Cisco-veiledning for problemløsning Få mest mulig ut av IT ti gode tips om forretningssikkerhet 31997_Cisco_SMB Problem Solver_v2.indd 1 5/27/2009 10:45:04 AM
Som forretningsdrivende kommer du ikke utenom sikkerhet. Du bør tenke sikkerhet både når det gjelder informasjon, fysiske lokaler og kundedata, selv om dette ikke er en del av virksomhetens hovedbeskjeftigelse. Problemet er at det finnes så mye informasjon, men slett ikke all informasjon er like nyttig. Det dukker stadig opp spørsmål som det må tas stilling til, selv om man ikke er IT-ekspert, for eksempel dette: Jeg får beskjed om at jeg trenger en brannmur, men Windows har da en integrert brannmur. Trenger jeg virkelig dette? I denne veiledningen skal vi se nærmere på en rekke av problemene du må forholde deg til, og vi begynner med å gi deg litt nyttig informasjon. Vi ser også på driftsmessige problemstillinger, ikke bare de rent tekniske, som oppstår når forretningssikkerhet tas på alvor. 31997_Cisco_SMB Problem Solver_v2.indd 2 5/27/2009 10:45:05 AM
1. Antivirus: En antiviruspakke er vel og bra, men ikke alle gir deg ønsket grad av beskyttelse. Som du kanskje vet, fungerer antiviruspakken ved at informasjon i en database angir hva som kan utgjøre en trussel på et gitt tidspunkt (det er derfor viktig å holde antivirusabonnementet oppdatert). Dette betyr imidlertid at hvis et bestemt virus ikke er kjent av antivirussystemet, er du ikke beskyttet. Dette er årsaken til at Cisco anbefaler et system som forebygger inntrenging (ISP), i tillegg til et antivirussystem. Til forskjell fra et antivirussystem går IPS-systemet gjennom mengder av informasjon på jakt etter skadelig innhold og ser dessuten etter uvanlig aktivitet i programvaren på datamaskinen. I et slikt system letes det ikke bare etter kjente virus, men hvis en kode begynner å oppføre seg merkelig, for eksempel sletter andre filer eller går gjennom kundedatabasen, settes det også en stopper for dette. Sikkerhetseksperter kaller dette "zero day-angrep", noe som betyr at et sikkerhetsproblem eller -hull utnyttes i et program eller system før det er kjent for produsenten. Vi kan stoppe dette ved å være på vakt overfor uvanlig aktivitet og ikke bare kjent kode. 2. Brannmur: Det er ikke nok å ha en brannmur og tro at resten går av seg selv. Noen brannmurer er innebygd i operativsystemet, andre befinner seg på separate maskiner i nettverket. Noe av det som er viktigst å ha klart for seg, er hva brannmuren kan fange opp. Mange brannmurer søker etter det de oppfatter som et angrep på nettverket, noe som selvsagt er viktig. Cisco tilbyr også beskyttelse på programnivå. Dette betyr at det blir oppdaget hvis det ser ut som en del av en kode kan få et program til å oppføre seg merkelig. Det er viktig at brannmuren ikke befinner seg på datamaskinen din, men på en annen datamaskin, ruter eller enhet som fungerer som en gateway i nettverket ditt. Hvis dette er den eneste gatewayen som trafikken går gjennom for å komme inn i datasystemet ditt, bør det implementeres en form for beskyttelse på datamaskinen. Cisco kan tilby en rekke sikkerhetsnivåer. Ti gode tips IPS-systemer har forskjellige nivåer og er enten vertsbaserte eller nettverksbaserte. Et nettverksbasert IPS-system er plassert ved nettverkets inngangspunkt. Et vertsbasert IPS-system er plassert på den bærbare datamaskinen din og ikke i nettverket, så du er fortsatt beskyttet når du kobler deg til et annet nettverk ute i felten. 31997_Cisco_SMB Problem Solver_v2.indd 3 5/27/2009 10:45:07 AM
3. Ansatte: Før vi fordyper oss i teknologien, skal vi se nærmere på hvor stor andel av risikoen en virksomhet er utsatt for, som ikke er av teknisk art. Her er noen områder der data kan gå tapt eller bli utsatt for risiko: Det innføres strenge regler om hvem som har tilgang til hvilken informasjon som er lagret elektronisk, men de samme forholdsreglene glemmes ved håndtering av utskrifter, som forlegges på tog eller i hotellobbyer... Det lykkes ikke å innprente de ansatte at de må slå av skjermen når de forlater pulten. Besøkende kan og vil lese konfidensiell informasjon på skjermen (du bør også være klar over at skjermsparere bruker unødig mye strøm, og det er fåfengt å tro at de beskytter skjermen mot noe som helst). Beklager å måtte gjenta det til det kjedsommelige, men i og med at det fortsatt skjer, må det understrekes at navnet på hunden, kjæresten eller gateadressen din ikke er sikre passord, og det er heller ikke p-a-s-s-o-r-d. Ikke å ha klare retningslinjer for hva som må gjøres for å sikre et nettverk, hvem som skal gjøre det og hvilke sanksjoner som skal tre i kraft når reglene brytes. Du kommer langt med å behandle folk som intelligente voksne og får raskt et bedre samarbeidsklima. Retningslinjene må også si noe om at folk ikke fritt kan laste ned programvare som de vil. Mye er uskyldig, men du må ha kontroll over programvarelisenser og unngå å utsette deg for skadelig programvare. 4. Utstyr: Utstyr som kommer inn og ut av en bygning: Hvis du var ansatt i Forsvarsdepartementet, måtte du antakeligvis ha lagt igjen mobiltelefon eller ipoden i sikkerhetskontrollen, og du ville ikke ha fått dem tilbake før du hadde gått for dagen. Dette skyldes ikke at man tror at folk bruker tiden sin på dette, men fordi telefoner, kameraer og tilsvarende utstyr kan inneholde data. En iphone 3G (valgt kun fordi det er en bestselger) kan ha plass til opptil 16 Gigabyte med data. Apparatene kan kobles til en USB-port på en datamaskin, og det er fullt mulig å forlate arbeidsplassen med hele kundelisten overført til et medium. Det kan også tenkes at noen tar med seg et virus som kan overføres til systemet ditt. Kanskje ønsker du ikke å forby all form for bærbart utstyr med personlige data fra arbeidsplassen, men du kan ta noen forholdsregler: Datamaskiner kan konfigureres slik at de ikke godtar USB-enheter: Intelligent overvåkingsprogramvare, for eksempel den som er forhåndslastet på alle produktene fra Cisco, vil oppdage uvanlig aktivitet i nettverket og rapportere det til deg. Hvis gjester logger seg på nettverket ditt og har med seg utstyr, for eksempel sine egne bærbare datamaskiner, er det viktig at det utføres en viruskontroll som er like omfattende som den som utføres internt. Hvis du velger Cisco, blir slike datamaskiner og annet utstyr automatisk sjekket ved pålogging, og ikke bare med tanke på kjente virus, men også uvanlig aktivitet. 31997_Cisco_SMB Problem Solver_v2.indd 4 5/27/2009 10:45:08 AM
5. Beskyttede data for eksterne medarbeidere og medarbeidere med hjemmekontor: Det er selvsagt ikke noe poeng i å beskytte nettverket internt hvis informasjonen havner på avveie så snart man befinner seg utenfor kontoret. Dette betyr en rekke ting. For det første må du sørge for at alle koblinger fra Internett til nettverket ditt, går gjennom et klarert virtuelt privat nettverk, med alle sikkerhetsfunksjonene som følger med. Dessuten skal det stilles like strenge sikkerhetskrav til de ansattes aktiviteter som ikke gjelder teknologi, som det gjøres når de er på kontoret. Hvis det ikke er tillatt med utskrifter, overføring av filer til USB-pinner osv. på kontoret, må det være klart at de samme reglene gjelder hjemme. Man kan oppnå mye med å installere et nettverk med intelligent svitsjing på kontoret og sikre gatewayen med riktige Cisco-produkter. 6. Trådløse nettverk: Som et underpunkt til det å sikre data for eksterne medarbeidere og medarbeidere med hjemmekontor, bør du se nærmere på oppsettet for trådløst nettverk når du har tilgang til dem, både interne og eksterne. Du bør ikke stole på at et nettverk som angir at det er sikkert når det oppdages av en bærbar PC eller smarttelefon, faktisk er det. Det kan for eksempel tenkes at det bare har WEP-sikkerhet, som er temmelig utdatert nå, og som kan hackes av enhver hacker med litt erfaring. På kontoret har alt nettverksutstyr som leveres av Cisco, integrert sikkerhet som standard, og utstyret kan konfigureres av våre kyndige partnere. Utenfor kontoret bruker kanskje de ansatte sitt eget trådløse utstyr. Det er rimelig å kreve at slikt utstyr sikres med følgende: Hvis utstyret er konfigurert med WEP, må det oppgraderes til noe som har WPA. Standardpassord som fulgte med hjemmeutstyret, må endres. Datamaskinen og nettverksruteren har en identifikator som kalles SSID, og som du finner på oppsettsmenyen for ruteren. Endre denne, og stopp også utsendelse av SSID, slik at andre ikke kan se datamaskinen hvis de leter etter et nettverk de kan hacke. Deaktiver automatisk tilkobling til WiFi-nettverk, slik at brukeren bare kan koble seg til klarerte nettverk. Tilordne enhetene dine en statisk IP-adresse. Hvis ikke tilordner nettverket disse adressene tilfeldig, noe som skaper problemer hvis du ønsker at en bestemt enhet skal utestenges. Ruteren har sannsynligvis en brannmur. Forsikre deg om at den er aktivert ettersom de ofte er deaktivert som standard ved levering. Deaktiver nettverket hvis det ikke skal brukes på en stund. 31997_Cisco_SMB Problem Solver_v2.indd 5 5/27/2009 10:45:12 AM
7. Hacking hvor sannsynlig er det? Så langt har vi diskutert hvordan vi kan unngå å bli hacket, og hvordan vi kan hindre uønsket inntrenging i datanettverket. Men hvor stor er sannsynligheten for at noen skal forsøke å trenge seg inn i systemet ditt? Mange Cisco-kunder er mindre bedrifter, og ikke sjelden får vi spørsmål om hvem som skulle ha interesse av å gjøre slikt? Den gang hacking bare ble foretatt av mennesker, var nok det en riktigere antakelse enn det er i dag. Problemet er at mye av hackingen og inntrengingen er automatisert. Tenk deg at hackeren fungerer som en organisator for en masse tyver, som bryter seg inn i ubevoktede hus for å se om de finner noe av verdi. Husene, som i dette tilfellet er datamaskinene, ser like ut, så den eneste måten å finne ut om det er verdt å robbe dem, er ved å gå inn og se seg om. 8. Forretningsvirksomhet på Internett: Hvis mesteparten av eller hele forretningsvirksomheten foregår på Internett, må du beskytte både aksjeinformasjonen hvis den er konfidensiell, og kundedataene. Alle de tiltakene vi har nevnt tidligere, bidrar til slik beskyttelse, men her får du noen flere. Også denne gangen er tiltakene like mye rettet mot driftsmessige problemstillinger som mot de rent tekniske, for eksempel at man ikke legger igjen ukrypterte CD-er på bussen. (Husk å kryptere CD-ene, så slipper du at uvedkommende får tilgang til data selv om de klarer å knekke passordet). Dette gjøres gjennom automatiserte "bots" på Internett, som utfører det som kalles portskanning. Det som skjer, er at de banker på nettverksdøren din på Internett, og det første de sjekker, er om døren er låst. Det er selvsagt i din interesse å sørge for at den er låst. (Glem heller ikke de fysiske dørene. Cisco tilbyr kameraer som kan kobles til Internett, slik at du kan se hva som skjer på kontoret, enten du er der eller et helt annet sted. Noen av kameraene aktiveres av bevegelse og du varsles så snart noen befinner seg i et område de ikke skal ha tilgang til). 31997_Cisco_SMB Problem Solver_v2.indd 6 5/27/2009 10:45:14 AM
9. Hvilke fordeler kan 10. Outsource du oppnå? sikkerhet: Mange mindre virksomheter ser helst at enhver investering i teknologi betaler seg selv, spesielt når økonomien er stram. Dette er problematisk når det gjelder sikkerhetsrelaterte investeringer, fordi det er vanskelig å måle. Du har sannsynligvis betalt for å få installert låser i hjemmet ditt, men du har neppe beregnet hvor lang tid det tok før denne utgiften betalte seg. Det du vet, er at du vil tape mye hvis det blir innbrudd. Hvis du fortsatt synes det virker uoverkommelig, kan du vurdere å outsource hele sikkerhetsinfrastrukturen. Mange av Ciscos partnere spesialiserer seg på å gjøre små bedrifter sikrere, og ettersom de er eksperter, har de stordriftsfordelene og kompetansen du ikke har tid til å skaffe deg. Ved å ta alle dataene bort fra kontoret ditt og bruke et kvalifisert og pålitelig selskap, økes sikkerheten ytterligere, noe som mange Det er imidlertid noe avkastning på sikkerhetsinvesteringen småbedrifter anser som en fordel. som det er enkelt å snakke om. Hvis du driver et Og som vi sa innledningsvis, alle som opererer i e-handelsområde og for eksempel ikke kan forsikre forretningslivet, kommer ikke utenom sikkerhet. kundene om at dataene deres er trygge, blir du stående Heldigvis koster det ikke skjorta å sikre nettverket, på sidelinjen og må se på at virksomheten svinner og det er mye ekspertise tilgjengelig som kan hjelpe hen. Hvis du har gjester som gjennom å koble seg til deg med å komme i gang. nettverket ditt, smittes av et nytt datavirus på grunn av sikkerhetsoppsettet ditt, kan du se langt etter noe videre samarbeid. Og så videre. Lykke til! Det er viktig å understreke at det grunnleggende utstyret som regel ikke koster en formue. Et lite kontor med en håndfull ansatte kan få en bra trådløs ruter med brannmur og full sikkerhet for under 150 pund. 31997_Cisco_SMB Problem Solver_v2.indd 7 5/27/2009 10:45:17 AM
2009 Cisco Systems, Inc. All rights reserved. Cisco, the Cisco logo, and Cisco Systems are registered trademarks or trademarks of Cisco Systems, Inc. and/or its affliates in the United States and certain other countries. All other trademarks mentioned in this documentor Website are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (0805R) 2009 Cisco Systems, Inc. All rights reserved.cisco, the Cisco logo, and Cisco Systemsare registeredtrademarks or trademarks of Cisco Systems,Inc. and/or its affiliates in the United Statesand certain other countries. All other trademarksmentioned in this document or Website are the property of their respectiveowners. The use of the word partner does not imply a partnership relationship betweencisco and any other company. (0805R) 31997_Cisco_SMB Problem Solver_v2.indd 8 5/27/2009 10:45:18 AM