Blogg (page 16)

Case-studie: Hendelseshåndtering i store virksomheter

De fem fasene for hendelseshåndtering som beskrevet i ISO/IEC 27035
De fem fasene for hendelseshåndtering som beskrevet i ISO/IEC 27035

Alle virksomheter har en del sikkerhetsmekanismer på plass i sine IT-systemer. Like fullt er det mulig å bli rammet av angrep eller andre typer uønskede hendelser. En organisasjon må derfor være forberedt på å håndtere slike. Det finnes standarder og veiledninger til hendelseshåndtering, men det er ikke gitt at disse fungerer i praksis. Vi har i vår veiledet to studenter som har gjennomført et omfattende case-studie av tre store norske virksomheter. De har undersøkt hvordan disse virksomhetene gjør hendelseshåndtering i praksis.

Continue reading “Case-studie: Hendelseshåndtering i store virksomheter”

Bør vi satse på mennesker eller teknologi for å bli bedre til å oppdage angrep?

Flickr user Electroburger. Creative Commons Attribution-NoDerivs. I dag er alle virksomheter mer eller mindre på nett, og er dermed utsatt for et bredt trusselbilde og mange generelle angrep mot sine systemer. Vi er vant til en mengde feilsituasjoner på IT-systemene våre, og at ansatte bruker systemene forskjellig. I dette bildet kan det være vanskelig å skille eventuelle «farlige» angrep fra de mer eller mindre dagligdagse angrep og feilsituasjoner.

Continue reading “Bør vi satse på mennesker eller teknologi for å bli bedre til å oppdage angrep?”

Säkerhet som ett försäljningsargument i molnet

cloudsCloud computing är ett av de hetaste begreppen inom IT branschen och säkerhet är en av de mest omdiskuterade och debatterade osäkerhetsmomenten när ett företag överväger att använda sig av så kallade molntjänster (norsk: skytjenester). Men det är viktigt att vara medveten om att den som använder en molntjänst förlorar kontrollen över var och hur data lagras och processeras (vilket i och för sig kan vara både på gott och ont).

Continue reading “Säkerhet som ett försäljningsargument i molnet”

Single sign-on til Internett! Pliiis!

Påloggingsvindu
Kilde: www.idg.no

«…og noen har til og med samme passord til nettbanken som på facebook!» …sier sikkerhetsekspertene og himler med øynene. Jeg også. Vi gjentar til det kjedsommelige at man må velge gode passord, ha forskjellige passord til forskjellige nettsteder og ikke skrive det ned. Lag huskeregler. Men teori og praksis er virkelig ikke det samme.

Continue reading “Single sign-on til Internett! Pliiis!”

Når sikkerhet blir til «big data»

En undersøkelse fra det amerikanske analyseselskapet ESG (se grafikk) viser at nesten annenhver store virksomhet samler informasjon tilsvarende >= 6 TB per måned for å støtte analyse og arbeid med informasjonssikkerhet. Mengden innsamlede data til dette formålet har økt betydelig for annenhver virksomhet de siste to år. Men hvilken sikkerhet finnes egentlig i disse enorme datamengdene?

ESG Infographic Big Data_Security Analytics 1
Kilde: http://www.esg-global.com/infographics/the-emerging-intersection-between-big-data-and-security-analytics-infographic/
Continue reading “Når sikkerhet blir til «big data»”

Unngå turbulens når du nærmer deg nettskyen

turbSkytjenester kan oppleves som en enveis norsk motorvei, med varierende sikkerhet og liten mulighet til å stoppe opp og stille egne krav. Standardkontrakter er normalen, men det er vanskelig å vite hva man skal se etter, hva som burde stått der og hva man skal spørre om når man ikke finner noen gode garantier. Sammen med Telenor har vi utarbeidet et rammeverk som gjør det lettere å vite hva slags sikkerhet man skal se etter i kontrakter og annen dokumentasjon fra en skyleverandør. Vi har benyttet dette rammeverket i forbindelse med «security audits», for å identifisere sårbarheter og trusler man som organisasjon bør være klar over før man stuper inn i skyen.

Continue reading “Unngå turbulens når du nærmer deg nettskyen”

Lakmustest for sikkerhet?

I en kronikk i Computerworld nylig tok Ahlert Hysing for seg testing – eller hvor mangelfull testing ofte har vært i forskjellige sammenhenger hvor man skal rulle ut nye systemer. Helt på slutten av kronikken drar han fram at «App-er på smarttelefoner er en ny utfordring, ikke bare må de være robuste. De må sikres. Penetrasjonstest blir nødvendig.«

Continue reading “Lakmustest for sikkerhet?”

Håndtering av IKT-sikkerhetsbrudd – inntrykk fra en konferanse

FC Nürnberg
FC Nürnberg

12.-14. mars deltok Inger Anne og Maria på en konferanse i Nürnberg, Tyskland: 7th International conference on IT security incident management and IT forensics. Blant høydepunktene var foredrag som tok for seg kostnadene ved cyberkriminalitet, samarbeid mellom responsteam, og praktiske innblikk i hvordan drive etterforskning digitalt. Vi bidrog med presentasjon av indikatorer for måling av informasjonssikkerhet, og resultater fra en intervjustudie i kraftbransjen.

Continue reading “Håndtering av IKT-sikkerhetsbrudd – inntrykk fra en konferanse”

Spam og ham – det vanskelige skillet

Du har kanskje fått tilbud om å kjøpe Viagra, eller fått beskjed om at nettbanken er sperret og du må klikke på en link for å bekrefte et eller annet? I så tilfelle har du blitt utsatt for Spam, eller søppelpost som det heter på nynorsk. Men hva er det egentlig, og hvorfor i alle dager vil noen sende deg slike e-poster? Og viktigst av alt, hvordan kan du se forskjellen på spam og ham, eller søppelepost og ekte e-post?

Continue reading “Spam og ham – det vanskelige skillet”

Sikkerhet i BPMN-diagrammer

Overordnet BPMN-prosess for sammensatt web-tjeneste Receive order. Se neste figur for hele delprosessen Run composite service.

Mange virksomheter benytter prosessmodeller for å dokumentere, og gjerne optimalisere, interne prosesser. I tillegg til grafiske modeller, kan prosessmodellspråket BPMN (Business Process Model and Language) også automatisk gjøre modellene til kjørbare programmer/tjenester. I slike tilfeller angir man i diagrammet også hvilke web-tjenester som har ansvar for de ulike automatiserte oppgavene i prosessen. Gjennom forskning på datatjenester med innebygd selvforsvar har vi tatt BPMN 2.0 i bruk for å la utvikleren definere hvordan trusler og angrep mot de ulike web-tjenestene man benytter i sammensatte tjenester skal kunne håndteres automatisk og sikkert mens tjenesten fortsatt er i bruk.

Continue reading “Sikkerhet i BPMN-diagrammer”

Får vi noen gang digitale kontrakter for nett-tjenester?

Dersom du trenger garantier for en nett-tjeneste, for eksempel relatert til oppetid, pris, sikkerhet og personvern, er du avhengig av at dette blir spesifisert i en eller annen form for avtale eller kontrakt.  Dette blir som regel betegnet som Service Level Agreements (SLAer) på nynorsk, og er spesielt i vinden for nettskytjenester der vi overlater ansvaret for verdifulle data til noen vi egentlig ikke har så mye forhold til (se tidligere innlegg om Ansvarlighet i skyen).

Continue reading “Får vi noen gang digitale kontrakter for nett-tjenester?”

ISO27001 vs. ISO27002: Er det noen forskjell?

5. februar holdt Jostein Jensen et foredrag på det årlige IKT-rettskurset, hvilket er et kurs rettet mot advokater og jurister som arbeider med IKT-kontrakter. De siste årene har referanser til ISO-standardene 27001 og 27002 stadig oftere dukket opp i kontraktsforhandlingssammenheng. Samtidig har det hersket en viss usikkerhet om hva som egentlig ligger i de to standardene, og om det er hipp som happ om man refererer til den ene eller andre standarden i kontraktene som skrives. En kort redegjørelse for historie, forskjeller og likheter følger:

Continue reading “ISO27001 vs. ISO27002: Er det noen forskjell?”

Resilience – fra safety til security

En av de nyere retningene innenfor safety-feltet er såkalt resilience engineering. Tradisjonell safety har, naturlig nok, vært mest opptatt av å redusere uønskede hendelser og ulykker. Resilience, derimot, innebærer et mye større fokus på alt som faktisk går bra. Filosofien er at man kan lære mye av nesten-ulykker og små-uhell. De viser minst like godt hvordan en organisasjon er i stand til å håndtere forstyrrelser og uventede endringer. Det er dessuten mange flere slike enn det er katastrofale ulykker. Resilience-tankegangen er svært spennende ut ifra et IT-sikkerhetsperspektiv også, det er helt klart prinsipper og praksis som kan overføres til IT-sikkerhetsverdenen.

Continue reading “Resilience – fra safety til security”

Etisk hacking – hvor langt kan man gå?

Det er mange som hevder at angrep er det beste forsvar, så også når det gjelder informasjonssikkerhet. Penetrasjonstesting har etterhvert blitt en anerkjent og mye brukt praksis for å teste sikkerhetsnivået i datasystemer. Bedrifter leier inn ekspertise fra sikkerhetsfirmaer som får tillatelse til å hamre løs på bedriftsnettverkene med mer og mindre sofistikerte verktøy i håp om å finne sikkerhetshull og systemsvakheter – forhåpentligvis før de svarthattede, ondsinnede trenger seg inn. I denne prosessen lurer jeg imidlertid på hvor langt man kan gå. Når brytes grensen for hva som er etisk forsvarlig sikkerhetstesting?

Continue reading “Etisk hacking – hvor langt kan man gå?”