2007-09-14 06:08
- Computer Sweden:
Lär känna personalen
Av
| 
Säkerhetsfrågan
Fråga: Jag arbetar på ett större företag med egen programutveckling och it-support och läste om problemen på Skatteverket där någon i personalen skapat och utlöst en logisk bomb i datorerna, med följd att stora mängder data blev förstörda.
Tomas Djurling är konsult inom it- och informationssäkerhet.
Händelsen inträffade efter en längre tids konflikter med den anställdes chefer. Vi har både programmerare och andra tekniker anställda hos oss och har under de två senaste åren haft problem med en av våra chefer i mellanställning som nu slutat. Hur ska vi undvika att det leder till problem liknande det som Skatteverket råkat ut för?
SVAR Det är inte otur om en verksamhet råkar ut för insiderbrott. Det beror på brister i ansvarstagande och säkerhet från arbetsgivarens sida.
För att minimera risken för logiska bomber eller andra allvarliga incidenter eller brott utförda av den egna personalen krävs att arbetsgivaren har en mycket god personalkännedom, korrekt och professionellt utförd rekrytering av personer på alla nivåer, medvetenhet och kunskap om insiders. Sist men inte minst måste en väl avvägd och genomtänkt personalpolitik utformas. Den måste vara rättvis och upplevas så av personalen.
Det är alltid närmaste chefs ansvar att känna sin personal mycket väl. Detta gäller även personalens privata förhållanden. Arbetsgivaren måste etablera ett nära samarbete mellan chefer med personalansvar, säkerhetsansvariga, personalavdelningen och företagshälsovården. Syftet med samarbetet är att fånga upp oroande signaler hos personalen och sätta in stödåtgärder. Personkännedom är den enskilt viktigaste faktorn i stävjandet av insider- och andra personalproblem.
Människor råkar ut för tråkigheter och svårigheter i livet. Detta påverkar deras hälsa och omdöme. Det gäller att ha ett väl utbyggt stöd för personalen så att ingen hamnar i en situation den inte själva kan hantera eller ta sig ur. Det är den närmaste chefens ansvar att se små förändringar i personers beteende. Beteendeförändringar hos en människa innebär att något har skett i hennes liv. Det är dessa signaler och beteendeförändringar som i förlängningen ofta orsakar säkerhetsproblem och personalproblem.
Andra sätt att minimera och undvika problem är kontroll och övervakning. När det gäller programmerare som arbetar med utveckling av verksamhetskritiska system ska man låta dem slumpvis kontrollera varandras kod och dokumentation, i syfte att upptäcka konstigheter och felaktigheter. Testkör alltid alla nya program och uppdateringar i en isolerad testmiljö innan uppdatering i produktionsmiljön görs. Tillåt aldrig ensamarbete i test- eller produktionsmiljön.
Rutiner bör finnas för att inga program får installeras i produktionsmiljön utan tester och godkännande. Tillåt aldrig gruppkonton för nätverkstekniker, supportpersonal och utvecklingspersonal. Alla konton ska vara personliga och samtliga loggar ska vara påslagna, inklusive tangentbordsloggar. Loggarna skickas i realtid till en loggserver för att försvåra manipulation. Kommunikationen mellan loggserver och utvecklingskonton ska krypteras.
Synpunkter på sajten? Kontakta Linus Larsson | Kontakta CS redaktion | Policy om personuppgifter & copyrightinfo
OBS! Denna artikel är mer än tio dygn gammal och är därför stängd för vidare debatt.