Stefan Pettersson bloggar om affärsmässig säkerhet för svenska företag.

Posts tagged “säkerhetsbudget

Sårbarheter lämnas utan åtgärd, del 2

Posted on den 22 januari, 2016

Det här är andra delen i en serie inlägg. I föregående del (ja, det var över ett år sedan jag publicerade den) argumenterade jag för att sårbarheter, även allvarliga i system med känslig information, inte måste åtgärdas. Jag upplever ibland att beslutsunderlaget begränsas till hur känslig informationen i systemet är. Det finns betydligt fler omständigheter att ta hänsyn till än så. Tanken var att denna del skulle fokusera på när sårbarheter lämnas utan åtgärd omedvetet. Jag har tänkt om och vill i stället ta den föregående diskussionen ur ett annat perspektiv. Förra inlägget har beställarens syn på systemet: vilka sårbarheter ska åtgärdas, eller snarare, vilka säkerhetskrav ska ställas? Så i stället för att ha kravställarhatt tar vi utförarhatten. Kort sagt: som utförare, hur förhandlar vi bort säkerhetskrav som ställs på…

Sårbarheter lämnas utan åtgärd, del 1

Posted on den 12 september, 2014

Sitter i möte med ett utvecklingsprojekt. En av utvecklarna ritar upp den övergripande arkitekturen på en whiteboard och där ser jag det… programvaran hämtar uppdateringar av sig själv från en file share i nätverket och kör dem utan vidare kontroller. Hela systemets säkerhet har i princip reducerats till skrivåtkomst till en katalog som sköts av en helt annan avdelning. Systemet kan inte upptäcka att den nya uppdateringen bara är en kopia av den föregående, fast med en bakdörr, och kommer glatt att skriva över sig själv. Allt som krävs är skrivåtkomst till ett visst filsystem. Jag har upptäckt ett säkerhetshål. Systemet är sårbart. Alltså måste det åtgärdas. Eller kanske inte. Sårbarheter måste inte åtgärdas De bästa säkerhetshålen är ju de som kan lämnas utan åtgärd. Security is a cost of…

Kostnaden för säkerhet

Posted on den 25 augusti, 2013

Den enskilt tråkigaste aspekten med att ”sälja säkerhet” är att varje kund hellre skulle lägga pengarna på något annat. Någonting som ökar intäkter eller minskar kostnader. Det är sällan säkerhet gör någon märkbar skillnad (i positiv riktning) på någon av dem. Wendy Nather på 451 Research författade i våras rapporten The Real Cost of Security (paywall) som undersöker hur mycket pengar ett antal säkerhetsproffs skulle spendera, och på vad, om de plötsligt fick ta över säkerhetsrodret på ett företag med 1 000 anställda som inte har ägnat en tanke åt säkerhet tidigare. This report examines what ’conventional wisdom’ prescribes in terms of security product types, and prices them for a 1,000-person organization. It incorporates data from a survey of security professionals in roles ranging from CISO…