3.16 Säkerhetsrutiner – ledning/systemägare

Vad som är och blir accepterat inom organisationen är ofta baserat på hur ledningen själv agerar. Vägen till de anställdas bättre rutiner börjar därför med att föregå med gott exempel. Självklart är det också mycket viktigt att ha kompetent personal som ansvarar för IT-säkerheten.

Formalisera hur nyanställda kommer in i verksamheten, utan bra rutiner kan det ta veckor för en nyanställd att komma igång och arbeta. Se även till att samspelet mellan personal och IT-folk fungerar så att personer som byter arbetsuppgifter eller avslutar sin anställning får uppdaterade rättigheter eller avstängda konton.

Rutiner för uppdateringar

Att etablera rutiner för underhåll av införskaffad utrustning är viktigt för ett stabilt och fungerande IT-stöd. Kostnader för system som inte är tillgängliga ökar snabbt. En avvägning måste ske om uppdateringarna måste in direkt eller om de kan vänta tills nästa servicelucka. Riskbedömning är en viktig komponent i denna beslutsordning.

Hotbilden förändras kraftigt om systemuppdateringar inte utförs inom rimlig tid. Vad som anses som rimlig tid minskas dessutom för varje dag. Det är viktigt att se det som en process, inga enskilda uppdateringar gör att ett system blir slutgiltigt säkert. Begreppet systemuppdatering/patchhantering bör ses som en proaktiv och inte som en reaktiv process.

Rutinerna bör innehålla planer för hur uppdateringar sprids inom organisationen. Till exempel kan IT-funktionen få i uppdrag att certifiera/testa uppdateringar innan de sprids till samtliga maskiner.

En avvägning måste alltid göras kring hur systemuppdatering/patchhantering görs. Ibland kan det vara mer kostnadseffektivt att byta operativsystem istället för att lappa och laga vid ett flertal tillfällen. Tänk på att kostnaden för personalen är ofta större än kostnaden för licenserna. Om en administratör effektivt kan hantera ett flertal system så kan stora summor pengar användas till bättre ändamål.

I rutinerna bör även versionshantering ingå. Vissa teknologier blir föråldrade och deras support upphör i praktiken (exempelvis lider Windows NT4 redan av detta trots att supporten officiellt inte är utgången). Vissa system kan dock inte uppdateras till nya versioner. Då bör dessa i samråd med IT-funktionen placeras på ett sådant sätt att de inte går att nå för obehöriga användare.

Det är viktigt att alla system har en utsedd systemägare som ansvarar för den operativa hanteringen av när versionsbyten och andra uppdateringar görs.

Liten ordlista: Hotfix - mer specifik uppdatering ofta kortsiktig lösning innan ny version släpps Patch - uppdatering av befintlig version för att lösa ett problem Service Pack - en samling/kluster av flera uppdateringar

Fler ord finns förklarade i Ordlistan.

Stödtext för information av användare:

För att stärka organisationens skydd mot datorangrepp är det nödvändigt att uppdatera systemen centralt. IT-supporten ser till att du som användare inte skall behöva bry dig om vilka systemuppdateringar som måste installeras.

Ibland kan det krävas en omstart av systemen. Dessa sker vanligtvis efter ordinarie arbetstid eller på helger. Vid akuta fall kan det behöva ske vid andra tider, då informeras speciellt om detta. Av denna anledning är det viktigt att du som användare stänger ner program och sparar arbetsdokument efter arbetsdagens slut. Du bör spara dina dokument i din hemkatalog och inte enbart på din hårddisk.


IT-säkerhetshandboken | Utskriftsvänlig sida | Kontakt