Utan konsulter är det många företag och myndigheter, speciellt mindre, som inte kan hantera IT-säkerhet.
Nigel Seddon, Europachef på Ivanti
Men hur bra är konsulterna, egentligen?
Det är troligtvis inte rimligt att kolla av alla aspekter av konsulternas kompetens, men det går att göra stickprov. Här är två sådana, enkla tester, skriver Nigel Seddon, Europachef på Ivanti.
Ni har förhoppningsvis en övergripande koll på IT-säkerhet, eller cybersäkerhet, på din arbetsplats. Ni vet i stora drag vad som behöver skyddas och har åtminstone ett hum om vilka produkter och tjänster som kan ge det nödvändiga skyddet. Men ni har inte resurser för att specificera processer, designa tekniska arkitekturer och implementera lösningar. Kort sagt, det är dags att ringa ett konsultföretag.
Tyvärr är IT-säkerhet ett så komplext område att få, troligtvis ingen, konsult har koll på alla säkerhetsaspekter. Inte ens de bästa säkerhetskonsulterna har det. Dessutom kanske ni inte vill betala vad en heltäckande insats skulle kosta. De här omständigheterna förvärras av en ökande komplexitet för tekniklösningar och allt mer kreativa cyberbrottslingar, vilket är två skeenden som är intimt sammankopplade.
I många fall kan ni säkert bedöma hur bra arbete säkerhetskonsulter gör. Men det finns en mängd långt i från uppenbara saker som det är svårt att ha koll på för någon som inte jobbar heltid med IT-säkerhet. Här är två exempel på saker att kolla av med era säkerhetskonsulter. De beskriver båda viktiga säkerhetsaspekter.
Resor i tid och rum
Är det möjligt för en användare, anställd eller extern, att först logga in från London, för att att en timme senare logga in från New York? Eller resulterar det i ett larm, och förhoppningsvis automatisk hantering av vad som med största säkerhet är ett intrångsförsök.
Exemplet ovan är tydligt, det skulle inte ens ha varit rimligt när Concorden flög över Atlanten. Men det finns även scenarier som är mer av gränsfall. Ett exempel är att logga in från Göteborg och en halvtimme senare från Borås. Det skulle gå, om man kör som en galning, men är det rimligt? Har din arbetsgivare ens kontor eller kunder i båda städerna och kan sådan information kopplas till autentiseringslösningen? Och så vidare.
Samordna patchar
En av de mest komplexa säkerhetsuppgifterna är att hålla reda på vilka säkerhetsuppdateringar, så kallade patchar, som bör installeras. Och, inte minst, att faktiskt installera dem inom rimlig tid. En undersökning som visar att det genomsnittliga företaget använder 464 applikationer, som sannolikt alla behöver uppdateras ibland, belyser problematiken. Lägg till det att det finns fler tekniklösningar, till exempel hårdvara, som behöver uppdateras.
Att olika leverantörer, till exempel av mjukvaror, har olika hantering för att informera om patchar och göra dem tillgängliga är en ytterligare försvårande omständighet. Vissa väljer en fast dag varje månad, andra släpper patchar så fort de är klara, etcetera. Sammanfattningsvis blir det ogörligt för ett normalt svenskt företag, eller en myndighet, att hantera alla olika produkter och tjänster som behöver uppdateras kontinuerligt var för sig. Det behövs en samordnad strategi.
Ser era säkerhetskonsulter till att det finns en sådan samordnad strategi för patchar, som inkluderar så mycket automatisering som möjligt, som passar er verksamhet?
Det här är bara två exempel på saker att kolla. Med lite tid bör du och dina kollegor kunna formulera fler, som är relevanta för er arbetsplats. Det är väl investerad tid. Man kan inte utgå i från att alla som benämns experter är just det. Tills motsatsen är bevisad är det bäst att anta att det är en normalfördelningskurva som bäst beskriver säkerhetskonsulters kompetens.
