2008-01-18 03:06
- Computer Sweden:
Så blir användarna säkerhetsmedvetna
Av
| 
Säkerhetsfrågan
Säkerhetsfrågan: Vårt företag har en policy där vi uppmanar våra anställda att ändra sina lösenord regelbundet. Ändå tycks många strunta i detta, de glömmer lösenorden efter längre ledigheter och få uppfyller våra regler om "bra" lösenord. Hur ska vi göra?
Tomas Djurling är konsult inom it- och informationssäkerhet.
Tomas Djurlings svar: De flesta företag och organisationer har samma problem som du beskriver. Dåliga lösenord och oengagerad personal är ett av de största säkerhetsproblemen vi har att brottas med. Enligt min mening är orsaken till personalens ovilja att ange bra lösenord flera.
De första och viktigaste är okunskap om hotbilden mot företaget samt konsekvensen för den enskilda och kostnaden för företaget om någon kommer över företagets immateriella tillgångar.
Dessutom saknas ofta kunskapen om hur ett bra lösenord ska vara konstruerat.
Att förändra personalens beteende tar tid, men det är inte omöjligt. För att lyckas med en beteendeförändring hos människor krävs några grundläggande insikter. Det första är att människan måste förstå varför det är viktigt att hon ska utföra en viss åtgärd på ett speciellt sätt. Sedan måste hon fullt ut förstå konsekvensen både för sig själv, för arbetsgivaren och i vissa fall för samhället vid utebliven eller felaktigt/slarvigt utförd åtgärd.
För att uppnå den insikten hos personalen behöver en rad åtgärder genomföras. Delge hela personalen innehållet i den senaste hotbilds- och riskanalysen och gå därefter igenom informationsklassningen på företagets immateriella tillgångar. Det görs bäst i föredragsform med möjlighet till fördjupning och frågor. Samtliga i personalen måste förstå värdet i företagets informationsmängder och konsekvensen vid förlust.
Ledningens roll vid sådana genomgångar är vital. Att vd och högsta ledningen är delaktig skickar många viktiga signaler. Chefer och säkerhetsansvariga måste vara goda förebilder i vardagen.
Därefter bör alla få grundläggande utbildning i informationssäkerhet och kunskaper om hur angripare gör för att komma över och knäcka/gissa dåligt konstruerade lösenord.
Dessutom behövs kunskapen om hur ett bra lösenord ska vara konstruerat och hur man bör skydda sitt lösenord mot obehöriga. Samtliga utom kontoinnehavaren är att anse som obehöriga. Gruppkonton ska givetvis inte förekomma.
En annan ofta förbisedd åtgärd från systemadministratörens sida är att se till att Lanman-hashen är spärrad på Windowssystem. En Lanman-hash är ett sätt att autentisera datorn som kommunicerar med servern.
Om den inte är spärrad får personalens förbättrade beteende och korrekt konstruerade lösenord inte någon effekt på säkerheten. På alla system jag sett var det bara på två ställen som kunden spärrat Lanman-hashen på sina Windowssystem.
För att få personalen att förstå och alltid konstruera lösenord av bra kvalitet bör en incidentorganisation skapas. Incidentorganisationen ska helst en gång per månad rapportera samtliga incidenter och kostnaden för dessa till all personal.
Tekniska stöd, uppföljning av hur användarna skapar sina lösenord och eventuella påföljder vid underlåtenhet att följa regler är också nödvändigt.
OBS! Denna artikel är mer än tio dygn gammal och är därför stängd för vidare debatt.