Når IT torpederer sikkerheten
Hvem vinner når IT må prioritere mellom ytelse og sikkerhet? Svaret er innlysende – og situasjonen utbredt. Må det være slik?
Over 30% av IT-profesjonelle innrømmer i en undersøkelse fra McAfee at de kobler ut sikkerhetsfunksjoner for å øke ytelsen. Spesielt Deep Packet Inspection, men også SPAM-filtrering og URL-filtrering blir ofret på ytelsens alter. Ytelse er synlig, avansert nettverks-sikkerhet er usynlig, og valget blir enkelt.
En kjent konflikt. Sikkerhet og drift er siamesiske tvillinger, men passer ikke sammen. De bør separeres – og blir separert når det er mulig. Konflikten forsvinner imidlertid ikke av den grunn. Kan den reduseres?
Definitivt, men utgangspunktet er unektelig skjevt. Ytelse er lett å måle, sikkerhet vanskelig. For eksempel: Hvis virksomheten hadde null sikkerhetsrelaterte insidenter siste år, er sikkerheten da god nok eller for god? Eller: Hvilke objekter eller systemer trenger hvor mye sikring?
Vår erfaring indikerer at den ene ressursen sikkerhet alltid får for lite av, er tid. Tid til å evaluere behov, tiltak, effektivitet, bivirkninger og etablering av målestokker. At sikringstiltak og sikkerhet er vanskelig å måle, betyr ikke at det er umulig. Det er krevende.
Undersøkelsen vi refererer til ovenfor, minner om at sikkerhet ikke kan måles i investeringer og teknologi. Det kjente sitatet fra sikkerhetsguru Bruce Schneier går aldri ut på dato: “If you think technology can solve your security problems, then you don’t understand the problems and you don’t understand the technology.” Kunnskap som lett blir fortrengt i kampens hete.
I realiteten er det ingen automatikk i at bortkobling av (for eksempel) Deep Packet Inspection gir svekket sikkerhet – en konstatering som setter fokus på den egentlige utfordringen: Vi kan anta, men vi vet ikke. En lite holdbar situasjon som det er mulig å gjøre noe med. Nøkkelen er tid – til å forstå utfordringene og etablere målestokker. For egen del kommer vi stadig tilbake til boken Economics & Strategies of Data Security av den kjente sikkerhetseksperten Daniel E. Geer. Tankevekkende, inspirerende og praktisk anvendbar kunnskap. Som gjerne kan suppleres med Douglas Hubbards How to measure anything.
Sikkerhet kan aldri bli like kvantifiserbar som ytelse, men målbar kan den bli. Målbar nok til at vi vet i stedet for antar. God lesing.
Se også…
Legg igjen kommentar
Du må være innlogget for å kunne kommentere.