Cafe og hygge

Svar: Marked for IT Sikkerhed?

Nitzsch — Wed, 04 Apr 2012 06:34:49 GMT

Tak for disse svar. Jeg vil nu arbejde lidt videre med idéen :)

Svar: Marked for IT Sikkerhed?

John Nielsen — Tue, 03 Apr 2012 12:30:56 GMT

Boysen:

(nej tak til 15 mail fra alle mulige aminoér der nu er på vej til mig :))

Det var nok en god idé lige at få tilføjet.

IT-sikkerhed er mange ting. Penetration tests er kun ét af mange relevante fokusområder, code injection exploitation er et andet.

Det er ganske rigtigt, at rigtigt mange virksomheders største sikkerhedsrisici kommer indefra.

IT-sikkerhed er mange flere og andre ting end, backup, firewall, antivirus og opdaterede servere/klienter.

Derfor vil virksomheder oftest have brug for en decideret Business Continuity Plan, det er ud over en nødberedskabsplan for virksomhedens IT også lægger op til en IT-sikkerhedspolitik, som både beskytter virksomheden og medarbejderne.

Forskellige virksomheder vil have forskellige behov for gennemgang af IT. Mange virksomheders Business Continuity Plan vil selvfølgelig indeholde en del ens elementer. Men man sikrer jo website/webshop med andre teknikker, end man benytter til virksomhedens lokale eller Cloud-baseret mailserver, medarbejdernes smartphones, fjernskrivebordsadgange og hjemmearbejdspladser.
Alle virksomheder - uden undtagelse - vil have behov for at have et overblik + en plan for vedligeholdelse og selvfølgelig for reetablering.

De færreste vil erkende behovet overfor dem selv, før der tales om brandslukning eller reetablering efter den totale katastrofe.

Der bør være et marked. Og der er der nu også.

Dbh. John

Svar: Marked for IT Sikkerhed?

Boysen — Tue, 03 Apr 2012 12:11:13 GMT

Nitzsch:
Men hvad ville du give for sådan en ydelse?

Umiddelbart svært at svarer på. Som der også skrives så er der mange "dele" i it sikkerhed og jeg ville, afhængig af mulighederne, først og fremmest være interesseret "faren" udefra og sikkerheden i min kode.

Det er svært lige at smide et tal, men en "semi gennemgang" + forslag til løsninger, ville jeg da gerne give 10 - 15000 kr. for.

(nej tak til 15 mail fra alle mulige aminoér der nu er på vej til mig :))

Svar: Marked for IT Sikkerhed?

Nitzsch — Tue, 03 Apr 2012 11:45:29 GMT

Ja ja det er jeg klar over, det er derfor min plan også være at møde op ude hos firma, og ud give mig for at være en anden og på den måde se om det kunne lade sig gøre at få adgang til følsome oplysninger, sådan at der også er social engineering med det i det, for jeg syndes ofte at det er her at andre virksomheder glemmer at være med.

Svar: Marked for IT Sikkerhed?

Kenneth Wellin — Tue, 03 Apr 2012 11:42:09 GMT

Hej Nitzsch,

Idéen med at tilbyde tjek af it-sikkerheden hos firmaer, er der ikke noget galt med. Og mange firmaer får idag også foretaget disse tests løbende - i mange tilfælde af deres normale/faste it-leverandør. Der bliver udarbejdet planer, regler, nødprocedurer osv.

Men det du skal huske er, at it-sikkerhed ikke bare er en firewall og nogle hack'ere, som forsøger at komme ind udefra - det er rent faktisk bare en lille del. En stor del af truslen mod virksomheders it-sikkerhed kommer rent faktisk indefra!

For lige at nævne nogle af de områder der også hører ind under it-sikkerhed:

- Backup: Rutiner, opbevaring af data, restore-tid, restore-tests
- Antivirus/antispam
- Eksterne bruges adgang til virksomhedens netværk (eks. vpn-opkoblinger)

Og så er der også lige problemerne med data på mobile enheder som eks. telefoner, notebooks og USB sticks.

Ja, og sådan kunne jeg blive ved lidt endnu!

Min pointe er: Hvis du vil tilbyde virksomheder tjek af deres it-sikkerhed, skal du spænde meget bredere end bare et tjek af deres firewall.

dbh
Kenneth

Svar: Marked for IT Sikkerhed?

Nitzsch — Tue, 03 Apr 2012 11:38:04 GMT

Kunne være interessant.

Men hvad ville du give for sådan en ydelse?
Her tænker jeg en dybte gående sikkerheds tjek som engangsydelse, og hvis du ville have det som en månedlig ydelse?

Svar: Marked for IT Sikkerhed?

Boysen — Tue, 03 Apr 2012 11:33:36 GMT

Min webshop, som jeg selv har fået udviklet, kunne jeg godt finde på at købe en sådan ydelse til. Enten som en engangsydelse eller fast månedlig ydelse, hvor fx. der holdes "øje" med mit system.

Om der er et marked? Det ved jeg ski ikke, men for mig er sikkerhed vigtig og selvom der måske er meget konkurrence blandt de store, så ser jeg sjældent noget til "min størrelse" (mega lille) :)

Svar: Marked for IT Sikkerhed?

Nitzsch — Tue, 03 Apr 2012 11:24:24 GMT

Det er rigtigt. Det kan jo være godt at få et syn på sagen ude fra en anden virksomhed og få testet de ting som deres sikkerheds flok gør også ren faktisk virker.

Og der ved jeg ikke hvor meget deres revision gør ud af det. For det jeg tænkte på var at teste det ude fra, ligesom hvis det var en hacker som sikker og prøver at komme ind. Det som vores model og skulle var at møde op der ude og på den måde se om vi kunne få følsom data ud af det.

Som andre ord virkelig gå i dybten med dette.

Svar: Marked for IT Sikkerhed?

Anonymous — Tue, 03 Apr 2012 11:18:56 GMT

Nitzsch:
? Eller tror i at store danske virksomheder ville vælge at få lavet sådan en løsning?

Alle de store virksomheder har allerede en sådan kontrol - qua derees revision. Der er både revisionsvejledninger 3411 og 3000) erklæringsvejledninger (3402) mv. som påvirker disse virksomheder.

Hvis du vil finde et marked for ydelser omkring it-sikkerhed skal du ned blandt de små og mellemstore virksomheder. Dertil kommer at rigtig mange virksomheder selv har folk, der beskæftiger sig med sikkerhed. Markedet er der men det er benhårdt.

/Henrik

Marked for IT Sikkerhed?

Nitzsch — Tue, 03 Apr 2012 11:09:44 GMT

Jeg har lige læst et indlæg at mange virksomheder har problemer med flok bryder ind i deres IT system, og at EU vil have en lov om dette.

Jeg kan forstå at mange af de store revisions firma'ere tilbyder at lave et IT sikkerheds tjek af deres kunder.

Men jeg tænker om I tror der er et marked for at lave sikkerhed tjek af virksomheders servere og deres IT sikkerhed generelt, der sker ved at man i fx 1 mdr ser hvis den sikkerheden er ude fra internet og ind og derefter hvordan sikkerhed er fysisk inde i virksomheden. Men andre ord om en hacker kan komme ind.

Ville i som virksomheds ejer betale et firma for at tjekke om jeres sikkerhed er høj nok? Eller tror i at store danske virksomheder ville vælge at få lavet sådan en løsning?