• SPISSKOMPETANSE INNEN SIKKERHET OG INFRASTRUKTUR

  • Sikkerhet

  • Infrastruktur

  • Overvåking

  • Tjenester

  • Kurs

Generell sikkerhet

 

Vi vil her omtale:

  • Informasjonsteknologi sikkerhet (IT-sikkerhet)
  • Informasjonssikkerhet
  • Operasjonell teknologi sikkerhet (OT-sikkerhet)
  • Industrial Control Systems sikkerhet (ICS-sikkerhet)
  • Informasjons- og kommunikasjonsteknologi sikkerhet (IKT-sikkerhet)
  • Skysikkerhet (Cloud Security)

Dette er mange begreper og flere av de er overlappende. Det er mange steder vi eksisterer om dagen. Dette er hverdagen til de fleste av oss. Det er dette som gjør det spennende, utfordrende og vanskelig. Vi har på denne siden prøvd å oppsummere noen elementer som er relevante i denne sammenheng. Sikkerhetsteknologi er sekundært i forhold til elementene her. Er ikke tingene på denne siden på plass, vil teknologien ha mindre verdi.
 

Lidenskap

Personer som får oppgaver som “bare må gjøres”, gjør ofte kun det nødvendige, og ikke det lille ekstra som alltid vil trenges for god sikkerhet. En ting er teknisk kompetanse. God sikkerhet krever personell med lidenskap. Uten lidenskap vil sikkerheten kunne bli halvbra, gi falsk trygghet, og dermed bli unødvendig dyrt. Dette er ofte en undervurdert og glemt del av sikkerheten.

 

Ledelse

Ledelsen i virksomheten må forstå hva elementene nevnt nedenfor er, hvorfor de er viktige, og hvorfor de må på agendaen og budsjettet. De må forstå at i dagens samfunn er dette en nødvendig forsikring for å hindre avbrudd eller forstyrrelser i driften.
 

Mellomledere, IT-ledelse, sikkerhetsledelse

Dette er de som overordnet styrer sikkerheten i bedriften. Det er her styringssystemer vil tilhøre, som ISO, CIS, NIST, NSM Grunnpprinsipper for IKT-sikkerhet, etc. Det er på dette nivået føringer for strategi legges. Dette er gruppen som vil kommunisere med ledelse og IT avdeling, og må derfor ha forståelse for begge deler av organsisasjonen. Denne gruppen må ha forretningsforståelse, da sikkerhet og investeringer innen dette området må settes opp mot verdi og risiko. 

 

IT-avdelingen

Dette er de som jobber med det tekniske utstyret som må til, som en del av helhetlig sikkerhet. Her vil operasjonell drift ligge. 

 

Teknologi

Sikkerhet er omfattende, og innbefatter teknologi, som har til hensikt å øke sikkerheten, og senke risikoen. Sikkerhet er en prosess. Produkter ikke sikkerhet. Men produkter er nødvendig for å oppnå sikkerhet.

Man kunne skrevet mye om hvert enkelt punkt, men det er ikke hensikten med denne artikkelen.
 

Elementer man burde være klar over og tenke på

GRC, Governance, risk management, and compliance

 

CIA, Confidentiality, Integrity and Availability

  • https://en.wikipedia.org/wiki/Information_security 
    • At the core of information security is information assurance, the act of maintaining the confidentiality, integrity and availability (CIA) of information, ensuring that information is not compromised in any way when critical issues arise.
    • CIA er bygget som en likesidet trekant, der alle tre elementene skal ha lik verdi, og skal være like viktige. Organisasjoner må forstå viktigheten av fokus på alle disse tre, og ha det som en del av sin strategi hvordan dette håndteres
    • Confidentiality
      • «In information security, confidentiality "is the property, that information is not made available or disclosed to unauthorized individuals, entities, or processes."[35] While similar to "privacy," the two words aren't interchangeable. Rather, confidentiality is a component of privacy that implements to protect our data from unauthorized viewers. Examples of confidentiality of electronic data being compromised include laptop theft, password theft, or sensitive emails being sent to the incorrect individuals.»
    • Integrity
      • «In information security, data integrity means maintaining and assuring the accuracy and completeness of data over its entire lifecycle.[36] This means that data cannot be modified in an unauthorized or undetected manner. This is not the same thing as referential integrity in databases, although it can be viewed as a special case of consistency as understood in the classic ACID model of transaction processing. Information security systems typically provide message integrity alongside confidentiality.»
    • Availability
      • «For any information system to serve its purpose, the information must be available when it is needed. This means the computing systems used to store and process the information, the security controls used to protect it, and the communication channels used to access it must be functioning correctly. High availability systems aim to remain available at all times, preventing service disruptions due to power outages, hardware failures, and system upgrades. Ensuring availability also involves preventing denial-of-service attacks, such as a flood of incoming messages to the target system, essentially forcing it to shut down.

DE Information Security

                                        En CIA trekant ser gjerne slik ut

 

Proaktiv vs Reaktiv sikkerhet.

  • Proaktiv sikkerhet er arbeidet som gjøres for å redusere sannsynligheten for en hendelse.
  • Reaktiv sikkerhet er arbeidet som gjøres for å redusere konsekvens av hendelse.

Sikkerhetsstrategi, Zero Trust

  • Data Equipment mener man må ha en sikkerhetsstrategi, og ikke bare taktikker og operasjonell drift som er det mest vanlige. Data Equipment promoterer derfor Zero Trust som en smart strategi å etterleve, og ha denne før man ser på taktikker som rammeverk, teknologi og løsninger. 

Rammeverk

Det er ingenting som heter å klikke «litt». Klikking er binært, 1 eller 0. Enten så klikker man, eller så klikker man ikke!

 

For mer informasjon 

Gøran Tømte-WEB_150x150

Gøran Tømte
CISO, Data Equipment
Mobil: 930 40 018
E-post: goran@dataequipment.no