Secure-IT:s IT och informationssäkerhetstjänster

Informationssäkerhetsanalys
(Du kan läsa en mer utförlig presentation av denna tjänst här)

Att genomföra en informationssäkerhetsanalys är ett utmärkt sätt att finna de svagheter och brister som kan leda till oönskade incidenter. Vi hanterar dagligen stora mängder information i olika informationssystem men också i vardagligt tal och skrift. Eftersom tempot på våra arbetsplatser i regel är mycket högt ställs det stora krav på hur vi hanterar den information vi har tillgång till. Felaktig hantering av information och informationssystem kan leda till oönskade incidenter som kan kosta väldigt mycket ekonomiskt i form av skadat renommé, onödiga mantimmar, onödiga konsultarvoden, avbrottstid gällande olika IT-system samt många andra faktorer. Omvänt visar aktivt arbete med IT- och informationssäkerhet på gott omdöme som stärker både den externa och interna synen på ett företag.

En säkerhetsanalys utförd av oss genomförs i tre delar:

Del 1
Vi kommer ut på plats till ditt företag och intervjuar berörda personer, denna intervju är baserad på en större mängd kontrollfrågor. Målet med dessa frågor är att genomlysa företagets säkerhetstänkande i ett bredare perspektiv. Vissa delmoment kräver också visuell kontroll. Varje block i analysen kommenteras på plats som stöd för arbetet i del två.

Del 2
Del två omfattar en analys av svar och kommentarer från det fysiska besöket i del ett. Arbetet i del två genomförs inte på plats hos kund.

Del 3
Del tre omfattar redovisning, formen för detta bestämmer vi i del ett. Dock levereras allt analysmaterial i skriftlig form där alla block bedöms enligt en skala som sträcker sig från Ingen anmärkning till hög alvarlighetsgrad, alla block redovisas också med kommentarer och rekommendationer.

Vår roll hos dig som kund skall ses som ett bollplank och stöd gällande säkerhetsfrågor. En informationssäkerhetsanalys skall bringa klarhet i om det finns svagheter och brister gällande hanteringen av information och informationssystem som kan leda till oönskade incidenter för organisationen. Vi kommer varken med pekpinnar i fickorna eller ämbetsmannakavajen påtagen.

All information vi får tillgång till från våra kunder behandlas med yttersta sekretess.

Nätverksinventering
Inventering är ett ord som de flesta av oss har stött på i en eller annan form. Att inventera materialet i kärnverksamheten är en viktig del eftersom vi vill ha kontroll på vad vi förfogar över. Att göra en nätverksinventering är inget konstigare än att utföra en traditionell inventering. Nätverksinventeringen, eller nätverksdokumentation, syftar till att redovisa hur företagets IT-miljö ser ut och vad man förfogar över för resurser. Detta är lite av den information en nätverksinventering kan ge:

- Antal datorer i nätverket
- Antal routrar, switchar, skrivare samt andra nätverksresurser
- Vilka programapplikationer som är installerade
- Vilka tjänster som är aktiverade och körs
- Vilka uppdateringar och patchar som är installerade
- Vilka användarkonton som är aktiva på respektive klient
- Vilka kritiska applikationer är inte uppstartade eller uppdaterade
- Hur mycket lagringskapacitet varje klient förfogar över.
- Vilka applikationer startar upp automatiskt på respektive klient
- Vilka resurser delas ut från respektive klient
- Samt mycket mer...

Vi redovisar vårt arbete med nätverksscheman samt rapporter genererade från vårt inventeringssystem.

Policyuppbyggnad (IT-policy)
Vad är en IT-policy?
En IT-policy kan enklast förklaras som ett dokument som beskriver hur ett företags filosofi, strategier, policys och rutiner med inriktning på behörigheter, integritet och tillgänglighet kring information och informationssystem ser ut.

En IT-policy som klargör hur företaget vill att dess personal skall agera i specifika situationer är minst lika viktigt som tekniskt avancerade skyddssystem (fysisk säkerhet). En IT-policy kan alla inom organisationen ta till sig och förstå nyttan med om den implementeras på ett riktigt sätt. Med en väl uppbyggd, implementerad och efterlevd IT-policy kommer säkerheten kring företagets information höjas avsevärt jämfört med att bara låta tekniska system stå för informationsskyddet.

En annan stor fördel med en IT-policy är att företaget talar om utåt att man tar IT- och informationsrelaterade frågor på allvar. Det ger ökad goodwill till företaget vilket naturligtvis är positivt.

Några saker att fundera på vad gäller en IT-policy

- Är IT-policyn godkänd av företagsledningen?
- Är det fastställt vilka system och personer IT-policyn gäller?
- Är alla kritiska delar i företagets informationssystem inkluderade i IT-policyn?
- Fastställer IT-policyn på ett klart sätt ansvarsfördelningen inom organisationen?
- Är IT-policyn formbar?
- Är IT-policyn upplagd på ett konkret och riktigt sätt?
- Är IT-policyn implementerad och införstådd hos samtliga medarbetare?
- Är IT-policyn signerad av samtliga medarbetare?
- Finns det en plan för intern utbildning?
- Levererar IT-policyn önskad effekt?

Backup (Onlinebackup)
Backup (säkerhetskopiering) är en av de enskilt viktigaste punkterna inom området IT-säkerhet. Om en incident inträffar är det av största vikt att data kan återläsas, men det är inte bara att stoppa i en CD-skiva som brändes för en vecka sedan och tro att allt är frid och fröjd. All media kan vara korrupt och var skivan den enda källan företaget förfogade över blir situationen kritisk. Detta är lite att tänka på:

- Ansvar
- Val av backupmjukvara
- Val av media
- Val av resurser och data (omfattning)
- Strategi för hur ofta backup skall utföras (schemaläggning)
- Val av antalet backuper till olika medier
- Geografisk åtskillnad
- Strategi för återläsning
- Hantering av loggfiler
- Strategi för integritetsskydd
- Med mera...

Vi ger dig här några av fördelarna med Secure IT Onlinebackup
- Egen administratör som övervakar din backup
- Gratis installation och konfiguration via krypterad remote access
- Schemalagd eller automatisk backup
- Möjlighet till återläsning 24-timmar per dygn
- 448 bitars Blowfishkryptering skyddar din information i vårt datacenter
- Du kan även välja att använda en egen 256-bitars AES kryptering
- 128 bitars SSL-kryptering skyddar din information vid dataöverföring
- Använd förutbestämda backupplaner eller gör egna. Du bestämmer!
- Inekrementell backup, bara förändrat material överförs
- Historik, återläs äldre versioner av dokument och filer
- Mycket hög driftstabilitet och systemsäkerhet

Läs ingående om säkerheten i vårt system här.

Backup (lokal)
Backup (säkerhetskopiering) är en av de enskilt viktigaste punkterna inom området IT-säkerhet. Om en incident inträffar är det av största vikt att data kan återläsas, men det är inte bara att stoppa i en CD-skiva som brändes för en vecka sedan och tro att allt är frid och fröjd. All media kan vara korrupt och var skivan den enda källan företaget förfogade över blir situationen kritisk. Detta är lite att tänka på:

- Ansvar
- Val av backupmjukvara
- Val av media
- Val av resurser och data (omfattning)
- Strategi för hur ofta backup skall utföras (schemaläggning)
- Val av antalet backuper till olika medier
- Geografisk åtskillnad
- Strategi för återläsning
- Hantering av loggfiler
- Strategi för integritetsskydd
- Med mera...

Vi jobbar mycket med det kostnadseffektiva och stabila backupsystemet SynckBackPro.

Antivirus
Ett antivirussystem är till för att skydda en enskild dator eller ett nätverk mot fientlig kod. Det är av stor vikt att ett antivirussystem finns installerat och att det är uppdaterat på ett riktigt sätt. Vi arbetar sedan 2004 med produkter från ESET och vi kan installera och driftsätta ESET NOD32 antivirus och ESET Smart Security åt våra kunder. Detta är lite av vad vi tycker man skall tänka på gällande en strategi mot fientlig kod.

- Internutbilda personalen i vilka hotbilder som finns på Internet
- Skapa policys som b.la. inkluderar e-posthantering och nedladdning
- Hur skall incidenter hanteras (utarbeta en plan)
- Hur skall incidenter rapporteras
- Behovsanalys gällande antivirussystem
- Omfattning
- Strategi för uppdateringar