När it-säkerheten kommer upp på bordet igen efter år som hyllvärmare så kommer det första ordet er säkerhetskunnige yppa att vara segmentera. Se till att hålla i sär det riktigt affärskritiska från allt annat så löser sig det mesta.
De flesta företag har policys som täcker det mest generella inom IT-användandet. Det är telefonipolicy, Internetanvändandet och vad som gäller när du jobbar hemifrån. Jag känner igen alla tre. Däremot saknar jag fokus på andra viktiga interna element som hur ens nät är uppsatta och hur den kritiska affärsdriften genomsyrar upplägget. För det är väl affären som det mesta handlar om att skydda?
Meningar som “ditt lösenord måste ha minst 8 tecken, bla, bla, bla..” borde kompletteras med varför i samråd med vad inloggningen ska skydda för affärsviktig information. Detsamma gäller segmentering som är A och O att göra rätt med från början. Ingen vill segmentera bara för att, eftersom det ofta gör det lite krångligare att jobba snabbt och flexibelt. Men i dess rätta element segmenteras det för att särskilja det allra heligaste och kritiska från allmänanvändandet, det ingen har tillgång till kan inte spridas vidare eller förstöras varken medvetet eller omedvetet. Man skulle kunna säga att segmentering är Poka Yoke inom IT.
Så när du får tankarna på att segmentera så är det inte i den befintliga nätstrukturen du ska börja rota runt, utan fråga dig själv istället var affären för ert bolag skapas. I vilka flöden händer “the shit”, “the wow”, “the cash”? Det är där det händer, det är där du börjar och det är sedan där du slutar.