I en värld där företag och organisationer alltmer baserar och förlitar sin verksamhet på data och verktyg i IT-miljöer, fortsätter även hotet från inkräktare också att öka. Den ökända termen hacker, från engelskan, är den term som de allra flesta är bekanta med. Man bör dock inte låta sig luras och anta att det är en term som är särskilt specifik. Tvärtom vill jag påstå att det är ett paraplybegrepp där det råder stor variation på hur en attack faktiskt utförs, vilken strategi som tillämpas, vem den slutgiltiga måltavlan är etc. I detta blogginlägg ska vi däremot inte lägga fokus på attacken i sig, utan istället gå igenom tre fundamentala principer för säkerhetsdesign som är relativt lätta att implementera och därmed drastiskt ökar säkerheten i vilken organisation som helst.
1

Den första principen som alla organisationer bör implementera är least privilege. Det innebär att varje process och användare bör endast ha de rättigheter som krävs för att utföra de uppgifter som är relevanta och krävs i den aktuella rollen. Användare som exempelvis inte behöver öppna specifika filer med känslig information för att klara av sitt dagliga arbete, bör således inte ha den möjligheten heller. I många länder arbetar militären med need-to-know basis, vilket kan förklaras som att individer som inte behöver veta något inte ska göra det heller. Som standard bör inte någon användare eller process ha några rättigheter som inte explicit har angetts. Detta kan dessutom tas ett steg längre genom att individer med administrationsrättigheter enbart har detta när de utför vissa arbetsuppgifter, vilket i sin tur adderar en tidsaspekt som gör det svårare för potentiella inkräktare. Skulle en anställds konto äventyras och tas över av en inkräktare, minskar sannolikheten för att denna inkräktare faktiskt har möjlighet att skada verksamheten.

Det andra principen är något som kallas layering. Sanningen som organisationer behöver acceptera är att en attack är i slutändan ett oundvikligt faktum. Det kommer hända. Det bästa vi kan göra för att mildra eventuella skador är att göra det svårare för inkräktare och förhoppningsvis ge organisationen mer tid för att implementera en respons och avvärja attacken. Layering handlar om att konfigurera överlappande säkerhetsåtgärder som tvingar en inkräktare att ta sig genom flertalet säkerhetslager innan de kan ställa till med signifikanta skador. Exempel på detta kan vara noggrant konfigurerade brandväggar, antivirus på samtliga datorer, vitlistade hemsidor och ett intrusion detection system (IDS).

Sist, men inte minst, har vi isolation. Det är en princip som kan appliceras på olika nivåer, överlag innebär det att vi gör vårt yttersta för att isolera olika delar av vår IT-miljö från resterande delar. Ett konkret exempel på detta är att vi bör skapa flertalet virtuella nätverk inom organisationen, så kallade VLANs. Denna fördelning kan göras på diverse sätt men det bör vara en logisk separering, exempelvis baserat på avdelningar. Det är en metod som förenklarar nätverksadministratörers arbete när de konfigurerar policies då de kan göra detta på en tydlig gruppnivå. Därtill förbättrar det den övergripande säkerheten då en inkräktare som tagit sig in på en del av nätverket inte kommer åt övriga VLANs.

I det stora hela behöver systemen nämnda ovan inte vara alltför komplicerade, förutsatt att planering av säkerheten har genomförts i ett tidigt skede. Planering av säkerhetsaspekten redan innan systemen sätts upp och konfigureras är något som experter kallar security by design och har bevisats skapa en enormt mycket säkrare IT-miljö. Tänk gärna över detta och ställ er själva frågan: Vilka principer arbetar vi med för att kontinuerligt förbättra vår egen säkerhet?

Ahmad -verksamhets och Qlikkonsult

Ahmad Gazzawi
BI-konsult på Vimur AB

Lars Wihlborg, Qlik-konsult på Vimur, går igenom programmet Data Transfer som tillåter dig att skicka on-prem data till din Qlik Sense Saas-lösning.
Det här får du lära dig:

Har du frågor eller önskar att vi går igenom något så maila info@vimur.se

Data literacy är ett begrepp man inte kan undgå idag när man scrollar runt på sidor om business intelligence och dataanalys. Men vad betyder det och varför tycker vi på Vimur att det är viktigt?

Lättast för att förstå begreppet Data Literacy är att se det som ett eget språk, att prata Data. Det kan vara svårt för oss konsulter som redan pratar data att komma ihåg att andra inte pratar lika flytande. Därför är det viktigt för oss att dela med oss av den förmågan när vi träffar kunder, nya som gamla. Det minskar missförstånd och ökar kundens nytta av det vi gör.

Vad är då data? I grund och botten är data en digital beskrivning av objekt som existerar i vår värld. Data kan representeras i olika former som t.ex. text, bild, video och ljud. När vi sätter datan i ett sammanhang blir den till information. Om vi har tur och vi är skickliga så kan vi dessutom omvandla informationen till kunskap.

Tillgång till bra data är centralt i ett företag. Vår möjlighet att använda data styr processer, medarbetarnas positioner och uppgifter och formar den framtida tekniken. I all data kan vi läsa av trender, avvikelser, sammanträffande och varningar på att något går fel eller indikationer på att något går precis i önskad riktning. Dessutom kan vi använda data i argumentation och ta tryggare beslut – om vi förstår vad den verkligen säger.

När konsulter kommer in och bygger på tekniska lösningar för att göra data tillgänglig är det avgörande att användarna kan tillgodogöra sig informationen, dvs. datan måste sättas i ett sammanhang. Vi på Vimur jobbar lite annorlunda än våra konkurrenter eftersom vi tar oss an projekten med erfarenhet och förståelse från många olika verksamheter och bygger lösningar därefter. Trots det får vi inte glömma bort att lära ut språket, förklara grammatiken och dela ut glosorna.

Känns det komplicerat och stort? Det är det inte, det finns mycket ni kan göra själva som hjälper er att komma över tröskeln. Qlik har mängder av utbildningsmaterial på deras hemsida helt gratis:

https://learning.qlik.com/mod/page/view.php?id=24704

Gör en kurs i månaden! Utmana en kollega och se vem som får bäst resultat i sluttestet! Huvudsaken är att förstå att begreppet finns och vad det innebär. Gör ni det, kan ni väl inte bli annat än nyfikna och gå vidare. Företaget är ert land och vi vill bara att ni lär er språket.