Fokus på informasjonssikkerhet i oktober | KPMG | NO

Fokus på informasjonssikkerhet i oktober

Fokus på informasjonssikkerhet i oktober

For oss som jobber med IT-sikkerhet, er oktober synonymt med nasjonal sikkerhetsmåned og en god anledning til å sette søkelyset på hvordan kunder og ansatte bør beskytte seg slik at brukernavn, passord og annen sensitiv informasjon ikke kommer på avveie.

1000

Relatert innhold

Thomas Smistad

Som sikkerhetsansvarlig i KPMG får jeg stadig spørsmål både fra kunder, tilsynsorgan og andre nysgjerrige parter som lurer på hvordan vi sikrer sensitiv informasjon i KPMG. Jeg tenkte derfor jeg skulle fortelle litt om hvordan vi jobber med å sikre klientmaskinene våre – det er gjennom klientmaskinene de aller fleste sikkerhetsbrudd blir utført.

Et effektivt grep

I KPMG har vi et veldig bevisst forhold til hvilken programvare som kan kjøres på våre maskiner. Vi mener nemlig at det ikke er mulig å demonstrere at definerte krav overholdes dersom vi ikke har kontroll på hvilken programvare som kjører på maskinene. Som følge av dette valgte vi i 2008 å fjerne brukernes administratorrettigheter på maskinene.

Dette tvinger oss til å ha gode prosesser for håndtering av:

  • Standardisering og lisenshåndtering
  • Forespørsler om ny programvare
  • Testing og kvalitetssikring
  • Distribusjon og versjonshåndtering

En annen positiv bieffekt  er at vi nå har en særdeles homogen plattform som er lett å supportere for vår HelpDesk.

I den senere tid har det dog blitt mer og mer vanlig at skadevare er skrevet spesielt for å angripe maskiner uten administratorrettigheter. Det gjør at kontrollen kan svinne hen og at vi risikerer å finne mye rart på ansattes maskiner. For å adressere dette problemet ser vi nå på å ta i bruk Applocker slik at vi effektivt kan blokkere all programvare som ikke er godkjent av IT-avdelingen. En maskin som er sikret på denne måten vil være særdeles vanskelig å kompromittere og vi kan sove godt selv om den verste høststormen skulle være rett utenfor døren.

Intern bevissthet

KPMG bruker oktober for å gjøre egne ansatte oppmerksomme på potensielle sikkerhetstrusler og hva den enkelte må gjøre for å sikre seg selv og selskapet mot kompromitterende hendelser. Vi har en sterk sikkerhetskultur, men det går ikke an gjenta viktigheten av god passordbruk, konfidensialitet, nettvett og sikring av informasjon og utstyr for mange ganger.

God nasjonal sikkerhetsmåned!

 

Forfatter:
Thomas Smistad, National IT Security Officer, thomas.smistad@kpmg.no

Ta kontakt

 

Forespørsel

 

Send inn