Vad får man ut av säkerhet?

Om vi bortser från det elementära; "säkerhet mot attacker", vad har säkerhetsarbetet för fördelar utöver sitt primära mål?

Säkerhetsarbete
Jag har en väldigt liberal syn på vad som kan anses vara positivt säkerhetsmässigt. Grunden är enkel, det handlar om att ha (1) kontroll över sin miljö. Därefter blir det mer komplicerat, man måste (2) ta hänsyn till vad man skyddar mot vad och hur man ska göra det.

Fördelar
Både den grundläggande (1) kontrollen och (2) skyddet av specifika tillgångar resulterar i eftersträvansvärda sidoeffekter. Ett exempel på det senare kan väl vara en prenumeration på UTM-funktioner från sin brandväggsleverantör. Rimligen leder detta till att störande virusutbrott blir ovanligare vilket i sin tur innebär mer tid för business... anledningen till att verksamheten finns.

Men, jag skulle hävda att det tidigare, god kontroll över sin miljö, ger de verkligt stora fördelarna. Tyvärr är fördelarna svåra att mäta eller att ens påvisa. Det är synd. Det är lite samma problem som Anders Borg skulle få om någon frågade vad det egentligen är som är så bra med något så flytande som "ordning på de statliga finanserna".

Flytande påståenden kan dock mötas med flytande svar. Till exempel, när man har kontroll och ordning:
  • är det enklare att hitta roten till ett problem.
  • har man större möjligheter att märka när det börjar barka åt helsicke.
  • är det lättare att genomföra förändringar då man vet vad som påverkas.
  • kan man sätta ny personal i arbete snabbare.
  • är det lättare att redovisa sin verksamhet.
  • blir det lättare att (om)prioritera.
  • ger man ett seriöst och professionellt intryck.
  • är det lättare att ge prognoser om framtida behov.
And so on and so on, det finns hur många som helst. Det är som sagt svårt att bevisa dem och ännu svårare att visa hur mycket eller lite de påverkar. Fördelarna är samtidigt svåra att förneka. Allt ditt dagliga arbete blir enklare om du har kontroll och ordning, oavsett om du sysslar med nationalekonomi eller en (möjligen nationell) IT-miljö.

Vilka fördelar som kontroll ger rent säkerhetsmässigt har varit ett återkommande tema här, representerade som bland annat disciplin och knarkarkvartar.

Jag brukar beskriva säkerhetsmässig kontroll som att det främjar en robust eller stabil verksamhet.

Tidningen Aktuell Säkerhet (som tyvärr är lite väl fixerad vid hur det går för leverantörer ekonomiskt snarare än hur deras produkter fungerar) pratar om "säkra affärer". Även om det är en ordlek så har det mer eller mindre samma innebörd.

--

Stefan Pettersson

2011-02-08 @ 09:21:36 Säkerhet Permalink

Kommentarer
Postat av: Martin da Fonseca

Men ifrågasätts verkligen de positiva effetkerna av ordning och reda?

Visserligen är det svårt att få folk att skriva vettiga arbetsrutiner och dokumentera konfigurationer så att tredje part kan förstå dom. Men ingen ansvarig har väl knappast ståndpunkten att kontroll över verksamheten / miljön är något dåligt?

2011-02-15 @ 11:05:40
Postat av: Stefan Pettersson

Nej, det kan jag inte tänka mig att någon skulle ifrågasätta. Däremot är det allmänt underskattat. Hur många skulle t ex ens överväga att se över dokumentation, komplettera inventeringar och testa rutiner istället för att starta ett klientplattformsäkerhets-projekt där hårddiskkryptering, remote-access och antivirus ska bytas ut?

2011-02-15 @ 12:55:28
URL: http://highperformance.blogg.se/

Kommentera inlägget här:

Namn:
Kom ihåg mig?

E-postadress: (publiceras ej)

URL/Bloggadress:

Kommentar:

Trackback

HPS säkerhetsblogg


High Performance Systems logo


Kategorier
Arkiv
RSS 2.0