Stefan Pettersson bloggar om affärsmässig säkerhet för svenska företag.

Posts tagged “skyddsvärdesanalys

Sårbarheter lämnas utan åtgärd, del 2

Posted on den 22 januari, 2016

Det här är andra delen i en serie inlägg. I föregående del (ja, det var över ett år sedan jag publicerade den) argumenterade jag för att sårbarheter, även allvarliga i system med känslig information, inte måste åtgärdas. Jag upplever ibland att beslutsunderlaget begränsas till hur känslig informationen i systemet är. Det finns betydligt fler omständigheter att ta hänsyn till än så. Tanken var att denna del skulle fokusera på när sårbarheter lämnas utan åtgärd omedvetet. Jag har tänkt om och vill i stället ta den föregående diskussionen ur ett annat perspektiv. Förra inlägget har beställarens syn på systemet: vilka sårbarheter ska åtgärdas, eller snarare, vilka säkerhetskrav ska ställas? Så i stället för att ha kravställarhatt tar vi utförarhatten. Kort sagt: som utförare, hur förhandlar vi bort säkerhetskrav som ställs på…

Om säkerhetsberoenden

Posted on den 4 september, 2013

Säkerhetsberoenden som koncept är enkelt att förklara: två system har ett säkerhetsberoende om någon form av intrång i den ena kan påverka säkerheten i den andra. Jag tror att det här faller sig naturligt för många tekniker, tyvärr så naturligt att säkerhetsberoenden sällan uttalas explicit i tal eller skrift. Det är synd, säkerhetsberoenden är viktiga för att avgöra vilka system, eller vilka delar av ett system, som är mest säkerhetskritiska. Kartläggning av säkerhetsberoenden är ett viktigt verktyg vid prioritering av system. Språkligheter Säkerhetsberoenden kan uttryckas på olika sätt. Man kan säga att en arbetsstation i ett Windowsnätverk har ett säkerhetsberoende till domänkontrollanten eller är beroende av domänkontrollantens säkerhet men det är också lämpligt att säga att arbetsstationen litar på domänkontrollanten. Uttrycket ”litar på” är bra,…