Ekspert: Sådan skal data sikres

- Data skal altid beskyttes af adgangskontrolmekanismer, siger it-sikkerhedskonsulent Jens Højland Christensen fra firmaet CSIS, der lever af at rådgive virksomheder om datasikkerhed.

Her er hans generelle råd til at sikre virksomheders følsomme oplysninger på internettet.

Adgangskontrol
- Man kunne umiddelbart have den opfattelse, at det kun er følsomme oplysninger, der skal beskyttes. Dette er faktisk forkert. Adgangskontrol dækker nemlig ikke kun over restriktioner for læsning af data. Det dækker også over ændring af data (integritet og tilgængelighed). Da de fleste nok ikke vil bryde sig om, at indhold på f.eks. deres hjemmeside, bliver ændret/slettet uden deres samtykke, så kommer adgangskontrol også ind i billedet her.

Klassificering af data
- Først skridt i sikring af fortroligheden af data, er at få klassificeret sine data. Dette er nødvendigt, da man ellers ikke ved hvad der skal offentligt tilgængeligt, og hvad der ikke skal være offentlig tilgængeligt. Klassificering ender ikke nødvendigvis med kun to klasser af data. Der kan godt være mange flere (offentligt, alle interne medarbejdere, regnskab, direktionen etc.)

Håndtering af brugere og data
- Dernæst skal man have et system, der er i stand til at styre adgangen til data. Et sådant vil typisk også kræve, at man har et system til håndtering af brugere af systemet. Uden en eller anden form for brugerdatabase, er det temmelig svært, at beslutte hvilke rettigheder der gælder

Brugeridentifikation
- Til sidst skal man så vælge hvordan man rent faktisk vil håndtere brugeridentifikation. Skal det være brugernavn og password? Eller brugernavn, password og engangskode a la NemID? Eller noget helt tredje? Løsningen skal afspejle hvor følsomme og kritiske data er. Jo mere kritisk et system og dets data er, desto mere sikkerhed skal man have i forbindelse med adgangen til data. Det er bl.a. derfor, at bankerne i Danmark kræver såkaldt to-faktor autentificering. Altså to ting der beviser, at brugeren er den han udgiver sig for at være.

Men...
- Hvis alt dette følges, er dine data sikre. Problemet er så bare, at mennesker fejler - og for eksempel lægger fortrolige data på en hjemmeside, hvor alle kan tilgå dem.

0 kommentarer
Vis kommentarer