– Det finnes ingen billig eller enkel løsning for å skape sikkerhet i et selskap, sier evangelist og sikkerhetsekspert, John Nunes til digi.no.
Amerikaneren Nunes har avsluttet et ukes kurs i "Certified Ethical Hacker" i regi av Harper Training og Masterminds mot femten toneangivende selskaper i Norge. Interessen for temaet har vært så stor at Nunes kommer tilbake i juni for å holde et tilsvarende ukeskurs i Trondheim og i Oslo.
Mer enn halvparten av sikkerhetstruslene kommer fra brukerne selv, mener Nunes, som er opptatt av at folk må bli mer bevisste på det han kaller "social engineering", det vil si at svindlere opptrer falskt for å lure til seg nøkkelopplysninger. Det er atferden hos de ansatte som må endres. Hacking er bare en liten bit av hele informasjonsflyten.
– Vi snakker så mye om hacking fordi det kanskje er mer sexy og mystisk. Men hva med utskrifter av e-postdokumenter og faks som ligger fritt tilgjengelig på skriveren eller passordet som gjentas høyt over telefonen. Dette er langt større trusler, påpeker Nunes.
Han mener sikkerheten må inngå i en strategisk plan på teknisk- og ledernivå. Retningslinjer for sikkerhet må lages til alle ansatte, inkludert sentralbord, postrom og bud. Finn ut hvem som har tilgang til telefon, telebeskjeder og faksmaskin. Hvor gode er rutinene hos nettverksadministrator og hjelpdesk? Er de lojale? Gjør undersøkelser og lag en plan for risikostyring, råder Nunes.
En kombinasjon av tankeløshet og manglende forståelse for sikkerhetsrutiner kan få katastrofale følger. IT-sjefen bør sørge for fullstendig oversikt over alle tenkelige servere og nettverksforbindelser som kan risikere en trussel, og en plan som svarer på spørsmål av typen: hvis denne serveren går ned, hva vil skje da?
Nunes anbefaler en skolering av ansatte minst en gang i året, men aller helst hver tredje måned eller oftere.
- Hacking is just a tiny piece. It’s the mindset you have to change, sier evangelisten John Nunes som i neste uke reiser til Kuala Lumpur for kursing i sikkerhet.
Her er Nunes' anbefalte skjekklister:
For bedrifter
- Etablere sikkerhetsretningslinjer som er godt forankret i organisasjonen
- Kontinuerlig kompetanseheving av de ansatte
- Benytt lavest mulig tilgang (rettighet) for å kunne utføre arbeidet
- Sørg for kontinuerlig sikkerhetsoppdatering, for eksempel gjennom oppdateringstjenestene til Microsoft og andre
- Antivirusprogramvare som oppdateres automatisk
- Etablere gode rutiner for passord
- Gode og testede rutiner for sikkerhetskopiering og gjenoppretting
- Dokumentasjon
- Adgangskontroll
- Konfigurering av brannmur og dokumenter
- Makuleringsmaskin ved kopimaskin, faks og skriver
- Vær oppmerksom på at skrivere, fakser og kopimaskiner har internminne som kan tappes av kyndig personell
- Adgangskontroll på serverrom
For ansatte
- Vær varsom
- Bruk Windows Update og liknende tjenester
- Gode passord
- Makulering av dokumenter som skal kastes
- Aldri skriv ned passord
- Rydd skrivebordet og logg av maskinen når du går for dagen
- Skjermbeskytter med passord