändringsarbete. Det finns ingen anledning att skjuta upp detta förändringsarbete. Det blir bara än mer omfattande med tiden och under tiden utsätts er organisation för risker helt i onödan.
© 2006 Thomas Nilsson, Certezza AB
Thomas Nilsson
