Hvor god oversikt har du over egne IT-systemer?
Oversikt er grunnleggende viktig for sikkerhet
Som konsulent kommer jeg på innsiden av en rekke ulike virksomheter med forskjellig størrelse og kompleksitet på IT-infrastruktur og IT-systemer.
Det som slår meg er at forvaltning av IT*, er et ansvar som ofte blir delegert og pulverisert.
Når noe først går galt, så skyves ansvaret oppover igjen og det er daglig leder eller styret som blir gjort ansvarlig.
De fleste virksomheter baserer seg på konsum av IT-tjenester som produseres i en miks av egne datarom, offentlige nettskyer og med noen rene leide tjenester.
For tjenester som virksomheten selv er ansvarlig for, understøttes disse av mer eller mindre komplekse IT-systemer med enheter som alle er i en eller annen fase av sitt livsløp.
IT-sikkerhet er evig dagsaktuelt. Det snakkes ofte om lag på lag med sikkerhetsløsninger, men dessverre vil alltid det svakeste leddet ryke først.
Det noen kanskje glemmer er at god forvaltning av IT er ensbetydende med IT-sikkerhet. Det gir en trygghet på at status er kjent og fremhever oppgaver som må adresseres.
«Uvitenhet er en dyd» er et kjent ordtak. Dessverre lever mange etter dette mantraet, hvor de ikke forholder seg til hele eller deler av ansvaret sitt. Det er for enkelt å uttale «det kjenner jeg ikke til» eller «det burde vi snart å gjort noe med.»
Det jeg ofte ser er at virksomheter har enheter de ikke lenger forholder seg til, men som like fullt fremdeles er operative, tilgjengelige og i noen tilfeller leverer kritiske funksjoner. Det være seg brannmurer, proxyløsninger, nettverkskomponenter eller tjenere med programvare.
Enheter som ikke forvaltes, som ikke får revidert konfigurasjonen eller holdes oppdatert er en betydelig sikkerhetsrisiko.
En ondsinnet aktør vil alltid lete etter enheter som åpner opp for å etablere en tilstedeværelse, og ingenting er enklere enn å utnytte kjente sårbarheter i utdaterte eller feilkonfigurerte enheter. De saumfarer Internett for enheter som de kan angripe direkte, eller de kan klare å angripe via enheter som uforsiktige brukere tar med seg på innsiden av virksomhet.
Det holder ikke å si at denne er på vei til å bli faset ut, eller denne er ikke tilgjengelig for andre enn X.
På tide med en vårrydding?
Når hadde du sist tilgang på en oversikt som viste status og avvik på enheter som understøtter virksomhetens evne til å produsere, er tilkoblet et nettverk/sky eller burde være skrudd av og kassert?
- Enhet og modell
- Plassering; Fysisk, logisk eller virtuell.
- Programvarenivå, seneste tilgjengelige programvare og kjente sårbarheter
- Sensorverdier ift maskinvare; Status, temperatur, feilrater.
- Livssyklus; Forventet levetid, planlagt fornyet eller utfaset med satt dato.
- Sist revidert konfigurasjon.
Rundt meg ser jeg at verden våkner til liv. Pandemien er snart glemt og man finner frem de prosjektene man selv satt på vent. Vårrydding i hage og garasje er godt i gang og kanskje fullført.
Når hadde dere sist en vårrydding i egne IT-systemer?