* 14 *

Site sikkerhet og fremtiden

Ukens faktum

Når det kommer til stykket koker alle sikkerhets prinsipper (ikke teknologier) ned til hvem man stoler på.

Chapter 9,13,14 Gollmann

Vi har brukt mye tid på å diskutere hva sikkerhet egentlig betyr--noe som vi ikke hadde tid til å gå i dybden på i systemadmin kurset. Nå kan vi oppsummere det vi har lært i form av en sjekkliste for en organisasjon.

Sikkerhetssoneterapi...

Det første vi må gjøre er å avgjøre organisasjonens natur. Mange organisasjoner (som banker f.eks.) trenger flere nivåer av sikkerhet, delt i ulike soner. Informasjon er tilgjengeig på `need to know' basis. Det finnes både fysiske og logiske kontroller.

The enemy within...

Husk at i de fleste hackertilfeller hvor store summer er involvert er det innsiderkunnskap som står bak. Vi må finne en balanse mellom å stole på arbeidskraften og å kontrollere den. Dersom vi ikke er varsomme nok kommer noen til å prøve seg. Hvis vi er for strenge skaper vi bare misnøye, og vender arbeidskraften mot organisasjonen.

Usikre operativsystemer

Disse har ikke minnebeskyttelse eller filbeskyttelse. Det er trivielt å infisere dem med virus. Det eneste vi klan gjøre med slike maskiner er å plassere dem bak en brannmur (eller ikke koble dem i nett i det hele tatt) og krysse fingrene. En kan prøve å dressere brukerne til å unngå de verste feil, men de vil sannsynligvis ikke forstå behovet for sikkerhetsrutiner.
Usikre operativsystemer som brukes i forbindelse med viktig arbeid bør aldri kobles til et offentlig nettverk eller være tilgjengelig for uautoriserte personer. .
Det er vanskelig å stole på et operativsystem som er åpen for angrep både fra konsollet og fra nettet.

Analyse og sjekkliste

Sikkerhetens fremtid

Vi kan ikke spå fremtiden. Behovet for sikkerhet har alltid eksistert. Vi har sett i løpet av kurset at datasikkerhet ikke er spesiell på noe vis. Det er bare anvendelsen av grunnleggende sikkerhetsprinsipper på dataverdenen. Det er bare teknologien for å implementere disse som er spesielt.

Sikkerhetsproblemet kommer aldri til å bli løst fordi det har med trust å gjøre, og det er ikke et teknologisk problem. Jeg sier det igjen: dersom du får en ting ut av dette kurset så bør det være det at alt gjelder tillit i den endelige analysen. Vi kan bruke teknologi for å flytte tillit fra sted til sted, men vi kan aldri unngå den endelige avgjørelsen om tillit. Hvorfor gidder vi da å bry oss sikkerhet? Hvis du ikke vet ennå...

Hva kan vi vente spesifikt?

Sikkerhetsfokusering nå vil om ikke noe annet optimere sikkerhetsproblemer senere. Ny teknologi kommer til å gjøre angrep vanskelig, men lureri er det menneskeintelligens ble utviklet til! Det blir ingen slutt på svindel og lureri sålenge mennesker er smartere enn maskinene.

Du er fremtiden!
Gå og spre budskapet om god og sikker praksis, ved å sette et godt eksempel.

Kursets tanker

Er du din egen verste fiende når det gjelder sikkerhet? Hva er dine dårlige vaner? Hva/hvem har du tillit til?

Back