Vi har nog alla varit med om att vi börjat med något men sedan inte slutfört det, alternativt har det tagit mycket längre tid än vi från början tänkte oss att det skulle ta. Eller?
Jag tror vi kan påstå att detta gäller även för företag och organisationer.
Inte minst inom säkerhet… Antalet organisationer som föresatt sig att de ska ISO 27000-certifiera sig torde vara avsevärt. Antalet organisationer som går i mål på utsatt tid ”är kanske inte lika många som antalet som startar”… 😉
Detta har fått mig att fundera på följande fråga ”Vad är minimum/hur kan man ta ett fåtal steg för att avsevärt förbättra en organisations säkerhet utan att hamna i fällan med att det inte blir genomfört/klart?”
Vad är det man ska koncentrera sig på?
Mitt nuvarande svar är,
- Awareness utbilda personalen i säkerhet. Återkommande. Inga långa ”tråkiga” utbildningar utan hellre små korta ”påminnelser” t.ex. hur epost med bilagor och/eller uppmaningar om att trycka på länkar ska hanteras.
- Tillse att ledningen får komprimerad enkelt överskådlig återkommande information om säkerhetsläget. Nuläge denna månad, förändring mot föregående månad…
- Tillse att det finns ett kontinuerligt uppdaterat ”inventarieregister” avseende hårdvara, mjukvara, applikationer och behörigheter. Samt utpekade applikationsansvariga.
- Tillse att utrustning som anskaffas konfigureras på ett säkert sätt innan den får börja användas (IT-security Baselines).
- Tillse att installerad utrustning/programvara/applikationer patchas/uppdateras omgående.
- Tillse att sårbarhetsscanning sker OCH att upptäckta avvikelser åtgärdas omgående.
Det finns självfallet mycket mer man kan göra. Dock, dessa punkter torde vara möjliga att införa fullt ut om motivationen finns. Effekten torde minst vara 80/20-regeln dvs mycket bra skydd i förhållande till insatsen. Och i förhållande till vad som de facto behövs i de flesta organisationer.
Min erfarenhet från flera organisationer pekar på att det även behövs ”verktyg” för att underlätta ovanstående. Verktyg i detta sammanhang kan vara en pärm, en registerlåda med registerkort eller något mer s.k. ”modernt”. Exakt hur det görs är inte så viktigt, det viktiga är att det görs!
Dock, ett tips… BI kombinerad med rådata från t.ex. sårbarhetsscanner kan väsentligt underlätta a) för de som ska utföra jobbet och b) sammanställa anpassad information till t.ex. ledningen.
Security Analytics/effektiviserad sårbarhetshantering
Ovan ger bakgrunden. Här är mer information om Effektiviserad sårbarhetshantering.