Men i dagens moderna utvecklingssamhälle där all information i alla företag samlas i dess IT-system är det långt ifrån bara militär hemlig information som dagens "spioner" vill komma åt

Idag är det produkt- och företags-information i alla branscher som är "målet" för industrispionage

Och efter hand som företag blir bättre på att skydda sina miljöer från intrångsförsök utifrån ökar istället riskerna med insiders och andra interna hot

Flera exempel på hur sådana attacker kan gå till skrevs nyligen i en artikel på E24.se "Svenska spionjägare" 2010-07-19

Särskilt intressant i den artikeln är att de "spionerande" konkurrenterna idag upplever det svårt att "hacka" sig in hos den de vill komma åt information hos och skaffar sig istället hellre "en man på insidan"

En viktig målgrupp för detta är personal på IT-avdelningen

Fortfarande har många tekniker och service-personer på IT-avdelningen mycket höga rättigheter till de flesta system och känslig företagsinformation som varken övrig personal eller höga chefer kan komma åt normalt.

Därför är det idag mycket viktigt att ta tag i detta problem med behörigheter hos er egen IT-personal

Dessa behörigheter skall följa två mycket viktiga principer:
- Segregation of Duties, SoD
- Least privileged principle (inte mer rättigheter än vad som behövs för att sköta sitt uppdrag)

Grundprincipen för en bra säkerhet är att normalt skall ytterst få personer ha permanenta priviligierade behörigheter till hela eller delar av produktionsmiljön där känslig information finns.

Naturligtvis skall personer få de behörigheter de behöver, när de behöver dem, men inte ha dem hela tiden

Hur bör man då hantera detta:

- Process och verktyg för att ta beslut om ändringar i produktionsmiljön som bygger på SoD och ser till att ingen enskild person kan ta beslut om ändringar i produktionsmiljön. Detta kan vara olika typer av system för "Change Management" eller "Ärendehantering" som bygger på ITIL-principer

- Process och verktyg för "Privileged Access Management", PAM. som baseras på beslut från Change-processen och som tilldelar IT-personal och utvecklare tillfälliga priviligierade rättigheter till de berörda systemen för att genomföra den beslutade ändringen. Dessa behörigheter stängs sedan när ändringen är genomförd eller efter en förutbestämd tid.

- Process och verktyg för säkerhets-loggning. De beslut som tas om ändringar, de rättigheter som delas ut och de ändringar som genomförs i produktionsmiljön skall alla loggas så att man får en spårbarhet på ändringar i produktionsmiljön och kan se när felaktigheter uppstår i processen och man kan spåra när något har gått fel. Detta är inte enbart för att "hänga någon" utan kanske mest för att en mycket stor del av problem på IT-sidan orsakas av fel som görs oavsiktligt vid uppdateringar och ändringar.
Genom spårbarheten kan man snabbt hitta orsaken till problemet och fixa till den och därigenom kraftigt minska påverkan på drift av systemen och verksamheten

Ett typiskt exempel på en tekniker med för höga rättigheter gör att han kan kopiera eller ändra data i en databas eller byta ut ett program/installera ett malware-program och sedan radera information om att detta gjorts i loggfiler eftersom hans "admin-rättigheter" inte är begränsade i omfattning eller tid.

Det ses fortfarande på många företag som en funktion som dels är okänd, dels är något för "IT-nördarna" på driften att grotta sig i och dels något helt obegripligt som man helst håller sig borta från

Ett bra citat om hur viktigt det är med att ta loggning på allvar är uttalat av författaren Anton Chuvakin i boken "Beautiful Security" (ISBN: 978-0-596-52748-8, april 2009) där han skriver:

There are many other mechanisms for accountability in an organization, but logs are the mechanism that pervades IT.
And if your IT is not accountable, neither is your business. Thus, if you tend to not be serious about logs, be aware that you are not serious about accountability.
Is that the message your organization wants to send?

Numera börjar det finnas riktigt kompetenta och avancerade logghanteringsystem som ger ett företag möjlighet att ta hand om och samla in sina loggar, normalisera dom och koppla alla händelser i sina system till individer

Dessa loggsystem ger som utdata en mängd olika nyttoeffekter såsom:
- Spårbarhet i systemen, vem gör vad och när.
- Larm vid brott mot satta policy-regler
- Snabbare felsöknings- och åtgärdstider vid haverier och problem
- Bättre stöd åt heldesken i deras verksamhet
- Uppföljning av status i alla anslutna IT-system på företaget avseende patchar, antivirus, brandväggar, felaktiga konfigureringar, felaktigt uppsatta konton etc etc etc
- Verktyg för att kontrollera och rapportera om "compliance" för t.ex PCI DSS, SOX, BASEL II, ISO 27002/17799 och andra styrande regler för olika företag i olika brancher

Nyttan av ett avancerat logghanteringssystem är stor hos flera delar av ett företag:
- Verksamhetsansvariga
- IT-chef
- IT-driftavdelningen
- Helpdesken
- IT-säkerhetsansvariga
- Internrevisorer
- Externa revisorer
- IT-revisorer

Ett sådant mycket kompetent system för logghantering syftande till spårbarhet är ArcSight.

Det används bl.a i Sverige idag på Skatteverket

En  CIO på ett större företag tar upp denna säkerhetsfråga och svaret visar på att det idag är svårt att hitta bra konsulter inom IAM och att det kan vara rekommenderbart att bryta ur denna funktion för en särskild insats med specialkompetens och inte fullt ut se det som en liten del av det större IT-systemet.

FRÅGA: Jag är CIO på ett företag med några tusen anställda inom en teknik- och informationsintensiv verksamhet. Nu står vi inför en expansion och med de nya kraven behöver ännu bättre kontroll över vem som gör vad och när. Vilka är dina tips?

SVAR: Den vanligaste och oftast mest ekonomiska metoden att hantera användarkonton och behörigheter samt spårbarhet i komplexa it-miljöer kallas identity och access management, iam.
Den metoden ger dessutom andra fördelar som till exempel automatisk hantering av varje kontos livscykel och loggning och den möter även kraven på governance, risk management och compliance, grc.

Den viktigaste förutsättningen för ett lyckat projekt är att ledningsgruppen är aktivt delaktig och har förståelse för sin roll i iam-projektet.

Alla målsystemägare måste samarbeta och vara engagerade.

Ledningsgruppen måste tydligt kommunicera projektets mål och vad som förväntas av organisationen och dess chefer.

Ett vanligt misstag med iam-projekt är att man inte inser vikten av de affärsmässiga och de tekniska kraven innan man upphandlar produkter och tjänster.

På marknaden finns ett fåtal marknadsledande leverantörer av iam-system. Val av det rätta systemet för just dig är mycket viktigt och beroende av verksamhetens typ och mål.

Ledningsgruppens delaktighet i valet och genomförandet är viktig.

Trots att det råder brist på iam-kompetens finns det få konsultbolag som rent tekniskt kan implementera iam-system.

Ytterst få har kompetensen att genomföra en förstudie, en analys av både de affärsmässiga och de tekniska kraven.

Det är också väldigt få konsultbolag som kan ge stöd med beställarkompetens vid upphandling av rätt system och som kan kravställa upphandlingen av de tekniska konsulter som ska implementera systemet i verksamheten.

Det är också viktigt att i början av ett iam-projekt vara opartisk och leverantörsoberoende och att endast se till kundens verksamhet, mål och nytta.

Vi har sett många exempel på misslyckade iam-projekt där kunden hoppat över den viktiga förstudien och upphandlat system och tekniska konsulter direkt.

Det är ofta mycket kostsamt att hoppa över förstudien, förankringen i verksamheten samt de affärsmässiga och tekniska kraven.

Det är inte heller ovanligt att man köpt fel system till fel verksamhet.

Av erfarenhet brukar vi fokusera mest på förstudien och arbetet fram till upphandling av tekniska konsulter och system.

Läs mer om detta på http://blogs.kuppingercole.com/kuppinger/

En länksamling i ämnet GRC finns på http://www.thegrcdirectory.com/

Mer info om GRC kan läsas på Wikipedia