Kan man göra utfästelser enligt rubriken och fortfarande betraktas som seriös i IT branschen?
Svaret är JA – men det kräver att den som tar ansvar för riktigheten i påståendet också har full kontroll över alla ingående komponenter och processer. Full kontroll i alla led – från specifikation till konsumtion. Det är mycket att tänka på.
11/26/2007 |
En nätverksbaserad arkitektur är en förutsättning. Låter enkelt men hur skaffa sig kontroll över resurser som oftast bara kan hyras eller lånas? Det interna nätverket är ofta helt jämförbart med det externa nätverket när det gäller kommunikation mellan olika geografiska platser. Nätverk upphandlas av teleoperatörer. Det gör det omöjligt att göra en egen risk- och sårbarhetsbedömning. Avtal med flera operatörer hjälper inte – omöjligt att kontrollera befintlig teknik, fysikalisk dragning och elförsörjning. Det finns inga kvalitativa krav för att bli teleoperatör. Det nätverksbaserade försvaret, det nätverksbaserade samhället och det nätverksbaserade näringslivet har alla samma utmaningar och lösningarna baseras övervägande på gemensamma resurser. Resurser som inte alltid låter sig kontrolleras av regler, handböcker och direktiv. Resurser som för nationen Sveriges behov kan styras, ledas och ägas av andra nationer.
Men ge inte upp. Det finns kryptering och PKI baserade certifikatlösningar utvecklade med olika standards och certifierade enligt olika kriterier. Fungerar normalt helt utmärkt men säkerheten är helt beroende av den som sitter högst upp i respektive hierarki. Alla kryptobaserade lösningar bygger på nyckelhantering och trovärdigheten hos den som administrerar pyramiden. Lägg till den internationella aspekten och komplexiteten ökar. Sätt dig själv i centrum och fundera över hur många olika säkerhetslösningar som du måste hålla reda på och inse att det inte finns EN lösning på problemet informationssäkerhet.
Glöm aldrig att: Informationssäkerhet innebär att möjliggöra säkert informationsutbyte inte att låsa in information. För att hantera dagens olika säkerhetslösningar krävs och finns tekniker som medger att en betrodd part ges möjlighet att inom sin egen domän ha förtroendet att distribuera sina rättigheter enligt eget omdöme. Standardiserade säkerhetslösningar för informationsutbyte, skalbara inför nya hot och förändringar i omvärlden, finns fortfarande som målbild för många experter. Chansen att ena världen är liten. Men ge inte upp! Ta till exempel vara på de säkerhetskomponenter och lösningar som är certifierade enligt CommonCriteria mot överenskomna specifikationer.
Glöm aldrig att alla informationssäkerhetslösningar måste vara korrekt konfigurerade och kontinuerligt övervakade. Fienden arbetar på heltid, alla dygnets timmar och året runt. Den motståndaren håller man inte stången en gång per år i samband med den årliga budgetmanglingen. Eller genom att efter konstaterad informationsstöld fundera över hur man utför en logganalys.
Full kontroll är sällsynt – men nödvändigt!
Vice President, Information Security
+46 470 420 10