I januar 2024 modtog jeg en mastergrad indenfor Informationssikkerhed. Forinden havde jeg igennem de forgående 5-6 år (ved siden af arbejdet) taget en række forskellige fagpakker indenfor både IT-sikkerhed og Informationssikkerhed. Helt overordnet har hele min efteruddannelse været fokuseret på sikkerhedsdelen.
Igennem mine egne erfaringer med IT havde jeg en fase på 10-15 år, hvor jeg legede en del med hacking fra begge sider af bordet. Mine handlinger i forhold til håndtering af IT-sikkerhed er typisk både baseret på mine egne erfaringer igennem disse 10-15 år og andres erfaringer lært ved kurser og/eller læst i bøger/online.
Mine hovedprincipper i forhold til IT-sikkerhed kan opsummeres som noget i denne stil:
- Seriøse forberedelser: Inden du går i gang med en opgave skal der laves en seriøs analyse af alle sikkerhedsaspekter vedrørende alle delkomponenter i processerne.
- Anvend modulære løsninger: Lad være med at tro, at du er klogere end alle andre. Hvis du fx programmerer en løsning, bør du vælge etablerede og velgennemprøvede modulære løsninger fx til kryptering. Sikkerheden er her typisk mere velgennemprøvet, og yderligere opdateres disse modulære løsninger typisk oftere, hvor eventuelle sikkerhedshuller lukkes.
- Lagdeling af sikkerhed: Man implementerer flere sikkerhedslag, så hvis ét lag fejler, er der stadig andre lag til at beskytte systemet. Det handler om at undgå et “single point of failure” i sikkerhedsmæssig forstand.
- Regelmæssig opdatering og patching af alle systemer: Det er ikke kun de fejl, du selv finder, men også kendte sårbarheder, der løbende opdages i software.
- Sikkerhedsbevidsthed hos brugerne: Dette kan inkludere træning, klare retningslinjer for adfærd og procedurer for håndtering af sikkerhedstrusler. Selv de mest sikre systemer kan kompromitteres af menneskelige fejl eller manglende viden.
- Adgangskontrol og princippet om mindste privilegium: Det er vigtigt at sikre, at brugere og systemer kun har adgang til de ressourcer, de har brug for for at udføre deres opgaver. Stærk adgangskontrol og implementering af princippet om mindste privilegium er centrale elementer i at begrænse skaden ved en eventuel kompromittering.
- Overvågning og logning: For at kunne opdage sikkerhedsbrud og analysere dem, er løbende overvågning og detaljeret logning af systemaktivitet afgørende. Dette giver mulighed for at identificere mistænkelig adfærd og forstå, hvordan et eventuelt angreb er sket.
- Fysisk sikkerhed: Afhængigt af konteksten kan fysisk sikkerhed også være relevant. Er servere og andet kritisk udstyr fysisk beskyttet mod uautoriseret adgang?
- Risikovurdering er en løbende proces: Trusler udvikler sig konstant, og det er nødvendigt at revurdere risici og tilpasse sikkerhedsforanstaltninger løbende. Test de færdiglavede systemer løbende og fix de fundne skavanker. Her skal der naturligvis fx bruges penetrationstesting og sårbarhedsscanninger.