<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-W3GDQPF" height="0" width="0" style="display:none;visibility:hidden">

IT-systemer og sikkerhet

    Publisert 16. des. 2016 kl. 14.39
    Oppdatert 16. des. 2016 klokken 14.42
    Lesetid: 3 minutter
    Artikkellengde er 716 ord

    1. IT-systemer (data-systemer)IT-systemer er nærmere omtalt under oppslaget IT-tjenester og –systemer, som du finner her.I nærværende dokument skal vi nøye oss med en advarsel:Anskaff aldri helt nyutviklet program- eller maskinvare (hvis da ikke ikke selskapets forretningsidé nettopp er å utvikle, produsere, selge eller ta i bruk det aller siste innen IT-systemer.Det betyr at du ikke må lytte til selskapets data-nerder når de veltalende fremhever de fantastiske gevinster selskapet vil ha av å ta i bruk det aller, aller siste innen datamaskin- og programvare.(Du finner ikke disse data-nerdene blant selskapets IT-ansvarlige. De vet nemlig bedre!! Nei, du finner dem blant dataentusiastene som leser og hører om alle de nye og enda mer avanserte programvareversjonene eller maskinene, og bare må ha dem; helst privat, men i det minste på jobben.)Ta altså aldri i bruk i helt ny programvare. Du har som regel ikke bruk for den, og det å skifte dataprogram er alltid problematisk for selskapet og dets ansatte.Dessuten er det nesten alltid bugs (feil) i ny programvare. Det kjenner ikke selgerne til, eller de vil ikke fortelle om de ”ubetydelige” feilene. Gi programvaren tid til å ”sette seg”, og studer etter en tid anmeldelsene på internett. Før anskaffelse.En variant av samme råd: Benytt om mulig hylleprogramvare som er utviklet for et mye større marked enn ditt firma. Og nekt å være prøveklut for ny programvare. Selv om du får betydelige rabatter som prøveklut eller β-kunde, så kan jeg garantere at det vil bli en dyrekjøpt erfaring. 2. IT-sikkerhetIT-sikkerhet (Data-sikkerhet) er tradisjonelt knyttet til begrepene Konfidensialitet, Integritet og Tilgjengelighet. (På engelsk snakker man ofte om CIA-trekanten: Confidentiality, Integrity og Availibility.)

    Konfidensialitet:     Å sikre at informasjonen bare er tilgjengelig for de som skal ha adgang til informasjonen.Sikkerhetsystemene må hindre at uvedkommende kan ”bryte seg inn” i datamaskinen din og få adgang til filene der, og hindre at uvedkommende får adgang til kredittkortet eller informasjon om deg når du foretar et kjøp på internett.
     Integritet:  Å sikre at informasjonen er korrekt og fullstendig.I dette ligger at informasjoner på/fra datamaskinene ikke må kunne endres av uvedkommende, hverken når de sendes over nett, eller ligger på datamaskinene.
     Tilgjengelighet:Å sikre at informasjonen er tilgjengelig når det er behov for den.Med dette menes at systemene - inkludert sikkerhetssystemene - må funksjonere korrekt, slik at de som skal kunne ha adgang til filene og dataene, virkelig får tak i dem når de vil.
    Utviklingen har gjort at man i dag ofte benytter flere og mer presise begreper enn ovenstående tre. F.eks. har OECD innført 9 generelt aksepterte it-sikkerhetsprinsipper (Awareness, Responsibility, Response, Ethics, Democracy, Risk Assessment, Security Design and Implementation, Security Management, og Reassessment.) Og basert på disse har amerikanske NIST (National Institute of Standards and Technology) foreslått ytterligere oppdeling på ikke mindre enn 33 prinsipper.          Et problem som alle som driver med data har støtt på, er datavirus (eller bare virus). Det er en type program som kan reprodusere seg selv og spre seg på disketter og harddisker og i dokumenter, og som dermed kan true IT-systemene på fundamentalt vis, dvs. true systemenes Konfidensialitet, Integritet og Tilgjengelighet.Datavirus kan være relativt harmløse, og ikke ha annen funksjon enn spredning. Men de kan også være svært destruktive ved å slette data på harddisken. De kan også være tidsbomber som detoneres på et gitt tidspunkt, eller logiske bomber som detonerer under en gitt forutsetning eller handling.En variant av datavirus er ormer, som dataskurkene benytter for å avlytte brukeres passord og for å skaffe kontroll og ta over maskinen. Ofte spres de gjennom e-post, og sender seg selv videre til alle på adresselista i e-postprogrammet.En annen variant er trojanske hester. Dette er uønsket programvare som gir seg ut for noe annet, f.eks. et produkt som folk gjerne vil ha. Trojanske hester kan også ha funksjoner som gir brukeren inntrykk av at programvaren som er lastet ned er reell, slik at den skjulte programvaren kan operere fritt. Enkelte trojanske hester inneholder spionprogramvare som tillater utenforstående å se filene på datamaskinen din, og de kan i tillegg inneholde klassiske datavirus som starter å spre seg etter nedlasting.Det er naturligvis maktpåliggende at bedriften disponerer over antivirusprogrammer, sikkerhetsrutiner, risikoanalyser og opplæringsopplegg som ivaretar sikkerhetsmomentene beskrevet ovenfor, samt har tilgjengelig intern eller ekstern kompetanse og kapasitet til å holde det hele ved like. Jfr. oppslaget IT-tjenester og –systemer nevnt innledningsvis. Se også IT-tjenester og -systemer Dokumentet er levert av:  Jon E. Glømmenjon.gloemmen@normentor.no