Följande artikel tar upp en frågeställning jag länge menat är central:
"But there is one characteristic of information security that is not always true. Yin and Yang are always balanced, but information security is sometimes out of balance.
What causes these forces to become out of balance? For starters, new threats can emerge and evolve so quickly that mitigation solutions are not available timely enough. Sometimes companies balk at spending money on new solutions, or they simply don’t have the expertise or understanding to deploy, manage, or monitor barriers to cybercrime."
Från: The yin and yang of cybersecurity
Howard, Perimeter E-Security, har rätt i vad han ser. Problematiken han pekar på menar jag dock bäst bör generaliseras. Vad det kommer ner till är att kostnaden för att införa försvarslösningar inklusive mjukvara, hårdvara, ledningssystem, utbildning och personal ofta är mycket högre än kostnaden för angrepp.
Förutom att det kan innebära att säkerhetsnivån blir otillräcklig innebär det även att angrepp eller hot om angrepp kan bli fallet endast för att öka kostnaden i försvarslösning där mest extremt just den utgiften skulle vara målet (därmed inte sagt att det är troligt men det illustrerar principen).
Enkla kostnadseffektiva lösningar krävs
En av de viktigaste orsakerna till att vi har detta problem är att säkerhetsindustrin så länge jag haft erfarenhet av den (från 1995 icke kommersiellt eller från 1999 inklusive arbete och konsultverksamhet) är att lösningar och standarder tenderar att bli mer komplexa än nödvändigt. Det gör införande mycket dyrare än nödvändigt. Vad som är viktigt är att säkerhetslösningar löser problemet på ett sätt som är enkelt och kostnadseffektivt.
Det är egentligen först nu under 2009 jag tycker att vi äntligen börjar se en positiv trend i detta område. Ett exempel på det är stora leverantörer som i "cloud computing" kommit med lösning som allt från privatpersoner, små företag till stora organisationer kan använda.
Den typen av lösningen reducerar kostnaden genom att väldigt många entiteter kan dela på kostnaden. I praktiken blir normalt säkerhetsnivån också högre därför att leverantören i dessa fall bättre kan finansiera sin verksamhet, få tag i rätt kompetens, utveckla enkla och effektiva lösningar och bibehålla beredskap för snabba förändringar.
Enkelhet realiserad för ökad kundnytta
Ett av de säkerhetsområden inom IT-säkerhet som åtminstone borde vara mest trivialt är virus och allt besläktat kring fientlig kod. Detta därför att principen bakom problematiken och hur säkerhetslösningar införs är mycket enkel.
Så har det inte varit och orsaken är att det praktiskt blir komplicerat för enskilda företag att hantera bra. Vad som ställer till problem är att införa lösningar där man utan stora ingrepp och kostnader fångar alla kanaler där problematiken kan komma. Vidare att se till att nya problem (om än enligt ett fåtal principer) fångas upp genom att leverantören hunnit hantera dem och att kunderna uppdaterat sig.
Centrala lösningar är här oerhört tilltalande genom att de just kan optimera det som blir problematiskt för mindre leverantörer och kunder (eller för den delen även mycket stora kunder): Snabb uppdatering för att hantera nya problem och enkla lösningar för att föra ut detta till kunderna. Ökade samlade resurser ökar också möjligheterna att införa anpassningar för att hantera fler typer av applikationer och kommunikationskanaler.
Bra exempel "rätt" tänk har vi t.ex. hos Symantec och Google:
Dagens citat: Åsa Edner (Symantec)
(Jag har emellertid inte använt Symantecs lösningar inom antivirus men Edners tankar upplever jag som riktiga.)
Show Me the Malware! (Google Online Security blog med länkar och information.)
Google demonstrerar viktig säkerhetsstrategi (8/09/2009)
Det är emellertid fler aktörer som nu går den här vägen. Utvecklingen är nödvändigt både för att ge kunderna vad de behöver och för leverantörerna därför att utan denna typ av lösningar är de snart marginaliserade.
Relaterat på SEOTaktik
Jag använde själv kinesisk filosofi som liknelse av försvarsfilosofiska principer tidigare i år:
Det är på flera sätt passande och bl.a. därför att det finns mycket bra att lära från de kinesiska filosofiska skolorna.
Fler relaterade inlägg om IT- och informationssäkerhet:
Kinesiska hackerskolor breder ut sig (8/04/2009)
Kritiska globala utmaningar inom internetsäkerhet (7/30/2009)
10 000 krigare rekryteras med US Cyber Challenge (7/30/2009)
Foto:
Kommentera