-
Husk jevnlig sikkerhetskopi av din maskin

Les NorSIS sine råd
om sikkerhetskopi
.


 

Sikker.info 2010

Test deg selv

Prosjekthotell


Denne veiledningen er en liten sjekkliste dersom virksomheten ønsker å bruke prosjekthotell.

Innhold

Stadig flere bedrifter tar i bruk såkalte prosjekthotell. Et prosjekthotell er en web-basert applikasjon som tilbyr deling av informasjon og filer over Internett. Denne typen løsninger gjør det enklere for bedriftens medarbeidere å få tilgang til informasjon hjemmefra eller på reise. De forenkler også samarbeid med eksterne deltakere i prosjekter.

De fleste prosjekthotell har en rekke tilleggsfunksjoner som kan være nyttige, for eksempel versjonskontroll av filer, mulighet for å opprette diskusjonsforum og sending av varsel på e-post når ny eller oppdatert informasjon er tilgjengelig.

Fordeler med prosjekthotell

Prosjekthoteller muliggjør samarbeid med eksterne brukere om bedriftsintern informasjon uten å gi de eksterne brukerne tilgang til bedriftens interne nettverk. Det er en sikrere metode for informasjonsdeling enn sending av dokumenter på e-post.

De fleste eksisterende prosjekthotell har innebygde mekanismer for å ivareta informasjonssikkerhet i form av tilgangskontroll, logging og kryptert kommunikasjon. Det er allikevel en del ting man bør tenke på ved valg og bruk av prosjekthotell.

Prosjekthotell bør tilby

  • Kryptert kommunikasjon. I praksis at all kommunikasjon med prosjekthotellet skjer via SSL
  • Logging av tilgang. Alle endringer bør logges og loggen bør være lett tilgjengelig for kontroll
  • Tilgangskontroll. Det bør være mulig å definere brukere med ulik tilgang

Sikringstiltak ved bruk av prosjekthotell

  • Prosjekthotellet bør kun benyttes fra PC som er under kontroll av person som er autorisert for tilgang til prosjekthotellet. Det bør ikke være tillatt å bruke løsningen fra tilfeldige terminaler som f.eks. internettkaféer på flyplasser etc. Data kan bli liggende igjen i minnet på PC-en løsningen brukes fra, selv om nettleseren avsluttes.
  • Sett tiden en bruker kan være inaktiv før automatisk utlogging, timeout, til en verdi som er fornuftig i forhold til sensitiviteten til informasjonen som er tilgjengelig i løsningen. Det viktige er at man gjør et bevisst valg og en avveining mellom ulempen ved kort timeout og konsekvensen av at uautoriserte får tilgang dersom en bruker glemmer å logge ut og forlater pc-en ubeskyttet
  • Tillat kun oppkobling fra klienter som støtter ønsket krypteringsstyrke ved kommunikasjon. Ønsker man å benytte minimum 128-bit kryptering, må løsningen konfigureres til å ikke tillate oppkobling fra klienter som kun støtter svakere kryptering

Drift av eget prosjekthotell

  • Beskytte serveren som informasjonen ligger på ved hjelp av tilleggstiltak
    • Brannmur
    • IDS
    • Verktøy for integritetssjekk 
    • Antivirusprogramvare
  • Ha gode backuprutiner for informasjonsserveren.
  • Bruke en dedikert server for prosjekthotell-løsningen. Serveren kan gjerne være en virtuell maskin dedikert til formålet der dette er mer hensiktsmessig enn en fysisk maskin
  • Steng alle unødvendige tjenester for å unngå at uautoriserte får tilgang til informasjonen gjennom sårbarheter i andre tjenester
Sist endret: 2006-09-20
Denne ukens ansvarlige for spørsmål og svar
Har du spørsmål om informasjonssikkerhet? Spør oss i NorSIS!

kontaktadresser
nettstedskart
utskriftsvennlig side
.