Sikkerhed

I første omgang kunne der være tale om det som hedder Perimeter sikkerhed, dvs. er bygningen eller virksomhedens område(grund) sikret? Er det fysisk nemt at komme ind i virksomheden? Her kan nævnes det som hedder Dumpster Driving, som er et engelsk begreb der dækker det at ”rode” i affald for at finde diverse dokumenter med kredit kort oplysninger eller måske brugernavn og adgangskode.

 

I næste fase bevæger vi os ind i bygningen til serverrummet. Er der fysisk adgang til serverne, skal der anvendes nøgle eller kode for at komme ind i serverrummet? Er rummet brandsikret eller indbruds sikret med alarm? Er der nødstrøm med UPS eller måske nødgenerator? En server der ikke lukkes korrekt ned ved strømafbrydelse kan miste data. Tages der backup? er det en fornuftig backup rutine? Flyttes båndene fysisk væk fra lokationen? Er der foretaget test restore af data? Placering af dit serverrum er også væsentlig, kælderen kan være et dårligt valg i tilfælde af oversvømmelse eller brand.

 

Hvis vi bevæger os uden for serverrummet men stadig i virksomheden, er det første man tænker på, fysisk adgang til netværket eller måske direkte adgang til en pc, måske med mulighed for at stjæle den. Er alle dokumenter gemt på serverne(i serverrummet)?. En pc bør ikke indeholde værdifulde data. Er dit netværk sikret? Kan jeg komme med min bærbar og sætte den i vægen og komme på jeres net?

 

Der er i dag mange muligheder for at hindre fysisk adgang til dit netværk, og med Microsoft Windows Server 2008 er det mulighed for at anvende NAP(Network Access Protection) sammen med en Switch som understøtter 802.1x. Med dette implementeret er det kun kendte og opdaterede maskiner der får adgang til dit netværk.

 

Trådløst netværk er efterhånden også meget udbredt, og med de rigtige konfigurationer på dine Access-points er disse stort set lige så sikker som kablet net. Her bør også anvendes 802.1x protokol evt. certifikat validering imod domænet, samt selvfølgelig et skjult SSID.

 

Adganskoder spiller også en helt fundamental rolle i sikringen af din virksomhed. Alt for mange anvender i dag adgangskoder som ikke skal skiftes, og er alt for simple. En adgangskode bør skiftes mindst hver 3. måned, og bør bestå af mindst 8 karakterer, hvor mindst 2 af karaktererne er et tal og et specialtegn (f.eks.#, ¤, % osv.). Yderligere bør alle virksomhedens pc’er være medlem af et domæne for netop at overholde alle disse sikkerhedsrestriktioner, som kan være adgangskode politik, antivirus opdatering og opdatering fra din lokale WSUS server.

 

Inden vi bevæger os helt uden for bygningen og over i det ikke fysiske og en tur på Internettet, er antivirus og opdatering fra software producenter også en utrolig vigtig brik i puslespillet. Mange virksomheder er meget opmærksomme på at antivirus skal være opdateret, men er i også opmærksomme på at software, typisk Microsoft opdateringer, også spiller en meget meget vigtig rolle. En ikke software opdateret maskine installeret med antivirus er stort set ikke beskyttet, og alle de ”huller” der måtte være i et Microsoft OS eller i andre produkter kan udnyttes, til et angreb imod din virksomhed via denne maskine.

 

Truslerne fra Internettet bør bekæmpes med en firewall. To firewalls er bedre end én firewall, og 2 forskellige firewalls er bedre end to ens. Kort sagt så er det optimale 2 forskellige firewalls med f.eks. en DMZ imellem den enes ”indvendige ben” og den andens ”udvendige ben”. Hvis man samtidig kunne have en såkaldt applikations firewall(Microsoft ISA 2006), som den ene, og måske en Cisco eller Juniper firewall som den anden, ja så er man rigtig godt klædt på.

 

Adgang for medarbejdere uden for virksomheden er også noget der skal tages højde for. Skal alle have vpn adgang, og hvilken type vpn skal der anvendes? Skal brugerne kunne arbejde via en browser, som f.eks. ved terminal server 2008? Skal der anvendes tokens eller sms-passcode for at tilgå website eller måske vpn?