Den agile sikkerhedsmodel
Tiden nærmer sig. Der er mindre end een måned tilbage og jeg er så småt begyndt at kunne se lyset for enden af tunnelen alt imens jeg mærker afleveringens klamme hånd på min skulder :)
Sideløbende med at min analyse udarbejdes, har jeg opstillet hvad der skal ende med at udgøre nogle principper for den agile sikkerhedsmodel - en sikkerhedsmodel der ikke står i vejen for SOA.
Jeg vil her dele mit første BETA - udkast med Jer og I skal være mere end velkommen til at komme med kommentarer, forslag og rettelser.
Princip 1: Tidstro
Fundamentet for den agile sikkerhedsmodel er, at den bygger på (tæt på) tidstro information og beslutningsværktøjer der giver overblik over et kompleks heterogent miljø. For at informationen skal være brugbar må modellen være platforms og applikations -neutral.
En sådan sikkerhedsmodel vil give organisationer mulighed for med præcision, at vurdere risici forholde sig proaktivt til dem. Sikkerhedsmodellen selv skal være agil som SOA, og ikke nødvendigvis fordre nyindkøb af specialiserede hardware eller software. Modellen skal i høj grad kunne sammensættes af eksisterende efterretningsværktøjer som organisationer besidder samt udbygge dem efterhånden som nye teknologier som f.eks. VoIP vinder frem.
Princip 2: Altomfattende
Den agile sikkerhedsmodel handler ikke kun om perimetersikkerhed såsom firewalls og intrusion protection. Modellen tager et mere fingranuleret syn på sikkerheden, hvor der indsamles informationer og udøves kontrol af sikkerhedsproblemer fra det tekniske niveau (netværk; applikations og transport) til det menneskelige niveau som phising og bedrag.
Den agile sikkerhedsmodel kræver at brugere (medarbejderne, partnere og kunder) håndteres radikalt anderledes. Der skal være fokus på efterretning og kontrol af brugernes gøren og færden i systemet ligesom systemet skal kunne håndtere, at brugere ofte vil udgøre applikationer og maskinel. Logning (ansvarsstillelse) og entydig autentificering er vigtige.
Princip 3: Efterretningsbaseret
Den agile sikkerhedsmodel skal operere i et miljø der strækker sig ud over en organisations egne perimetre. Derfor må efterretningen i høj grad også basere sig på eksterne efterretningskilder hvis den skal forholde sig proaktivt til udefra kommende trusler. Eksterne services vil formodentlig resultere i en større, mere specialiseret, hurtigere og billigere form for efterretning, end hvis organisationen selv står for det.
En forudsætning for en agil sikkerhedmodel er, at efterretninger kan indhentes omkring andre organisationers overholdelse af it-sikkerhedsstandarder. Disse efterretninger kan være leveret af organisationerne selv; ske som følge af en formalisering af den nuværende it-revision; eller evt. indsamlet af en overordnet instans.
Princip 4: Handlingskonsekvent
I sidste ende har it-sikkerhed altid en økonomisk konsekvens. En konsekvent handling baseret på korrekt efterretning er en måde at minimere konsekvensen. Der skal således foreligge klare modeller for risikovurdering og mulighed for at kunne estimere tab baseret på mulige trusselsscenarier samt løbende opbygges en konsekvenshistorik. Uden disse handlingsplaner, er det svært at vurdere sikkerhedsbehovet og styre ressourcer til hvor de gør mest gavn.
Sideløbende med at min analyse udarbejdes, har jeg opstillet hvad der skal ende med at udgøre nogle principper for den agile sikkerhedsmodel - en sikkerhedsmodel der ikke står i vejen for SOA.
Jeg vil her dele mit første BETA - udkast med Jer og I skal være mere end velkommen til at komme med kommentarer, forslag og rettelser.
Princip 1: Tidstro
Fundamentet for den agile sikkerhedsmodel er, at den bygger på (tæt på) tidstro information og beslutningsværktøjer der giver overblik over et kompleks heterogent miljø. For at informationen skal være brugbar må modellen være platforms og applikations -neutral.
En sådan sikkerhedsmodel vil give organisationer mulighed for med præcision, at vurdere risici forholde sig proaktivt til dem. Sikkerhedsmodellen selv skal være agil som SOA, og ikke nødvendigvis fordre nyindkøb af specialiserede hardware eller software. Modellen skal i høj grad kunne sammensættes af eksisterende efterretningsværktøjer som organisationer besidder samt udbygge dem efterhånden som nye teknologier som f.eks. VoIP vinder frem.
Princip 2: Altomfattende
Den agile sikkerhedsmodel handler ikke kun om perimetersikkerhed såsom firewalls og intrusion protection. Modellen tager et mere fingranuleret syn på sikkerheden, hvor der indsamles informationer og udøves kontrol af sikkerhedsproblemer fra det tekniske niveau (netværk; applikations og transport) til det menneskelige niveau som phising og bedrag.
Den agile sikkerhedsmodel kræver at brugere (medarbejderne, partnere og kunder) håndteres radikalt anderledes. Der skal være fokus på efterretning og kontrol af brugernes gøren og færden i systemet ligesom systemet skal kunne håndtere, at brugere ofte vil udgøre applikationer og maskinel. Logning (ansvarsstillelse) og entydig autentificering er vigtige.
Princip 3: Efterretningsbaseret
Den agile sikkerhedsmodel skal operere i et miljø der strækker sig ud over en organisations egne perimetre. Derfor må efterretningen i høj grad også basere sig på eksterne efterretningskilder hvis den skal forholde sig proaktivt til udefra kommende trusler. Eksterne services vil formodentlig resultere i en større, mere specialiseret, hurtigere og billigere form for efterretning, end hvis organisationen selv står for det.
En forudsætning for en agil sikkerhedmodel er, at efterretninger kan indhentes omkring andre organisationers overholdelse af it-sikkerhedsstandarder. Disse efterretninger kan være leveret af organisationerne selv; ske som følge af en formalisering af den nuværende it-revision; eller evt. indsamlet af en overordnet instans.
Princip 4: Handlingskonsekvent
I sidste ende har it-sikkerhed altid en økonomisk konsekvens. En konsekvent handling baseret på korrekt efterretning er en måde at minimere konsekvensen. Der skal således foreligge klare modeller for risikovurdering og mulighed for at kunne estimere tab baseret på mulige trusselsscenarier samt løbende opbygges en konsekvenshistorik. Uden disse handlingsplaner, er det svært at vurdere sikkerhedsbehovet og styre ressourcer til hvor de gør mest gavn.
0 TrackBacks
Listed below are links to blogs that reference this entry: Den agile sikkerhedsmodel.
TrackBack URL for this entry: http://www.wickedpixel.net/cgi-bin/mt/mt-tb.cgi/899
Leave a comment