Politisk og teknisk sikkerhedsinfrastruktur

Hvad skal en sikkerhedspolitik bruges til?

En sikkerhedspolitik er et abstrakt udtryk for en række metoder til at holde risiko og konsekvens af sikkerhedsrelaterede hændelser på et niveau som ledelsen finder acceptabelt. Denne politik skal være støttet 100% af ledelsen på alle tidspunkter.

En organisation uden en vedtaget sikkerhedspolitik kan ikke påstå at være sikre, fordi de har ikke defineret hvad de har bedømt som værende nødvendigt for at opretholde et acceptabelt sikkerhedsniveau. Hvis det ikke er klart hvad man beskytter kan man ikke beskytte det.

I miljøer uden en sikkerhedspolitik bliver sikkerhedsbeslutninger ofte truffet fra gang til gang af IT-medarbejdere, som hverken har den tilstrækkelige erfaring eller får nok i løn til at skulle tage sådan et ansvar på sig.

Hvad indeholder en sikkerhedspolitik?

Der er ingen kladde eller perfekt løsning at sigte efter -- indholdet kommer helt an på organisationen. Der findes sikkerhedspolitikker på fire trykte sider og der findes sikkerhedspolitikker der består af 300 dokumenter med 150 sider hver.

Alle medarbejdere skal læse og forstå disse regler som de er beskrevet i håndbogen, og mindst een gang om året skal hver eneste medarbejder skrive under på, at vedkommende har læst og forstået den nyeste udgave.

Dertil kommer så et dokument der omhandler computersystemer og netværk, som typisk er rettet mod IT-medarbejdere.

Der kan yderligere være dokumenter som sætter krav til udvikling af programmer, både internt og eksternt, og det kan være relevant at tage højde for netværksforbindelser til partnerselskaber, kunder, etc.

Hvordan skrives en sikkerhedspolitik?

Det første skridt mod at definere en sikkerhedspolitik er threat modelling, som består af to trin: identifikation af værdier og trusler mod disse værdier.

Del et af threat modelling er at identificere organisationens værdier: hvilke ressourcer kan den ikke virke uden og hvilke ressourcer kan det tænkes andre gerne vil have fat i? Under denne proces hjælper det at tage nogle samtaler med hver af de laveste afdelingsledere, og derved finde ud af hvad vedkommendes afdelingen har af værdier, hvad afdelingen skal bruge for at kunne fungere og hvad den leverer til andre dele af organisationen. Således retter man henvendelse til chefen for alle disse afdelinger og beder ham bekræfte de indsamlede oplysninger og yderligere tage stilling til hans afhængighedsgrad af hver afdeling. Gør dette på hvert niveau politikken skal dække. På den måde bygges en træstruktur op, som giver et overblik over værdier og informationsflowet i hele organisationen.

Del to af threat modelling: Med overblikket over værdierne skal truslerne mod hver eneste ressource nu kortlægges. I mange tilfælde kræver dette trin domæneekspertise, så tag igen en snak med relevante afdelingsledere. Præsenter dem for de samlede oplysninger og forklar hvilken slags information der nu samles.

Det samlede billede over organisationens værdier og trusler afleveres til den øverste ledelse og gennem en række møder skal du hjælpe dem med at bedømme hvordan hver trussel skal besvares. Nogle trusler skal besvares med teknik, andre gennem forsikringer og helt andre trusler skal måske slet ikke besvares, da det ikke kan betale sig.

Med den viden kan du nu skrive en sikkerhedspolitik der formulerer ledelsens beslutninger. Send sikkerhedspolitikken til ledelsen for kommentarer og ret informationerne. Denne aktivitet vil normalt også finde sted over flere omgange. Når der ikke er flere kommentarer, beder du ledelsen godkende politikken. Det er nu op til ledelsen at udarbejde en plan for evt. nyt udstyr der skal købes hjem, nye aftaler der skal skrives og hvordan hver afdeling spiller ind i overholdelsen af den nye sikkerhedspolitik.

Se endvidere Writing Information Security Policies og kapitel 24 i Security Engineering -- begge omtalt i Videre læsning om sikkerhed.

Hvordan skal brugeruddannelse finde sted?

På den første dag, til at begynde med. Alle nye medarbejdere bør gennemgå en samtale med personaleafdelingen som forklarer hvordan man kontakter IT-afdelingen, hvordan man bestiller flere blyanter og printerpapir, hvordan man kontakter sikkerhedsafdelingen osv.

Dette sker næsten ingen steder.

Medarbejdere bør regelmæssigt skrive under på at de har læst og forstået medarbejderhåndbogen. Overholdelse af disse regler bør være en del af jobkravene, og personaleafdelingen skal på foranledning af ledelsen eller sikkerhedsafdelingen træde ind overfor en medarbejder som ikke lever op til kravene.