Irgendwie hat es sich in den letzten Wochen und Monaten so ergeben das ich vermehrt über das Thema Sicherheit, genauer IT Sicherheit nachdenke.
Also, was ist diese Sicherheit eigentlich? Vielleicht eine Definition die ich für mich gefunden habe
- IT Sicherheit ist der Schutz der Unternehmens relevanten Daten, gemessen an Ihrem Risikofaktor.
Vielleicht eine relativ einfache Definition, aber in meinen Augen spiegelt sie alles wieder auf das es wirklich ankommt.
Ein grosses Problem, gerade wenn ein Unternehmen aus mehreren Abteilungen besteht, ist das jede Person Daten auf die eine oder eine andere Art besitzt und verwaltet und diese in in einem eigenem Licht was die Sicherheit dieser Daten betrifft behandelt. So ist das Passwort welches an dem Monitor in einem kleinen Büro hängt für diese Person genau richtig. Es ist wahrscheinlich ein Passwort das man mehr als einmal am Tag verwendet und für das es umständlich wäre es in einem Tresor oder einem sicheren Passwort Server zu verwahren.
Das schlimme ist, wenn ich drüber nachdenke stimmt dies Teilweise sogar. Wir müssen davon ausgehen das jede andere Person in diesem Raum und dieser Abteilung dieses Passwort bereits kennt, oder einen ähnlichen Postfix am Monitor kleben hat. Hier sollte also keine Gefahr drohen. Und wenn es eine böse fremde Person, durch die Eingangshalle bis in dieses Büro, an diesen Monitor geschafft hat, dann müssen wir ehrlich sein, dann haben alle Sicherheitsmechanismen bereits versagt.
Erster Schritt aller (sicherheits-) Bemühungen sollte es daher sein seine Daten und Dienste und wie einzelne Personen damit Umgehen zu kennen und einen “Regelgerechten Umgang” zu definieren. Diese Definition ist dann eine Security Policy. Beim kochen einer solchen Policy ist es wie bei allen anderen Gerichten auch, die genaue Würze muss gefunden werden und eventuell das Rezept überarbeitet bis es schmeckt, den meisten zumindest.
In einem reinen IT Unternehmen sind die Ansätze einer Policy natürlich weit gefächert, da es unter Umständen eine Vielzahl an Systemen gibt die über viele Abteilungen verteilt sind. Was in meinen Augen hilft ist
- Entscheiden Sie sich für ein einheitliches Betriebssystem das einem gewissen Mass an Sicherheit mit sich bringt. Lassen Sie sich hier von den Adminsitratoren und Entwicklern beraten, denn diese sind es welche das System warten müssen, und man kümmert sich wohl am liebsten um etwas das man nicht einfach so aufs Auge gedrückt bekommen hat. Entscheidend sollte sein das es weit verbreitete Software ist, welche von einem Unternehmen oder einer recht grossen Community getragen wird, dann kann man sehr sicher sein das es Zeitnahe Bugfixes zu aktuellen Problemen gibt.
- Reden Sie mit den Abteilungen. Nehmen Sie die Abteilungsleiter beiseite und lassen Sie sie Teil des Processes sein. Fragen Sie nach den Daten die der Abteilungsleiter für Schützenswert hält.
- Machen Sie Self Assesments. Also hinterfragen Sie Ihre Sicherheit in einem festgelegten Intervall. Testen Sie Ihr System, dafür gibt es unzählige Software, und geben Sie die gewonnen Informationen an die betreffenden Abteilungen weiter.
Abschliessend noch ein paar Links die helfen könnten:
- heise Security Online eine gute Quelle für Sicherheitsthemen
- Ubuntu Security aktuelle Bugfixes von Ubuntu
- OpenVas ein Security Scanner