En guide till datasäkerhet

meandogDatasäkerhet eller informationssäkerhet är ett teknikområde som blir alltmer viktigt för hemmadatorer och ute på nätet när vi använder fler och fler cloudlösningar. Syftet med dataskydd är att säkra upp information och egendom från stöld, virus, identitetsstölld, maskar, nätfiske, trojaner, naturkatastrofer och andra risker – samtidigt som man vill att information ska vara tillgänglig för användarna. Tyvärr är många av hoten svåra att upptäcka och de ökar dessutom i omfattning i hemmet och på företag i takt med att vi använder flera olika datorer och hårdvaror för att nå informationen.

En vanlig uppdelning är att skilja mellan hot och sårbarhet. Hoten omfattar hackers, fd anställda och spyware medan sårbarheter sker sker inom IT-systemen.

Principer för datasäkerhet

IT säkerheten kommer mer och mer i fokus

Traditionellt har datasäkerhet handlat om att skydda företagsinformation och känslig information som affärsdokumentation och patent. Under senare år har vi sett mer intrång i form av att man läser av email, hackar in sig via lösenord och det finns numera stora kriminella organisationer som är specialiserade på den här typen av brott. Problemet kan vara att man som företagare inte uppmärksammat vad som har hänt och i vilken form IT-systemen utnyttjas.

Medvetenheten om betydelsen av en hög datasäkerhet har ökat och numera är det vanligt att företag låter specialister göra olika säkerhetsutredningar, penetrationstester och säkerhetsutredningar. Som IT-specialist är det numera vanligt med design och översyn av olika IT-system mot hot som SQL-injektion attacker och överlastningsattacker (DDos attacker).

Två av de vanligaste typerna av skadlig kod är virus och datamaskar. Dessa typer av program har möjlighet att själv kopiera sig och de kan även sprida kopior av sig själva och det har dykt upp mer sofistikerade varianter.

Kring datasäkerheten kommer ständigt nya begrepp och under 2011-2012 har vi läst om begrepp som cyberkrig, cybersabotage och cyberspionage. Cyberkrig eller cyberwar är den senaste utvecklingen, där Stuxnet masken och Duqu som angrepit Iran var bland de första attackerna. Kina är ett annat land som anklagats ha utfört cyberattacker från Norge mot civila sateliter. Beskylningarna haglar mellan olika organisationer.

Som företagare är det viktigt att skydda dig och ha backuper och kopiera över informationen till olika media som USB:er, molntjänster och hårddiskar. En illojal anställd kan mycket väl vara den som utför attacken och tex förmedla dina kunder vidare till ett annat företag. Bland de största hoten finns från anställda men det har länge varit ett problem med s.k. social manipulation och social engineering.

Internet säkerhet

Internet säkerhet är ett omfattande och växande område från att ha handlat om hur man skyddar sig som användare till hur webbadministratörer måste säkra upp webbservrar inte bara mot traditionella hacker attacker men mot seo hacking och fenomen som skrapning av priser.

Samtidigt bör du vara medveten om att molntjänster långt ifrån är säkra lösningar för företagskänslig information om du arbetar inom ett större företag. Att inte tro att datan riskerar att komma i orätta händer och används av olika typer av aktörer är naivt.

Utbildningar inom datasäkerhet

Det finns flera branschrelaterade certifieringar för specialister inom IT-säkerhet som CICSP, CISA (Certified Information System Auditor) och ITIL (IT Infrastructure Library). Som IT-säkerhetsansvarig ansvarar man för det övergripande arbetet med IT-säkerheten och tar fram policys, regler och riktlinjer gällande datasäkerheten.

Standarder och organ

Försvarets Material Verk skriver om CSEC (uttalas ”See Sec”) som är en förkortning för Sveriges Certifierings Organ för  IT-säkerhet. De ansvarar för uppbyggnad, drift och förvaltning av system för evaluering och certifiering av IT-säkerhet i produkter och system i enlighet med standarden ISO/IEC IS 15408 (Common Criteria).

Internationella organ

Inom EU finns Europol och Internet Facilitated Organised Crime Threat Assessment (iOcta som undersöker den europeiska cyber kriminaliteten. På deras egna webbplats skriver man att de tittar på framtida trender inom området.

Lagstiftning inom IT-området