Har du tenkt over hvor stor påvirkning din virksomhets evne til å fange opp og forstå hendelser, har på din IT- og informasjonssikkerhet?

Har du tenkt over hvor stor påvirkning din virksomhets evne til å fange opp og forstå hendelser har på din IT- og informasjonssikkerhet? Du vet, ikke bare de teknologiske, men alle typer hendelser, med folka dine, og fysisk ute på lokasjoner. 

Skrevet av: Lars Offerdal, 
Strategisk Rådgiver og Sikkerhetsevangelist
 



Hva definerer 'en hendelse'?

Min definisjon av en hendelse er noe som skjer i virksomheten som ikke er en del av den daglige driften, og ikke på den positive siden. Dette er en ganske bred definisjon, og jeg liker den fordi helheten i hendelseshåndteringen i mange tilfeller kan være avgjørende for utfallet og den konsekvensen du sitter igjen med.


La oss si du opplevde en «falsk» innbruddsalarm i juli, en personalsak i oktober og et målrettet cyber angrep i desember. Var det en sammenheng?  

Dagens trusselaktører jobber på alle flater, både teknisk, fysisk og gjennom mennesker. Når vi vet at de i tillegg kan være tålmodige, så blir det nødvendig for oss å se etter koblinger som ved første øyekast ikke alltid er så åpenbare, for både å løse situasjoner og forebygge de.  
 

Ser vi hele bildet kan vi kanskje unngå, og som oftest begrense skadene ved et angrep.  

Våre vurderinger og funn rundt en «falsk» innbruddsalarm og en personalsak, kan gi oss en mulighet til å være i forkant av en evt. neste hendelse. I tillegg er det alltid billigere å demme opp, enn å bare rydde opp. En nøkkel til å lykkes med å fange opp og forstå hendelser er å tenke helhet i alle faser av hendelseshåndteringen. Samle data - fange opp unormalheter - utrede - håndtere. Sørge for solide prosesser som går på tvers av organisasjonen og alle sikkerhetsområder. Mennesker, teknologi og fysisk. Hvis din hendelseshåndtering bygger på å samle data kun fra den teknologiske siden, så vil du se kun 1/3 av bildet. Når det gjøres vurderinger rundt unormalheter, vil du bare kunne vurdere disse opp imot andre teknologiske situasjoner. Fortsatt bare 1/3 av bildet. Hva skjer i de to andre delene? Hvordan påvirker det? 
 

En «falsk» innbruddsalarm kan være bare akkurat det, men det kan også tyde på at noen er interessert. 

Det kan ha vært besøk for å titte seg litt rundt, eller plassere ut overvåknings utstyr.  Det kan og handle om at fysisk adgang til en del av ditt IT miljø gir en trusselaktør en stor fordel når han senere vil besøke deg gjennom nettet.  
 

Var dette bare en uheldig ansatt, eller ligger noe bak?  

Vurdering av en sak som involverer folka dine kan være både vanskelig og ubehagelig. Et eksempel. Rutine bytte av PC for en ansatt avslører tilfeldigvis rester etter påloggings informasjon på enheten som ikke skulle vært tilgjengelig for den ansatte. Vurdering i forkant og praktisk håndtering er like viktig i slike situasjoner.  Vi kan tenke oss at den ansatte har jobbet lenge og bra for deg, og det første svaret ville kanskje vært at han ikke kjente til dette i det hele tatt.  En nøkkel til å lykkes med å få ut hele historien i en slik sak, og så kunne gjøre de beste vurderingene, er å stille de rette spørsmålene. For å kunne gjøre det, må du se på hele bildet.  


 

På alle tre områder, mennesker – teknologi – fysisk, så vil en god sikkerhetskultur gi deg en kjempefordel når du vil sette din organisasjon i stand til å fange opp og forstå hendelser.  

Les mer om dette her



 

Publiser en kommentar