Säkerhetsarbete saknar slutdatum

Konsumenter ska inte skrämmas av hot som framförallt gäller företag. Företag ska inte hantera sin säkerhet på samma sätt som konsumenter. Det låter självklart, men ärligt talat - det råder viss förvirring därute.

Författare: F-Secure Sverige
Datum: 24.02.2017
Lästid: 3 Minuter

Det är faktiskt någonting som vi ser oftare än man kan tro – företag som köper säkerhetslösningar på samma sätt som konsumenter köper säkerhetspaket; som enskilda produkter som ska ge ett tillräckligt gott skydd.

Frågan är var de tankarna egentligen kommer från, vad det beror på. Kanske är det något slags skyddsmekanism som träder in, som cybersäkerhetsvärldens motsvarighet till strutsen som stoppar huvudet i sanden. Det är inte omöjligt att delar av min egen bransch har dragit åtminstone ett par strån till stacken här – med marknadsföring som inte sällan lyfter fram just enskilda nya produkter och lösningar som något slags mirakelkurer.

Kanske är det en kombination av dåligt formulerade budskap från säkerhetsbranschen tillsammans med brist på kunskap och erfarenhet gett upphov till den här förvirringen och den här förenklade synen på säkerhetsarbete.

Olle Segerdahl, F-Secure Sverige
Olle Segerdahl, F-Secure Sverige

Oavsett orsak så är det bara att konstatera att säkerhet inte är så enkelt – och att skydda ett företag har inte mycket mer än målbilden och grundläggande teknologi gemensamt med att skydda en enskild konsument.

Hotbilden är annorlunda – konsumenter och småföretag utsätts inte för riktade attacker i samma omfattning, där hotaktören är ute efter just deras tillgångar. Men framförallt är förutsättningarna gällande infrastruktur och möjliga attackvektorer helt väsensskild. Företag har ofta egna datacenter, flera olika operativsystem och affärskritiska system och databaser – och framförallt fler klienter och användare som kan fungera som vägar in för angrepp.

Mindre företag klarar sig ofta bra med paketlösningar för sina säkerhetsbehov, oavsett om det handlar om backup av data, skydd mot intrång och skadlig kod eller fysisk säkerhet som larm och tillträdesbegränsning till lokaler. Men ju större en organisation är, desto större är behovet av att ha ett skräddarsytt säkerhetsarbete. Det handlar inte nödvändigtvis om att de behöver andra, eller ens bättre, säkerhetsprodukter – det handlar om att de måste utöka sin skyddsförmåga så att de kan upptäcka och hantera intrång från någon som siktat in sig just på dem och deras tillgångar.

Specialiserade attacker måste mötas med specialiserad skyddsförmåga, och det är inget som går att köpa som en färdigpaketerad lösning.

Säkerhetsprodukterna utgör absolut en viktig del av säkerhetsarbetet, men om de inte används på rätt sätt, och av kompetenta människor – så är de i all väsentlighet värdelösa.

Produkter i sig kan inte lösa ett företags säkerhetsproblem. De är bara verktyg som hjälper oss jobba mer effektivt.

Med den missuppfattningen ur vägen skulle det råda avsevärt mycket mindre förvirring där ute.

Här kommer fyra råd som kan vara ovärderliga på väg ut ur förvirringen:

  • Försök inte köpa dig ur problemen: Det är inte läge att lägga till ytterligare lösningar eller tjänster. Det kanske kommer att behövas ändå i slutändan, men det är bättre att investera i kunskap och kännedom om den egna infrastrukturen och den hotbild du står inför.
  • Fatta inga förhastade beslut: Börja med att analysera nuvarande situation och inhämta nödvändig kunskap, lite som att andas djupt och räkna till tio. Genomtänkta och framgångsrika beslut fattas sällan i affekt eller under stressiga förhållanden.
  • Hitta rätt kompetens: Finns det inte rätt personer, med rätt kunskap och rätt erfarenhet, inom organisationen så är det bättre att hitta en extern part som kan hjälpa till snarare än att ge uppdraget till någon som är nästan rätt och hoppas på det bästa.
  • Förankra beslut och informera om vikten av säkerhetsarbete: Ju fler inom organisationen som har förståelse för säkerhetsfrågor, desto bättre är det. Utbilda, informera och följ upp för att säkerställa att medarbetarna förstår vilka risker och hot som finns så att de verkligen kan ta till sig organisationens säkerhetspolicy, det ökar sannolikheten att de faktiskt kommer att följa den.

[Bild: William Warby, Flickr]


Lämna ett svar

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s