IT-Säkerhet för ditt företag

Datorsäkerhet har blivit ett mer uppmärksammat problem under senare tid, mycket beroende på Internets framväxt som ett naturligt hjälpmedel i många organisationers verksamhet. Det är dock inte bara organisationer vars nätverk är anslutna Internet som bör fundera på sin säkerhet, eftersom det är illa planerad lagring av information som i de flesta fall utgör svagheten i sekretessen, inte själva nätverket. Det finns också en rad andra skäl till varför företag och organisationer måste se till att hålla sin IT-säkerhet på en nivå som passar den enskilda organisationens behov, både med tanke på hur eftertraktad information organisationen har, och ur en ekonomisk synvinkel.

Denna bok tar upp säkerhet i ett större perspektiv och diskuterar säkerhet i datorer, nätverk, lokaler samt hur säkerheten kan stärkas genom utbildning och gott säkerhetsmedvetande. Boken vänder sig i första hand till organisationers IT-säkerhetsansvariga som redan har en del kunskaper inom området.

Ur innehållet:

• Organisation och uppbyggnad av säkerhet
• Riskanalys
• Säkerhetsmedvetande
• Säkerhet i lokala nätverk
• Internetsäkerhet
• Fysisk säkerhet
• Hur man köper en säkerhetskonsult

• Vad är säkerhet?
• Vad är säkerhet?
• Från ADB till IT
• Stordatorer
• Arbetsstationer
• PC-revolutionen
• Nätverksuppkoppling för PC
• Idag
• Nätverksdjungeln
• Vilka nätverkstyper ska man undvika?
• Programvarudjungeln
• Vilka hot vill man skydda mot?
• Hackers och crackers
• Industrispionage
• Virus
• Olyckor
• Vad är säkerhet?
• Säkerhetsstrategi
• Säkerhetsstrategi
• Riskhanteringsprocessen
• [1] Utför en riskanalys
• [2] Skapa en säkerhetspolicy
• [3] Implementera säkerhetsnivån
• [4] Utbilda
• [5] Drift och underhåll
• Upprepa
• Hur bör säkerhetsstrategin framställas?
• Säkerhetspolicy
• Säkerhetspolicy
• Det ekonomiska perspektivet
• Syftet med policyn
• Sekretess för säkerhetspolicyn
• Exempel på säkerhetspolicies
• Säkerhetspolicyns innehåll
• Säkerhetspolicyn är individuell
• Indelning
• Policydelen
• [1] Målsättning
• [2] Avgränsning
• [3] Organisation
• [4] Prioritet
• [5] Kvalitet
• [6] Sekretess
• [7] Anmälningsansvar
• [8] Etiska mål för säkerheten
• [9] Utbildning
• [10] Systemkrav
• [11] Krav på inköpta tjänster
• [12] Uppdatering
• [13] Kontroll av systemets integritet
• [14] Påföljder vid regelbrott
• [15] Dokument som ingår i policyn
• [16] Regler för spridning
• Bilagor till policydel
• [1] Säkerhetsklassning av information
• [2] Säkerhetsklassning av hårdvara
• [3] Mjukvara i systemet
• [4] Hårdvara i systemet
• [5] Kontaktpersoner och ansvarstagare
• [6] Katastrofplaner
• [7] Riktlinjer för anställda
• [8] Avtal
• Hållpunkter
• Förhållandet till säkerhetsstrategin
• Stöd från ledningen
• Policyn måste vara rimlig
• Bygg för framtiden
• Nödvändiga dokument
• Regler för spridning
• Checklista
• Revision och uppdatering
• När ska uppdatering ske?
• Vad bör uppdateras?
• Dokumentation av resurser
• Övrig dokumentation
• Sammanfattning
• Säkerhetsorganisation
• Säkerhetsorganisation
• Säkerhetsorganisationens uppbyggnad
• Att få en fungerande säkerhetsorganisation
• Daglig ledning och drift
• Identifiera problemen i en ofunktionell säkerhetsorganisation
• Säkerhetsorganisationens uppgifter
• Säkerhetsklassning
• Skapa och uppdatera katastrofplaner
• Uppdatering av säkerhetspolicy
• Vidareutveckling av säkerheten
• Beslut om utbildning
• Utbildning
• Varför är utbildning så viktigt?
• Vad bör utbildningen täcka?
• Säkerhetsmedvetande
• Standardprogram och säkerhet
• Utbildning för systemadministratörer
• Utbilda internt eller externt?
• När krävs utbildning?
• Säkerhetsuppgraderingar
• Nyanställning
• Kontinuerlig fortbildning
• Säkerhetsmedvetande
• Säkerhetsmedvetande
• Kassaskåp då och nu
• Att upprätthålla säkerhetsmedvetandet
• Vanan är den största interna risken
• Vad är viktigt att skydda?
• Vem bör ha ett säkerhetsmedvetande?
• Vad ska alla bry sig om?
• Lösenord
• Säkerhetskopiering
• Mina rättigheter i filsystemet
• Organisationens inställning till internetanslutning
• Oviktig information kan vara viktig för andra
• Säkerheten ska vara genomskinlig
• Kännedom om sin egen datormiljö
• Kryptering av egna filer
• Kunskapen om den personliga datormiljön varierar
• Vad är skillanden mellan LAN, Internet och intranät?
• E-post
• FTP
• World Wide Web
• Plug-ins
• Java och ActiveX
• Cookies
• Krypterade förbindelser på www
• Digitala certifikat
• Virus och andra otäckheter
• Nätet kan vara avlyssnat
• Dokumenthantering nätverk
• Paranoia är bra
• Riskfyllda beteenden — indikatorer
• NC:s förenklar administrationen i stora organisationer
• Vad ska man göra om det händer något?
• Länkar
• Juridiska aspekter
• Juridiska aspekter
• Den anställdes integritet
• Datalagen
• Säkerhetsavtal
• Datoranvändare
• Inhyrda resurser
• Övervakning av datorresurser
• Vad får loggas?
• Programvara
• Övervakning av lokalerna
• Hur hanteras ett intrång?
• Att hitta en IT-jurist
• Nätverkssäkerhet
• Vad är ett LAN?
• Säkerhetsproblem i ett lokalt nätverk
• Nätverksdesign
• Datorbaserad kommunikation
• Gemensam dokumenthantering
• Distribuerad datorkraft
• Organisation
• Mål med säkerheten i ett lokalt nätverk
• Hotbilder i ett lokalt nätverk
• [1] Icke auktoriserad tillgång
• [2] Felaktig tillgång till resurser
• [3] Icke auktoriserad modifikation av data eller applikationer
• [4] Avlyssnande av datortrafik
• [5] Störningar av datatrafik
• [6] Funktionsstörningar
• Säkerhetsfunktioner
• Autentisering
• Avancerade protokol för autentisering
• Modemuppkoppling
• Behörighetskontroll
• Sekretesskydd för data och kommunikation
• Integritetsskydd för data och kommunikation
• Integritetsskydd för systemet
• Övervakning och loggning
• Anfall är bästa försvar
• Kunskap är bästa försvar
• Internetsäkerhet
• Internetsäkerhet
• Frågor att ställa sig innan man kopplar upp
• Olika sätt att koppla upp sigf
• Vad är en brandvägg?
• Vad skyddar en brandvägg mot?
• Vad skyddar en brandvägg inte emot?
• Saker att tänka på vid val av brandväggssystem
• Hur fungerar en brandvägg?
• Brandväggar på nätverksnivå
• Brandväggar på applikationsnivå
• Exempel på brandväggar
• CPN, Virtual Private Network
• Exempel på säkerhetshål
• E-post -server
• Webserver
• FTP-server
• Telnetservrar
• Filservrar
• TCP/IP-relaterade säkerhetshål
• Verktyg
• Var hittar man dessa verktyg?
• Logging av information
• Vad bör loggas?
• På vilket sätt bör loggning ske?
• Att analysera loggar
• Sammanfattning
• Fysisk säkerhet
• Fysisk säkerhet
• Vad är fysisk säkerhet?
• Varför fysisk säkerhet?
• Försvåra datorintrång
• Föregrip katastrofen
• Säkerhetsåtgärder
• Diskettstationer
• Filsystemssäkerhet
• Lösenordsskyddade skärmsläckare
• Lås alla lokaler
• Larmanordningar
• Försvåra intrång genom fönster
• Skydda dina säkerhetskopior
• Skydda original och licenser
• Ställ upp tydliga utlåningsregler
• Stöldmärk all utrustning
• Logga allt
• Skärmade kablar
• Övervaka området
• Besökskontroll
• Papperskorgar eller dokumentförstörare?
• Ta hand om organisationens avfall
• Städfirman
• Vad händer med utrangerade datorer?
• Personal som slutar
• Avslöja inget om säkerheten
• Olyckor
• [1] Åsknedslag
• [2] Strömavbrott
• [3] Eldsvåda
• [4] Översvämning
• [5] Katastrofplan
• Vilken säkerhetsnivå är nog?
• Risk analys
• Riskanalys
• Vad är syftet med riskanalysen?
• När ska man göra en riskanalys?
• Ledning och säkerhet
• Riskaanalysgruppen
• Uppdelning i faser
• Prioritetsordning
• Metod för prioritering
• Sammanfattning
• Metoder
• Identifiera utsatta tillgångar
• Informationsresurser
• Fysiska resurser
• Identifiera brister och risker
• Exempel på risker
• [1] Outsourcing och andra inhyrda resurser
• [2] Naturkatastrofer
• [3] Den egna personalen
• [4] Intrång från externa nätverk
• [5] Intrång genom modempool
• [6] Trojanska hästar
• [7] Virus
• Övergripande riskbedömning
• Sannolikhetsbedömning
• Fastställ motåtgärder
• Välj kostnadseffektiva lösningar
• Färdigställ riskanalysrapporten
• Förslag på disposition för riskanalysrapporten
• Sammanfattning
• Att upprätthålla säkerheten
• Hur upptäcker man ett intrång?
• [1] Leta efter oväntade ändringar
• [2] Analysera loggar
• [3] Bevaka det fysiska nätverket
• [4] Lyssna på användare
• Att hantera intrång — före, under, efter
• Förberedelse
• Att meddela berörda
• Hantera intrånget när det sker
• Reparera efter intrånget
• Övriga efterdyningar
• Underhåll av säkerhetspolicy och kunskaper
• Säkerhetspolicyn
• Kunskapen
• FIRST
• Internetresurser
• E-postlistor
• Nyhetsgrupper
• Webbplatser
• FTP-arkiv
• Att köpa en säkerhetskonsult
• Att köpa en säkerhetskonsult?
• Alternativ för stora organisationer
• Råd för alla organisationer
• Välj rätt konsult
• Vad ska du köpa?
• Viktigt att tänka på
• Färdiga checklistor
• Checklistor
• Att tänka på innan projektet börjar
• [Steg 1] Analysfasen
• [Steg 2] Planeringsfasen
• [Steg 3] Utbildningsfasen
• [Steg 4] Implementationsfasen
• [Steg 5] Driftfas
• Sammanfattning

Great ambitions. Doesn't reach them.