Bør bedrifter stenge tilgangen til enkelte nettsider slik som for eksempel Facebook og LinkedIn? Dette er hva sikkerhetssjef Jarl Storm Landaasen i Telenor mener om saken.
Jeg får med ujevne mellomrom spørsmål om jeg kan sørge for at tilgangen til enkelte nettsider blir stengt. "Steng slik at mine ansatte ikke kan bruke Facebook!" "Steng ned LinkedIn, det kan umulig være sikkert. Forresten kan du stenge tilgangen til Myspace også."
Jeg tror ikke på å stenge ned ting som er en naturlig del av kommunikasjonsmønsteret i samfunnet vårt, selv om nettsamfunn er en tidstyv. Det er et lederansvar at ansatte bruker tiden riktig for bedriften. Sett med security-øyne handler det om å gi de ansatte gode kjøreregler for hva de kan og ikke kan gjøre i det offentlige rom.
Facebook og LinkedIn og alle de andre nettsamfunnene er en del av det offentlige rom, og alt vi sier og gjør der, det blir der. Det vi sier der kan kopieres og misbrukes av personer vi ikke aner hvem er.
Det er når bedriftens interne informasjon kommer ut av kontroll eller misbrukes at vi plutselig har en security-sak. Derfor er security awareness, eller på norsk «kunnskap om hvordan man skal beskytte sin virksomhets informasjon og verdier», det viktigste aspektet ved bruk av nettsamfunn.Husk at bedriftens samlede informasjon på et nettsamfunn kan si mye mer om bedriften enn det som er ønskelig.
Men hva med nettsamfunn og IT-security? Jeg har diskutert dette med mange. Min konklusjon er at websider i nettsamfunn er like farlige eller ufarlige som enhver annen webside. Det er en webside som vises i din nettleser. Faren er at mye av innholdet i sosiale nettverk er brukerskapt, og at veldig mange har mulighet til å legge inn linker til sider
som kan gjøre skade. Når det er sagt så har en rekke helt ufarlige nettsider også vært spredere av uønsket programvare på Internett. Igjen: Bruk hodet, og sørg for at enkeltbrukere ikke har ansvar for å oppdatere og sikre jobb-pc-en.
Og hvis du skulle være i tvil: Nettsamfunn blir misbrukt. Mennesker og organisasjoner som er ute etter penger, kontakter, makt og informasjon misbruker nettsamfunn som det er hensiktsmessig å infiltrere. Derfor: Når du lager en profil om deg selv, må du aldri legge ut informasjon du ikke eier selv, det vil si informasjon som kan skade bedriften eller andre. Dette er viktig!
Utfordringen med sosiale nettverk på nett er at du ikke aner hvem "vennene" til "vennene" dine er. Du tror du vet, men du kan ikke vite, og derfor blir social engineering (manipulering/svindel/lureri om du vil) noe du er nødt til å ha et forhold til. Er din nye venn på nett virkelig en som jobber med samme fagfelt som deg, eller er hun en person som er på jakt etter all informasjon om selskapet du jobber for?
Nei, jeg har ikke sett for mye på CSI eller 24. Det finnes faktisk organisasjoner og firmaer som spesialiserer seg på social engineering via nettsamfunn. De som driver denne type aktivitet jakter på informasjon som enten kan brukes til lovlig virksomhet (som headhunting), selges til andre – eller brukes til å skade bedrifter eller organisasjoner. Det burde ikke overraske noen, slik aktivitet har foregått i all tid. Men det er jo mye mindre risikofylt å sitte foran en pc og skaffe seg informasjon enn det er å begå et innbrudd eller lure seg inn en åpen dør i en bedrift.
Det handler altså om å være på nett, men ikke gå rett i garnet. Forresten, jeg har en profil i et nettverk selv.
Bare for å minne om mitt ståsted så er altså Sikkerhet er to forskjellige ting: Safety står for HMS/beskyttelse av person, Security står for beskyttelse av virksomheten. Jeg forholder meg til security i mitt daglige arbeid.
Kilde: Trigger nr. 1 - 2009, tekst: Jarl Storm Landaasen, sikkerhetssjef i Telenor.
Tips en venn om denne saken.
Norton Internet Security 2009 hanker inn den ene topplasseringen etter den andre i tester og kåringer verden over.
Alle dine tastetrykk på tastaturet kan spores av hackere. Sikre deg med enkle grep.
