Noen sikkerhetstanker i julestria - Ragnar Harper Microsoft Speaker Community
Da jeg var så heldig å få lov til å skrive noen linjer om ting som opptar meg for tiden, fikk jeg lyst til å skrive litt om sikkerhet, og kanskje enda mer, sikkerhetsteater. Har du tenkt over hvor mye sikkerhet som kun er teater, og hvor mye som faktisk er ekte og gir faktisk sikkerhet(istedet for sikkerhetsfølelse) ? Dette er ikke noe som kun IT-bransjen er plaget med, men også andre bransjer. I November var jeg på en reise til Sydney sammen med min kollega Valery Pryamikov. Valery hadde med seg en negelsaks, du vet, en slik buet negelsaks(tverr front). Denne ble beslaglagt på flyplassen i Singapore (du kan sikkert lure på hvorfor den ikke ble beslaglagt tidligere..) Hvor farlig denne saksen var iforhold til en gaffel ombord, er for meg vanskelig å se, men som vi sier til våre brukere – policy er policy. De fleste av oss gjør kanskje slike handlinger selv også, slike ulogiske handlinger, og forsvarer oss med at det er i sikkerhetens tjeneste. Et uttrykk for slikt er sikkerhetsteater. Det gir en illusjon av at det faktisk bedrer sikkerheten, selv om det ikke betyr noe som helst fra eller til.
Hvor mange ganger hører du ikke; det sto i en sikkerhetsguide / sikkerhetsbok / sikkerhetsfaq, ergo så må det være nødvendig. Hvor mange har ikke slått på en egenskap i systemet sitt fordi det står et eller annet sted at du bør gjøre det. Men hvor mange av oss trenger egentlig like sikre nettverk som NSA? Misforstå meg riktig, jeg er tilhenger av sikkerhet (faktisk, en stor tilhenger :D) men jeg er tilhenger av riktig sikkerhet. Og med riktig sikkerhet mener jeg at sikkerheten gjenspeiler det behovet du og din organisasjon har for sikkerhet. Enkelt sagt er sikkerhet en balansegang mellom sikker og brukervennlig, og det lett å gå for langt i den ene eller andre retningen. Mer detaljert sagt er sikkerhet en del av en større transaksjon, hvor det handler om penger, fleksibilitet, privacy, omdømme og risikovillighet.
Hva har så Microsoft bidratt med i dette?
Microsoft har iløpet av de siste årene vist en genuin interesse i å sikre sine systemer. Og de har også forstått at de ikke greier det alene – de satser på at konsulenter, administratorer og sluttbrukere skal være istand til å gjøre de riktige valgene. Til syvende og sist er ikke sikkerhet bedre enn det svakeste leddet, og Microsoft tilbyr verktøy som hjelper oss å bli sikre, og holde oss sikre. Se på Microsoft Baseline Security Analyzer, se på Security Configuration Wizard i Windows Server 2003 SP1, se på Exchange Best Practices Analyzer, alle disse verktøyene er som en sikkerhetsguide, men tilpasset ditt miljø.
Ta også en titt på Microsoft Security Assessment Tool, som hjelper deg å kartlegge risikoprofilen til din organisasjon, og hjelper deg med å finne riktig nivå.
I tillegg så frigjør de tiden din, slik at du kan bruke mindre tid på å lete frem alle nødvendige innstillinger, og lære deg hva som passer sammen og ikke.
Er det perfekt? Naturligvis ikke, men som oftest et vesentlig bedre valg enn om de fleste skulle gjort det selv. Erstatter disse verktøyene behovet for menneskelige vurderinger? Selvsagt ikke, men det gjør at vi kan konsentrere oss om færre elementer, og får en del hjelp på veien.
Ha en god og sikker jul!
Ragnar Harper, Harper Security Group - Trondheim
