Jag måste erkänn en sak. Jag är inte alls en säkerhetskonsult, jag är en osäkerhetskonsult. Hur menar jag då? Jo så här. Låt oss ta ett scenario där en kund vill ha hjälp:
Kund: Jag vill ha hjälp att få ett säkert nätverk.
Jag: Ok, det är ganska enkelt. Koppla bort alla enheter från nätverket. Stäng av din server. Ställ den i ett bombsäkert skyddsrum och voila, ditt nätverk är säkert.
Kund: Men…
Jag: Aha, du menar att du vill ha hjälp med att hantera din osäkerhet?
Säkerheten är inget problem egentligen. Den är enkel att åtgärda. Men vill du ha tjänster tillgängliga på ditt nätverk måste du öppna små hål av osäkerhet i din säkerhetvägg. Det är där jag kommer in. Jag hjälper dig att hantera din osäkerhet. I min mening är det nästan tjänstefel att låta påskina att man kan få ett säkert nätverk och samtidigt kunna använda tjänster som webb, filserver eller vad det nu kan vara. Vi KAN dock hantera osäkerheten.
För att kunna hjälpa till med denna osäkerhet behöver vi ha en del grundinformation.
Vad är viktigt för dig att skydda? Jag kan nämligen inte hantera all osäkerhet, då är vi tillbaka till den bortkopplade servern.
Vad ser du för hot mot ditt företag? Jag måste veta var jag ska lägga mest resurser för att det inte ska kosta dig mer än nödvändigt.
Vad har du för krav på dig och din verksamhet? Vilka lagar och regelverk, om några, styr din verksamhet. Utan detta kan jag inte hantera din osäkerhet på rätt sätt.
Med hjälp av denna information har jag en bra bas för att kunna skydda din information och du kan i lugn och ro bedriva din verksamhet. Så lyft blicken och hantera din osäkerhet istället för att eftersträva säkerhet.
Patrick Gustavsson, en stolt osäkerhetskonsult