Informationssäkerhet är inte bara en fråga om att låsa fast filer och blockera tillgången till dem. Man vill också ha koll på vem som har gjort vad med informationen och när. Informationen är till för att användas och det innebär att användarna måste ha rätt att komma åt den. Alla behöver dock inte komma åt all information.
Det finns också en mängd lagar som förväntar sig en god spårbarhet, till exempel Personuppgiftslagen och Tryckfrihetsförordningen. Däremot ges endast vag vägledning i frågan om vad som ska loggas, loggens syfte och vilka kraven på analys är. Interna regelverk hos organisationer, speciellt myndigheter, är därför bra på att beskriva att information ska loggas men ger en sämre vägledning om vad och varför. Det skapar en miljö där varje systemägare själv tolkar vad som är en säkerhetsrelaterad händelse eller åtkomst.
Så lite manuellt som möjligt
Med en modern logghantering sker insamling och analys i snar realtid, där analysen är regelbaserad och automatiserad. Syftet är att ta bort så mycket manuell analys som möjligt.
– Det innebär att organisationen för första gången har en möjlighet att förhindra eller minimera fortsatt informationsläckage eller förlust. Fel eller missbruk kan upptäckas i realtid, vilket innebär ett större skydd för informationen, säger Roger Lindblom på Ekelöw Infosecurity.
Det finns två huvudinriktningar när det gäller spårbarhet. Den ena är just den säkerhetsrelaterade spårbarheten. Den andra är spårbarhet ur verksamhetssynpunkt, vilket bland annat handlar om att spåra användares åtgärder i ett arbetsflöde där fokus ligger på vem som för tillfället har ett ärende eller har varit inne och ändrat i det.
– Den sortens loggning kan till exempel vara av stor vikt för dokument av juridisk eller ekonomisk betydelse, säger Anders Skaar på Ekelöw Infosecurity.
Chefen vågar inte besluta
Det gäller att vara sparsam med vad som loggas och varför. Ett vanligt problem är att få chefer vågar ta ett aktivt beslut att inte logga vissa attribut eller händelser.
– Genom att logga ”allt” tar chefen inte på sig något ansvar för en ofullständig loggning. Konsekvensen blir som regel prestandaproblem, vilket till slut leder till att personal ur driften tvingas stänga av hela loggfunktionen, säger Roger Lindblom.
Linus Svensson på Symantec menar att det oftast finns förutsättningar för att skapa en bra spårbarhet, men att det åter igen hänger på att systemet disciplinerar användarna.
– Så länge informationen finns i strukturerade datakällor är det väldigt enkelt. Med dokument i databaser är det inget problem, information om vilken användare som har varit inne i vilken post och när kan utan problem tillhandahållas av databasmotorn. Problemet är att folk inte håller sig till strukturerade datakällor och den stora boven i dramat är e-post.
Fler och fler affärstransaktioner sköts den vägen och e-postmeddelanden har vid flera tillfällen dykt upp som dokument vid tvister och rättsfall. Att skapa en tillförlitlig spårbarhet i e-posttrafik blir därför allt viktigare.
| |
Övervakning med larm
Företag vill inte bara hålla koll på vad som har hänt, utan också vad som händer i realtid.
– Ett bra övervakningssystem kan till exempel detektera om någon försökt skicka ett hemligt dokument som bifogad fil via e-post. Även om mejlet stoppas vill man veta vem som har försökt skicka det och varför. Därför går en varning till en övervakarfunktion, som kan reda ut vad som har hänt, om det handlar om illvilja, okunnighet om reglerna eller bara ett misstag, säger Roger Lindblom på Ekelöw Infosecurity.
Övervakning är en roll som bör tas på största allvar, menar han. Det bör vara tydligt i policy och företagets arbetsprocesser vem det är som sköter den.
– Vi brukar rekommendera att det är ett jobb som sköts av någon annan än it-avdelningen, säger Roger Lindblom.
Måste kommunicera
Linus Svensson på Symantec menar att det finns en risk för kulturkrockar här.
– Hur man övervakar och hanterar change management och liknande är förhållandevis nytt och ansvarsfördelningen är inte alltid klargjord. Auditing-funktionen på större företag ska inte behöva prata teknik, samtidigt som det är teknikerna som ska säkerställa att informationen är korrekt. Det är därför viktigt att ha en bra kommunikation dem emellan.
Enligt Roger Lindblom på Ekelöw Infosecurity hanteras loggning i allt för stor omfattning ur ett tekniskt perspektiv. Nästan allt fokus ligger på att skapa loggdata, inte på dess analys.
– Eftersom det ofta saknas ett genomtänkt syfte bakom logghanteringen finns det heller ingen koppling till verksamhetsmål. Loggning sker för att loggning ska ske utan att man ställer frågan varför. Gör man det tvingar man fram ett syfte och kan härleda vilka attribut som ska loggas och vilka it-system som ska omfattas.
