Transcript Industrispionage - Ganeida Security Consulting AB

INDUSTRISPIONAGE
Johan Östlund och Pontus Winstén skriver en unik artikelserie om
industrispionage för Skydd & Säkerhet. Den här gången, i den sista delen,
belyser de bland annat vikten av skyddsåtgärder och en god säkerhetskultur.
JOHAN
ÖSTLUND
är grundare och
ägare av, samt
vd för, Ganeida
Security Consulting.
Johan har en ek.
mag i företagsekonomi från Uppsala
universitet, med
inriktning mot informationssystem.
Industrispionage
P
F
skyddsåtgärder
ör att kontra industrispionage är det viktigt att
man i organisationen odlar en så stark - och lagom
paranoid - säkerhetskultur som möjligt utan att det
uppstår en negativ inverkan på verksamhetens effektivitet. Företagets ledning bör därför genom utbildning
och upplysning främja ett starkt säkerhetsmedvetande
samt uppmuntra konstruktiv kritik av organisationens
säkerhetsstruktur.
En säkerhetschef för ett större företag inom försvarsindustrin liknade nyligen på ett träffande sätt säkerhetsarbetet vid en sportbil.
Om man ska våga köra riktigt snabbt måste bilen också
har riktigt bra bromsar. Det handlar i grund och botten
om att ha förtroende för systemet. Det är emellertid svårt
att komma någonstans utan att först veta var man står
och vart man är på väg.
Avstampet i kampen mot industrispionage bör därför
vara att anlita en expert som genomför en säkerhetsanalys av företagets lokaler, personal och verksamhet. Med
analysen som utgångspunkt kan man sedan omgående
åtgärda akuta problem samt ta fram rutiner och riktlinjer
för det systematiska säkerhetsarbete som ska införlivas i
organisationens kultur.
ETT INITIALT OCH fundamentalt
steg bör vara att avgöra
vilken information i organisationen som är skyddsvärd
och sedan klassificera denna i olika nivåer enligt ett förutbestämt system. Risken är annars överhängande att
PONTUS
WINSTÉN
är utredare och
riskanalytiker på
Ganeida Security
samt verksam i arbetsgruppen ASIS
Young Professionals. Pontus har en
fil. kand. i sociologi
med inriktning på
risk och krishantering.
Företagets anställda är den akilleshäl som varje angripare kommer att ta sikte på.
32 | S&S NUMMER 8 2014
FÖRLAG
I
Det bör vara rutin att vid dagens slut
låsa in känslig information som förvaras
i pappersform eller elektroniska
lagringsmedier…
resurser slösas på att skydda sådant som inte behöver skyddas. Det är
dock inte enbart organisationens information som behöver klassificeras. Som vi tidigare påpekat utgör företagets anställda den akilleshäl
som varje angripare kommer att ta sikte på.
Av den anledningen kan även organisationens nyckelpersoner behöva skyddas. Avgjort vilken typ av verksamhet som bedrivs kanske
det till och med krävs någon form av löpande övervakning.
Tillkommer gör interna hot. Det bör vara obligatoriskt att företaget
har en policy för bakgrundskontroller och att dylika utförs i utsträckning som avgörs av aktuell befattning.
Rör det sig om en företagskritisk position bör kontroller göras
löpande, eftersom saker och ting kan förändras. Att en person grönflaggas när hen först börjar på företaget är ingen garanti för att det
alltid kommer att vara så.
det finns en risk för förlust av tid, pengar eller
renommé bör även externa aktörer bakgrundskontrolleras. Det kan
exempelvis röra sig om konsulter, samarbetspartners eller viktiga
leverantörer. Kostnaden för en bakgrundskontroll är i dag så oerhört
liten satt i proportion till dess riskreducerande verkan och den tryggare och mer öppna företagskultur som blir resultatet.
Alla behöver heller inte veta allting som sker i företaget. Genom
att tilldela behörighet med vidhäftad spårbarhet kan ledningen skaffa
sig bättre kontroll över företagets informationsflöde - något som också
underlättar oerhört den dag man behöver utreda en incident.
Vad gäller de mer tekniska aspekterna är ett grundläggande råd att
vara försiktig med allt som är trådlöst, då sårbarheten ökar väsentligt
när informationen inte är kabelburen.
En åtgärd som inte är så krånglig som många förmodligen inbillar
sig - och som gemene man absolut bör nyttja i större utsträckning - är
att kryptera all känslig information som skickas med e-post.
Ett angränsande problem är den BYOD-trend vi ser i dag och som
innebär att arbete blandas med fritid. Det är en på många sätt positiv
utveckling, som dock måste hanteras på ett ansvarsfullt sätt.
Något som företagets säkerhetsansvarige löpande bör fråga sig är
om allting verkligen behöver vara uppkopplat mot internet. Målet
måste vara att upprätta ett system av vattentäta skott som förhindrar
att en lokal sårbarhet exponerar resten av organisationen för angrepp.
Något som helst bör tolkas i en vidare bemärkelse. De mest känsliga
delarna av företagets nätverk ska helst hållas helt isolerade från omvärlden.
Det bör också vara rutin att vid dagens slut låsa in känslig information som förvaras i pappersform eller på elektroniska lagringsmedier,
samt att destruera den information som inte längre behövs.
I SITUATIONER DÄR
SäkerhetSguiden
– rekommenderad
läSning för dig Som
vill Sova gott.
Säkerhetsguiden är Sveriges största
sammanställning av intygade och certifierade
säkerhetsprodukter, personer och företag.
Kort sagt en nödvändighet för dig
som vill vara trygg i dina val.
UTE
NU!
Ut
gå
va # 2 , 2 0
14
BESTÄLL SÄKERHETSGUIDEN
VIA VÅR WEBSHOP
stoldskyddsforeningen.se
VÅR SLUTLIGA REKOMMENDATION är att med någorlunda regelbunden-
het låta utföra en teknisk säkerhetsskyddsundersökning, TSU, i syfte
att förhindra illegal avlyssning. Väger man in eventuella konsekvenser
kostar det inte mycket att säkra åtminstone företagets konferensrum.
Och kom ihåg att utan konsekvenser kommer ingen att följa
hastighetsbegränsningen. Kör försiktigt! c
JOHAN ÖSTLUND
PONTUS WINSTÉN
S&S NUMMER 8 2014 | 33