1 / 21

IT-säkerhetsprojekt

IT-säkerhetsprojekt. Vinnande strategier. Vem är Anders Ingeborn?. Civilingenjör från KTH i Stockholm Teknisk säkerhetskonsult på iXsecurity ”Penetrationstester” Säkerhetstest av produkter Frilansskribent Nätverk&Kommunikation. Gemensamt för alla projekt. Syfte Mål, delmål Krav

louisa
Download Presentation

IT-säkerhetsprojekt

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. IT-säkerhetsprojekt Vinnande strategier

  2. Vem är Anders Ingeborn? • Civilingenjör från KTH i Stockholm • Teknisk säkerhetskonsult på iXsecurity • ”Penetrationstester” • Säkerhetstest av produkter • Frilansskribent Nätverk&Kommunikation

  3. Gemensamt för alla projekt • Syfte • Mål, delmål • Krav • Genomförande • Kontroll

  4. Syfte • Kontinuitet och tillförlitlighet i affärskritiska system • Verksamhetens överlevnad

  5. Mål • Balanserad acceptabel risknivå • Skydd / kostnad • Sträva mot en jämn säkerhetsnivå genom att eliminera den ”svagaste länken”

  6. Vad är din svagaste länk? • Säkerhetskopiorna? • Bortglömd gammal server? • Distansarbetsplats?

  7. Syfte - Mål - ?

  8. Orimliga krav • Syfte - Mål - Orimliga krav! • Alltför ofta • ”Systemet skall vara säkert” • ”Ingen får kunna…” • Denna typ av krav sätter orimlig press på systemadministratörerna och leder bara dålig nattsömn!

  9. Rimliga krav! • ”Vi skall installera alla uppdateringar från Microsoft, Compaq och Oracle senast inom 1 dag” • ”Vi skall följa upp alla larm som kommer från CERT inom 2 dagar”

  10. Fler rimliga krav • ”Vid varje byte av lösenord skall vi kontrollera det nya lösenordet mot vårt företags policy” • ”Vi skall inte lagra lagra kunddatabaser på webbservern” • ”Vi skall låta en oberoende tredje part granska vår IT-säkerhet varannan månad”

  11. Syfte - Mål - Krav - ?

  12. Genomförande • Analysera nuläget • Konsekvensanalys • Sårbarhetsanalys • Jämför mot kraven • Formulera behov • System • Rutiner & personal

  13. Rekommenderat behov 1 • Redundans • Drift, produktionssystem • dubbla brandväggar med hjärtslagsfunktion • Lagring • säkerhetskopiering • Personal • ”jour”

  14. Rekommenderat behov 2 • Skydd på djupet - ”lager på lager” • Kontakt med nätet • Giltig address • Inloggning på server • Behörighetskontoll i filsystemet • Kryptering

  15. Vanliga misstag • Brandväggar • Ges för stort förtroende • Personal på insidan • Insiderjobb farligt vanliga • Konsulter, nattvakter • Arbetsstationer glöms bort • Gäller även banker och sjukhus

  16. Syfte - Mål - Krav - Genomförande - ?

  17. Kontroll • Har vi gjort rätt? • Helst efter varje förändring i system • Önskvärt, men orimligt krav • Regelbundet, rimligt • Anlita en oberoende tredje part • Många oseriösa leverantörer erbjuder granskning av sig själva...

  18. Partnerskap, outsourcing • iXsecurity • Identifiera risker och säkerhetsbrister • Guardian iT • Säkerhetskopiering, reservarbetsplatser • Counterpane Internet Security • Systemövervakning, IDS

  19. Boktips! • ”Secrets & Lies - digital security in a networked world” av Bruce Schneier • ”Riktlinjer för god informations-säkerhet” av Thomas Keisu m fl

  20. Vinnande strategi • Tänk på syftet • Jämn säkerhetsnivå • Ställ rimliga krav • Lager på lager • Regelbundna kontroller

  21. Frågor? www.ixsecurity.com ingeborn@ixsecurity.com

More Related