skip to: page content | links on this page | site navigation | footer (site information)
Webbplatskarta för Secure-IT.se Följ Secure-IT.se på facebookPrenumerera på mitt RSS flöde för tillgång till de senaste IT säkerhetsnyheterna! Följ Secure-IT.se på twitter Om Secure-IT.se Våra tjänster Secure-IT.se blogg RSS - Nyhetsflöde Kontakt Sökfunktion Webbkarta Säkerhetsdokument Säkerhetsnyheter Gratis säkerhetsanalys Här kan du skanna din dator efter virus (ESET NOD32) Gratis lösenordstest Gratis antivirustest Gratis säkerhetstester Gratis portskanning Här kan du genomföra en gratis säkerhetsanalys! Index Secure-IT.se Gratis IT policy
 
Säkerhetsanalys
Här kan du genomföra en gratis säkerhetsanalys >>
Hotbild
Att analysera och inventera är viktigare än du tror >>
Patchhantering
Vi beskriver varför du måste hålla ordning på uppdateringarna >>
MBSA
Vi beskriver hur detta utmärkta verktyg från Microsoft fungerar >>
Policyguide
Följ vår policyguide för att enkelt skapa ditt företags IT policy >>
Hur skapar man en IT policy?
Vi beskriver med text och bild hur du skapar ett av organisationens viktigaste dokument >>
11+1, bra tips
Vi ger dig 12 bra tips för att underlätta uppbyggnad och implementering av en IT policy >>
Behörighet
Skall alla verkligen ha tillgång till all information inom en organisation? Vi ger vår syn i frågan >>
Gratis IT policy #1
Här ger vi dig en gratis IT policy (nummer 1) >>
Gratis IT policy #2
Här ger vi dig en gratis IT policy (nummer 2) >>
Gratis IT policy #3
Här ger vi dig en gratis IT policy (nummer 3) >>
Gratis IT policy
Här ger vi dig en gratis IT policy (nummer 4) >>
Förslag till säkerhetsföreskrifter
Här ger vi dig ett förslag gällande säkerhets-
föreskrifter för det mindre företaget >>
Hur ser ett sekretessavtal ut?
Här ger vi dig ett enklare upplagt sekretessavtal. Bygg ut och bygg till så att det passar din organisation >>
Hur bygger man upp en upplysningsplan?
Den frågan besvarar vi här. Läs vårt dokument och sjösätt sedan detta viktiga instrument i din organisation >>
Hur bygger man upp en incidentrapport?
Vi beskriver nyttan med att organisationen implementerar rutiner för incidentrapportering samt hur du bygger upp en incidentrapport >>
Hur skapar man ett starkt lösenord?
Ett lösenord måste skapas enligt konstens alla regler för att inte äventyra organisationens informationssystem. Vi beskriver hur du skapar ett starkt lösenord >>
Hur bygger man upp en lösenordspolicy?
Vi beskriver nyttan med en lösenordspolicy samt hur du bygger upp detta dokument >>
Testa hur starkt ditt lösenord är #1
Här kan du testa ditt lösenord (test nummer 1) >>
Testa hur starkt ditt lösenord är #2
Här kan du testa ditt lösenord (test nummer 2) >>
Interaktiva säkerhets kunskapstester
Vi har byggt upp flertalet interaktiva säkerhets kunskapstester för att du enkelt skall kunna fortbilda dig själv och dina medarbetare >>
Allt om backup
Vi beskriver varför backup är så viktigt och hur du på bästa sätt arbetar med detta viktiga område >>
Allt om fientlig kod
Vi beskriver flertalet vanligt förekommande hot och hur du bäst skyddar dig mot dessa >>
Hur skapar man ett virus?
I detta dokument beskriver vi hur enkelt det är at skapa ett digitalt virus >>
Varför bör vi jobba aktivt med IT-säkerhet?
Vi ger vår syn på varför IT säkerhet är ett så viktigt område att vara insatt i och jobba aktivt med >>
Varför skapar någon fientlig kod?
Här benar vi ut begreppen White hat, black hat, script kiddies och andra intressanta faktorer >>
Testa ditt antivirussystem
Här kan du göra sju olika tester som bygger på Eicar_test, en ofarlig fil som har många likheter med ett riktigt virus >>
Allt om brandväggar
I detta dokument ger vi dig inblick i hur en brandvägg fungerar och varför du bör använda en sådan >>
5 viktiga punkter att börja med
Här rekommenderar vi fem elementära saker att börja med när det gäller IT säkerhet >>
Hur förebygger man mot IT relaterade hot?
Vi ger förslag och idéer på hur du kan skydda din IT miljö >>
Tips för ökat säkerhet
Vi ger dig mängder av tips som kommer att höja säkerheten kring dina IT system >>
Bra produkter
Här listar vi ner bra tjänster och produkter som vi tycker att du bör titta närmare på >>
 
 

Behörighet - Vågar du jobba med behörighet och klassificering av information?

I det här dokumentet tittar vi lite på behörighet och klassificering av information. Det är viktigt att organisationen vågar ställa sig frågan om alla verkligen skall ha tillgång till all information. Troligtvis är svaret nej och då bör nästa steg tas där information klassas och tilldelas rätt behörighet. Läs, begrunda och anpassa innehållet efter din organisation.

Diskutera detta!
 
Texten fortsätter under frågeformuläret:
 
Annons:
 
Vågar du jobba med behörighet?
Finns det någonting som säger att alla medarbetare inom en organisation skall ha tillgång till all information?

Vi lever i värld som är förändlig, vi är aktiva och det finns ingenting som säger att en anställd kommer att vänta in guldklockan för lång och trogen tjänst. Det går att se detta från olika synvinklar och för de flesta företag är det naturligtvis olyckligt när en kompetens försvinner från en organisation.

Men vi ser en speciell aspekt på detta och det gäller affärskritiskt material. Hur hanterar man företagets mest kritiska information?

Naturligtvis måste man lita på sina medarbetare och ge dem förtroende men ibland måste ett visst mått av paranoia inkluderas i receptet. Om man som företagare har lagt ner sin själ under flera år för att bygga upp en verksamhet har man full rätt att skydda denna verksamhet för att säkra dess överlevnad.

Vi anser att man bör arbeta fram en strategi för behörighet. Inventera samtliga anställda angående befattning, ansvarsområde, kompetens och andra nödvändiga faktorer. Gör gärna ett organisationsschema på ett papper och placera samtliga individer i rätt "container". Varje container bör tilldelas en viss behörighet där maximal behörighet troligtvis bara tilldelas ett fåtal personer. Naturligtvis skall också all information inom företaget klassificeras och placeras i rätt "container".

Här kan man ställa sig en fråga. Vad är det som säger att en företagsägare, ekonomichef, avdelningschef och personalchef skall ha samma behörighet? Samtliga funktioner ingår med all säkerhet i ledningsgruppen och just idag har man samma mål och värderingar men det finns ingenting som säger att framtiden ser likadan ut.

En avdelningschef skall kanske inte med automatik ha full insyn i alla ekonomiska- eller personalrelaterade frågor och en personalchef skall kanske inte kunna se alla projektrelaterade frågor? Vi har erfarit flera exempel på företagsägare som har förlorat affärskritisk data till konkurrenter när personal går från ett företag till ett annat bara för att man inte har analyserat vem som skall ha tillgång till vilken typ av information.

Vi ser det också som en fara när ett för stort kollektivt tänkande får för starkt fotfäste, "Sara får ju se den informationen men inte jag", "De har ju tillgång till den resursen men inte vi", "Pelle får ju logga in i det systemet, det borde jag också få göra". Det finns inget som säger att alla skall ha tillgång till all information inom ett företag, här tycker vi att en policy är ett bra redskap och det berör vi mer här.

När "klassificerings/behörighetsschemat" är klart kan vi inkludera vårt upplägg i den befintliga IT-policyn (eller i en subpolicy till denna). Vi måste också distribuera upplägget till våra medarbetare. Detta görs med god information om de fördelar både företaget likväl som den enskillde medarbetaren erhåller.

Medarbetaren får bland annat klara direktiv om vilken typ av information hon eller han har rätt att ta del av, medarbetaren vet också att genom att följa företagets policy/rutiner följer denne också direkt företagets önskemål och vilja.

Företaget i sin tur höjer bland annat säkerheten kring sin information genom att klart styra vilka medarbetare som har tillgång till vilken typ av information. Spårbarhet vid incidenter blir i regel enklare och snabbare och företaget har ett instrument för att hantera olovlig hantering* av information och informationssystem.

*Detta är bland annat beroende på om det finns konsekvens(er) att förvänta sig om man bryter mot policyn.

Behörighet

Våga jobba med policys
Arbeta fram en policy som även inkluderar organisationens syn på behörighet. Klargör för de anställda vilken information och vilka resurser de har behörighet till. Klargör också företagets syn på allt arbete som genomförs, dokumenteras och lagras inom företaget, vem som är ägare och hur informationen skall hanteras under samt även efter avslutad anställning. Viss del av informationen kanske också skall omfattas av sekretess?

Klargör då också detta för de anställda. Redovisa också i policyn hur företaget arbetar för att styra behörigheter till information och system samt vilka konsekvenser som företaget tillämpar om överträdelse mot rutiner och policy sker. Se till att alla anställda informeras om policyn samt att de förstår innehållet av den och till slut signerar den. Policyn bör ha en ägare som aktivt arbetar med dokumentet samt uppföljning i olika steg. Denna "delpolicy" kan med fördel ingå i en mer heltäckande IT-policy.

Några funderingar
Vi har sett exempel där anställda har tagit med sig unik och viktig information till konkurrerande företag där man i sin tur har implementerat informationen i sin verksamhet. Att informationen används upptäcks i regel eftersom man har bra kontroll på övriga aktörer och man vet vart den tidigare anställde började sin nya anställning.

Det konkurrerande företaget har sparat en massa pengar samt tillfogats ny och viktig information som kan bli förödande för företaget som ursprungligen skapade denna. Om ingenting har gjorts för att skydda informationen eller systemet* kan man nog se det som väldigt svårt att på ett rättsligt sätt få en rätsida på det inträffade.

*Vi behöver inte nödvändigtvis prata om ett system i ordets rätta bemärkelse utan en enkel Excellista kan innehålla information av oerhört stort värde för en organisation.

Kan man överhuvudtaget säga att det är informationsstöld om:

1: Inga styrande dokument talar om hur information, resurser och system skall hanteras samt skyddas inom organisationen?

2: Ingen information har lämnats till de anställda om hur företaget avser att hantera och skydda information och informationssystem inom organisationen. Ingen information har lämnats kring hur företaget ser på överträdelser mot eventuella policys och rutiner?

Några tips på vägen (läs mer om policyuppbyggnad här):
- Gör en ändamålsenlig policy där det beskrivs hur företagets information skall skyddas
- Gör en behörighetsstrategi där varje enskild medarbetares behov fastställs
- Klassificera all information inom företaget och tilldela rätt behörigheter till denna "klassade" information
- Utse en policyansvarig (en ägare)
- Informera personalen (omfattning, innehåll, konsekvens, signering)
- Implementera policyn
- Implementera en "fysisk" behörighetsstrategi (exempelvis med hjälp av katalogtjänsten Active Directory)
- Gör uppföljningar (fungerar policyn och behörighetsstrategin, vilka fördelar och nackdelar kan man se?)
Infobox Säkerhetsdokument Gillar du informationen? Då bör du läsa detta!
Tyck till!
Berätta vad du tycker om denna information. Att kommentera är att bry sig och målsättningen är att vi som besöker Secure-IT.se skall bli bättre på IT och informationssäkerhet. Så tack för just din kommentar!
 
Annons:

Säkerhetsnyheter
IT säkerhet
Säkerhetsdokument i fokus
 Vad vet du om virus?

Användarvillkor
De dokument, interaktiva tester, lösenordstester, antivirustester samt annan information som finns på Secure-IT.se får användas inom din organisation i utbildande och/eller säkerhetshöjande syfte.

Du får inte kopiera material på Secure-IT.se och publicera det på offentlig plats utan att ange källa.

Du får inte kopiera och sälja materialet på Secure-IT.se i eget syfte.

Texter, bilder och annat material ägs av upphovsrättsmannen.

Annonsera
Vill du att ditt företag skall synas på Secure-IT.se? Då ber vi dig kontakta oss för en fortsatt dialog.

Förbättra
Vi är naturligtvis intresserade av att bli bättre. Har du synpunkter eller idéer på hur vi kan förbättra Secure-IT.se? Då vill vi att du kontaktar oss.

Bidra med information
Secure-IT.se når idag tusentals unika besökare per månad, har du intressant säkerhetsrelaterad information som du vill delge dessa besökare? I sådana fall är du hjärtligt välkommen att kontakta oss.
Pssst, kolla detta!
Säkerhetsanalys, starta här >>
Policyuppbyggnad, starta här >>
Interaktiva tester, starta här >>
Säkerhetsnyheter, läs här >>
Incidentrapport, hämta här >>
Färdiga IT policys, hämta här >>
Upplysningsplan, hämta här >>
Testa ditt lösenord, testa här >>

Här kan du prenumerera på mitt RSS flöde Följ mig på twitter!
Kontakta ossPrenumerera på vårt RSS flödeSök på Secure-IT.seWebbkarta
 
©2004 - 2009 Secure-IT.se / All images and contents copyright / All rights reserved