Risikostyring har altid været en vigtig proces for virksomheder. I den digitale tidsalder får denne løbende indsats endnu større betydning. Organisationer kan i dag ikke effektivt styre risici uden regelmæssigt at evaluere deres it-sikkerhedspolitikker og de tilhørende håndhævelsesprogrammer. De, der ikke er villige eller i stand til at undersøge, hvordan de administrerer deres sikkerhedspolitikker, kan ikke identificere, hvornår noget fungerer. Hvad værre er, de kan ikke genkende, når deres program er fastlåst i en rutine, eller når det ignorerer muligheder, der kan reducere risikoen.
Her er fem almindelige fejl, som organisationer begår, når det gælder deres program til forvaltning af sikkerhedspolitikker.
-
Tænk på netværket og ikke på forretningsapplikationer
Organisationer ser nogle gange ikke skoven gennem træerne. De opretter en politik, der retfærdiggør deres netværkskonfiguration, f.eks. hvilke porte eller VPN-tunneler der skal bruges. Men de tænker ikke over, hvorfor der overhovedet er behov for netværksadgang, og hvilken forretningsapplikation reglen eller politikken understøtter. Det samme gælder også den anden vej rundt. Virksomhederne fjerner normalt ikke netværksadgang fra et nedlagt program og reviderer ikke en af deres politikker, fordi de frygter, at det kan have en negativ indvirkning på et aktivs funktionalitet. Realistisk set burde de være mere bekymrede over, hvordan en angriber kan udnytte åben adgang til at angribe deres systemer.
- Manglende effektiv kommunikation mellem de forskellige teams
Det kræver meget teamwork for en organisation at administrere sine sikkerhedspolitikker. Der er dem, der udarbejder og håndhæver politikkerne, dem, der sørger for, at disse politikker sikrer optimal systemfunktionalitet, og dem, der knytter politikkerne til forretningsapplikationer. Disse grupper af personer interagerer ikke altid med hinanden. Men deres arbejde er grundlæggende et samarbejde og er indbyrdes afhængige af hinanden. Uden en forståelse af, hvilke forretningsapplikationer der har brug for støtte, kan personalet ikke udarbejde effektive sikkerhedspolitikker. Grupperne skal også være bekendt med disse politikker for at forstå, hvordan de kan eller ikke kan påvirke organisationens netværk.
- Tillad udokumenterede ændringer i farten
En vigtig del af forvaltningen af sikkerhedspolitikker er at dokumentere alle politikker. Hvis organisationer ikke tilskynder til dokumentation, risikerer de, at personalet opretter politikker, som der ikke er nogen forklaring på, når en revisor kommer på besøg. Der er også risiko for, at medarbejderne opretter flere politikker, der dækker den samme sikkerhedsrisiko, hvilket fører til unødvendigt rod. Dokumentation er vigtig, fordi den registrerer en politik og standardiserer dens anvendelse på tværs af alle holdkammerater. Derfor bør organisationer ikke blot opfordre til dokumentation, men også parre den med en formel proces til oprettelse af nye politikker. På den måde undgår man, at medarbejderne impulsivt opretter sikkerhedspolitikker, som måske fortjener overvejelse og gennemgang.
- Der skal ikke tages højde for menneskelige fejl
Vi er alle mennesker. Det betyder, at vi nogle gange begår fejl. Nimrod Reichenberg, chef for global strategi hos AlgoSec, forklarer i en artikel offentliggjort på Dark Reading et sådant scenario, som han er stødt på i sit arbejde:
"En administrator i en virksomhed, som vi arbejdede med, kom ved et uheld til at skrive port 433 i stedet for port 443, da han ændrede en firewallregel. Lad os bare sige, at det ikke var en god dag for ham."
Inputfejl er mere end blot spild af tid. De skaber forvirring, som potentielt kan svække en virksomheds sikkerhed. Organisationer skal derfor tage højde for menneskelige fejl i deres program til forvaltning af sikkerhedspolitikker. En af de måder, de kan gøre dette på, er ved at bruge et tillægsværktøj eller et script, der er i stand til at opfange slåfejl og andre fejl.
- Manglende hensyntagen til indbygget risiko
Dårligt udformede sikkerhedspolitikker er ikke i en virksomheds interesse. Nogle gange øger de risikoen, overtræder overensstemmelseskravene eller er i konflikt med andre dele af en virksomheds it-strategi. I betragtning af de potentielle risici, som sikkerhedspolitikker skaber, bør virksomheder tænke mere over, hvordan de udformer deres programmer til forvaltning af sikkerhedspolitikker. De bør især finde ud af, hvilke risici der kan opstå, hvis de opretter en ny sikkerhedspolitik.
For at mindske den indbyggede risiko yderligere bør organisationer overveje automatisering. IT Business Edge er en varm fortaler for denne beslutning:
"Automatisering vil strømline dine processer, sætte dig i stand til hurtigt at ændre design, identificere regler, der kan genbruges, udbrede politikker uden problemer, foretage risikoanalyser og revision hurtigt, oprette dokumentation med det samme og validere og afstemme, alt sammen i realtid. Der vil altid være nogle opgaver, der kræver menneskelig indgriben, men du vil få et mere sikkert system, hvis du holder medarbejderne i dit team fokuseret på de opgaver, der kræver analyse og undersøgelse, frem for banale opgaver, der kan automatiseres."
Konklusion
Styring af sikkerhedspolitikker er en vigtig del af risikostyring. Men det er ikke naturligt for alle virksomheder. Derfor har Metacompliance udviklet en række produkter til politikstyring, der hjælper virksomheder med at udforme sikkerhedspolitikker og sikre personalets bevidsthed.
Klik her for at få mere at vide om, hvordan Metacompliance's løsninger kan hjælpe din virksomhed.
