En stor andel av verdiene i en bedrift er immaterielle. Stadig mer forretningskritisk informasjon ligger lagret i datasystemene. Paradoksalt nok overvåker de færreste virksomheter disse verdiene med tanke på sikkerhet.
Det finnes en rekke områder innen IT-sikkerhet som man kan overvåke. La oss først dra en parallell som mange kan relatere til – fysisk sikring av kontorbygg. De fleste bedrifter sitter i et kontorbygg som har en viss sikring, eksempelvis adgangskontroll på dører og porter, overvåkingskamera, besøkskontroll, vektere som er innom og sjekker bygget på natten, osv.
Paradokset er at de største verdiene ofte er lagret på IT-systemer, enten på PC’er, servere eller i skyen. For en kriminell vil det være lettere å prøve å hacke bedriften enn å fysisk bryte seg inn. Likevel er normen at svært få bedrifter i dag overvåker IT-systemene med hensyn til sikkerhet.
I lys av dagens digitale trusselbilde er det avgjørende for bedrifter å ha overvåking også på sine immaterielle verdier, både med automatisk overvåking og med personell som daglig sjekker status, slik som vakten som sjekker alle alarmer og dører på natterunden sin.
Hva kan man så overvåke?
En bedrift sitter på en rekke forskjellige teknologier som generer informasjon som er nyttig å overvåke. Vi har tidligere skrevet om hvorfor man bør analysere logger, men hva kan man egentlig overvåke og hente logger fra?
1. Brannmurer (dører og porter)
Brannmurer rapporterer angrep fra utsiden, kjenner igjen forskjellige angrep, blokkerer alle kjente trusler og en del ukjente (nye). Denne informasjonen er likevel unyttig hvis den ikke brukes aktivt.
2. Nettverk (ganger og trapper)
Hvilken type trafikk beveger seg på nettverket ditt, fra hvor til hvor?
3. Servere (arkiv, lagringsrom, verktøyskap)
Pålogginger, tjenester, applikasjoner.
4. Andre enheter på nettverket
Andre komponenter på nettverket som kan ha viktig informasjon i sikkerhetssammenheng.
5. Brukere (kontorer)
Oppførsel, tjenester, applikasjoner.
6. Sky og web (eksterne leverandører som har tilgang)
Oppførsel og brukeraktivitet i skyen. Hvilke data deles i skyen?
7. Sårbarheter (ødelagte låser, vinduer, uovervåkede områder)
Ha kontroll over sårbarheter og sett ressurser på å fjerne dem (“Fiks den ødelagte låsen”).
8. Informasjonsflyt
Ha kontroll på hvor personsensitiv informasjon beveger seg (GDPR).
Les også: Har dere god IT-sikkerhet? Slik finner du det ut
Noe av det viktigste man gjør etter å ha samlet inn informasjon fra disse komponentene, er å korrelere og analysere data over lengre tidsrom, slik at man kan identifisere komplekse sammenhenger mellom indikatorer på sikkerhetshendelser på tvers av ulike nettverk og tjenester.
Slik kan vi eksponere ikke bare teknisk risiko, men forretningsrisiko og -konsekvens.