2020-06-02

Medvetenhet - nyckeln till ökad säkerhet

Hur ser du på ditt företags säkerhetsmedvetenhet? Är du säker på att ni skyddar det som är mest verksamhetskritiskt? Ta del av mina tips om hur du kan skapa en medveten säkerhetskultur med hjälp av säkerhetsövervakning.

Det är många organisationer som idag ser över möjligheten att bygga en egen förmåga inom området säkerhetsövervakning. Denna förmåga är ofta förknippad med inköp av en teknisk lösning och innebär därmed en större investering men som tyvärr tenderar att förvaltas felaktigt då man missat motivera till varför förmågan faktiskt behövs.

Innan en teknisk lösning kan appliceras i din miljö bör ni säkerställa att ni har ett tydligt mål och vision med ert säkerhetsarbete inom organisationen. Därefter bör ett syfte fastställas för att minimera risken att felaktig information behandlas och att man i kravställningen definierar vilken förmåga som förväntas etableras av IT.

Här kan säkerhetsövervakning vara nyckeln till att medvetandegöra brister i er miljö och tillhandahålla viktig information för att skapa er strategiska resa för att upprätthålla den säkerhetsskydd organisationen kräver.

”Nästan var tionde incident är ett it-angrepp”

Datainspektionen publicerade nyligen en rapport som analyserar inrapporterade personuppgiftsincidenter som orsakats av olika former av IT-angrepp. Sammantaget för samtliga incidenter var nästan var tionde incident som rapporterats till Datainspektionen under 2019 orsakad av ett IT-angrepp. Läs mer här

Behovet av att rapportera brister och sårbarheter blir tyvärr endast påtagligt efter att en organisation har blivit drabbad. Detta är något om många av våra ledare är medvetna om och det är tydligt att det än idag finns en stor osäkerhet kring effekten av de åtgärder införs för att förhindra att dom allvarligaste incidenterna uppstår när man inte har möjlighet att följa upp och säkerställa att rätt förmåga har upprättats.

”Som att leta efter nål i en höstack…”

Definiera förmågan och skydda det mest skyddsvärd

Viktigast av allt är att tidigt definiera vilken förmåga man önskar etablera och motivera sitt varför. Denna initiala fas är det många som missar då man oftast redan har införskaffat en teknisk lösning och börjat bygga dashboards, samlat loggar utan att riktigt veta vad det är man letar efter och vad det är man skall analysera. Utöver risken att det blir en ohållbar arbetsmiljö att arbeta i som analytiker så blir det dessutom otroligt kostsamt pga lagring/licenser och teknikern tvingas därmed leta efter en nål i en höstack. I slutändan resulterar det i missvisande rapporter till ledningen och att mängden data som skall analyseras för att upptäcka potentiella incidenter gör de övermäktig och väldigt svår att följa upp.

Det är inte tillräckligt att arbeta med it-säkerhet för att uppnå̊ tillfredsställande informationssäkerhet. En medvetenhet om informationssäkerhet och genomtänkta arbetssätt för dem som behandlar personuppgifter är också viktigt. Här behöver man tänka på vilken information man skickar till en SIEM-lösning (Security Information Event Management) och motivera till varför man gör behandlingen, allt för att skydda individen men även att rättfärdiga behandlingen i sig så den efterlever GDPR. Det gäller att förstå att värdet av exempelvis säker inloggning är skydd för information och inte bara ett sätt att komma in i systemet och komma åt informationen. Allt bör vara förankrat såväl internt såsom med facklig organisation där fokus ligger på att involvera verksamheten enligt tydliga processer vid etablering av denna förmåga.

Identifiering av kritisk information

Slutligen är det väldigt viktigt att man vid ett införande av en förmåga inom säkerhetsövervakning vet vad det är för information man behandlar och hur den behandlas. Ett klassificeringsarbete av information och system bör utföras för att säkerställa att ni skyddar det mest skyddsvärda och som därefter även bör kompletteras med en risk och sårbarhetsanalys. Dessa två aktiviteter är oerhört väsentligt som underlag inför en etablering av en säkerhetsövervakningsfunktion oavsett och den är intern eller extern. Den ger analytikern direktiv för hur den skall agera/prioritera/hantera/eskalera specifika händelser och framför allt begränsa analysförmågan till ett förutbestämt beteende som är kopplat till funktionens förutsatta syfte.

Genom att identifiera kritisk information fastställer man organisationens avsikter, förmågor och aktiviteter som funktionen i fråga behöver för att agera effektivt.

Viktigt med en hot och riskanalys

Den mest avgörande och första processen man måste inleda för att bygga en förmåga inom säkerhetsövervakning vare sig det är en fulländad SOC eller SIEM lösning för logghantering är hotmodellering. Hotmodellering innebär att besvara följande frågor:

Vilka hot är min organisation utsatt för?

Hur ser ett hot ut?

Hur blockerar/upptäcker vi hotet?

När dessa frågor har besvarats för de hot som funktionen i fråga är avsett att mildra, byggs spelböcker för att dokumentera hur man ska svara, ställa in allvarlighetsgrad och hur man eskalerar dessa specifika hottyper.

Tillsammans med dessa kontroller måste en SOC (Säkerhetsövervakning) vara självmedveten och bör ständigt kalibrera processer eller tekniker för att hantera cybersäkerhet och hjälpa alla intressenter att vara redo.

Här kommer mina viktigaste råd vid införande av en säkerhetsövervakning i första stadiet

Undvik den vanligaste fallgropen - fokusera inte på tekniken, utan definiera förmågan och sätt ett tydligt syfte/mål/vision

Centralisera ej all logg (kostsamt och ej riskfritt)

Identifiera interna och externa krav

Utför en hot och riskanalys

Inför klassning och gallringsrutiner av logg

Ta fram krav för en teknisk lösning

Involvera verksamheten (inkludera viktiga intressenter som kan kravställa gentemot förmågan)

Skapa processer och rutiner som skall följas vid framtagande av övervakningsförmågor

Sätt tydliga prioriteringar/avgränsningar kring vad funktionen förväntas leverera

Inför tydliga restriktioner gällande åtkomst till loggar

Tänk på styrning och organisation

Avslutningsvis, glöm inte förvaltningen

 💡 Är du en av de ledare som drömmer om att få insyn i vad som sker i er IT-miljö och få möjlighet att av del av proaktiva förslag för att minimera risken för att incidenter uppstår? Kontakta oss så ser vi till att inleda eran resa och hjälpa er identifiera åtgärder för en säkrare organisation och tryggare vardag.

Av: Nathaly Bodell, säkerhetsrådgivare