Monthly Archives: May 2014

Windows 7 indeholder en mængde sikkerhedsfunktioner, der ikke bare er gode at have, men direkte nødvendige. Det eneste minus er, at de ikke er slået til som standard.

Det betyder i praksis, at sikkerheden på en Windows 7-pc er den samme i et virksomhedsnetværk uden nogen specifik sikkerhedskonfiguration som i et hvilket som helst hjemmenetværk.

God sikkerhed består af flere lag af forskellige beskyttelsesforanstaltninger, og Windows 7 har mange indbyggede sikkerhedsfunktioner. Med disse og med nogle værktøjer, du kan downloade fra Microsoft, kan du forbedre sikkerheden på dine klienter betydeligt.

Højere sikkerhed med EMET
I en ideel verden ville alle programmer i udgangspunktet være uden sikkerhedshuller. Det gælder dine egenudviklede programmer såvel som de fra tredjeparter. Men sådan er virkeligheden desværre ikke.

Desuden er det de senere år blevet mere almindeligt, at angreb sker mod sårbare programmer i stedet for mod sikkerhedshuller i styresystemet.

Men det gratis værktøj fra Microsoft Enhanced Mitigation Experience Toolkit (EMET) kan give dine programmer ekstra beskyttelse blandt andet mod såkaldte 0-dagsangreb. Det bliver simpelthen sværere at udnytte sårbarheder i programmer.

Sådan gør du:

1. Download og installer EMET på en testmaskine. Distribuer herefter EMET Setup.msi til dine klienter med det værktøj, du normalt anvender til distribution af programmer.

2. For at aktivere EMET skal du konfigurere værktøjet. Det kan med fordel gøres ved at hente gruppepolitik-skabeloner fra EMET’s installationsmappe i C:\Program files\EMET\Deployment\Group Policy files og placere admx-filen i mappen PolicyDefinitions (enten i C:\Windows eller på SYSVOL) og adml-filen i den underliggende mappe en-us.

Når du har gjort det, dukker der en ny installationskategori op i policy-mappen Windows Components, hvorfra du kan indstille EMET og styre hvilke programmer, der skal beskyttes.

Her kan du også slå populære valgmuligheder til såsom at beskytte Adobe Reader, Oracle Java, Microsoft Office, Chrome, Firefox og en række andre udbredte programmer.

3. Det er dog ikke nok at konfigurere GPO-indstillingerne. Du er også nødt til med jævne mellemrum at køre kommandoen EMET_Conf –refresh, hvilket genindlæser konfigurationen af EMET. Opret kommandoen som en planlagt opgave.

4. Når du aktiverer EMET, kan du tjekke hvilke programmer, der beskyttes, enten med EMET_Conf –list eller via EMET GUI.
 
At slå EMET til vil uden tvivl øge sikkerheden på dine klienter betydeligt, men afhængigt af i hvilken grad, du låser systemet ned, kan det betyde, at visse programmer helt holder op med at fungere. Derfor er det vigtigt, at du tester dine programmer, efter du har slået EMET til.

Hvis du slår forhindring af datakørsel (også kaldet Data Execution Prevention, DEP) til, skal du være klar over, at det ændrer i indstillingerne for opstart, og hvis du har BitLocker slået til, kommer BitLocker til at gå i genoprettelsestilstand, hvilket betyder, at der kræves en BitLocker-genoprettelsesnøgle, før brugeren kan få adgang til computeren igen.

Artiklen fortsætter på næste side…

Arbejdet med at lappe sårbarheder it-systemerne, lave risikovurderinger og lægge forkromede it-strategier, der skal højne sikkerheden på sigt, er kun lige begyndt.

Mckinsey skriver i en ny analyse af sikkerhedstruslerne, som rådgivingsfirmaet har lavet sammen med World Economic Forum, at der kommer flere teknologiske sårbarheder med potentielt store tab til følge.

“På verdensplan flyttes mere og mere forretningsværdi og personlig information over i en digital form på åbne og globalt sammenkoblede teknologi-platforme. Når det sker, bliver risikoen for cyberangreb stadig mere skræmmende,” lyder det i analysen. 

Truslerne tæller blandt andet: 

“Kriminelle forsøger at opnå økonomiske gevinster via fup og idenstitetstyveri; konkurrenter stjæler intellektuelle aktiver eller forstyrrer virksomheden for at opnå fordele; hacktivister trænger igennem online forewalls for at kunne lave politiske statements.” 

Kan slet ikke følge med de kriminelle
Konsekvensen er ifølge analysen, at virksomheder kæmper med at kunne følge med, så der er bare nogenlunde styr på sikkerheden.

“Både store og små organisationer mangler fakta til at kunne træffe effektive beslutninger, og traditionelle strategier for at beskytte området viser sig at være utilstrækkelige.”

En stor del af skaden er i forsbindelse med sikkerheds-brister kan således være et resultat af et utilstrækkeligt modsvar snarere end af sikkerhedsproblemet i sig selv, mener McKinsey.

Baggrunden for den slags udtalelser er, at McKinsey har interviewet flere end 200 CIO’er og sikkerhedsansvarlige, samt blandt andet teknologi-leverandører og myndigheder, i blandt andet Europa og Nordamerika.

“Mere end halvdelen af alle respondenter, og 70 procent af lederne fra de finansielle institutioner, mener, at cybersikkerhed udgør en strategisk risiko for deres virksomheder.”

“Europæiske virksomheder er en smule mere bekymrede end de amerikanske. Det er værd at bemærke, at nogle ledere mener, at interne trusler (fra medarbejdere) er en lige så stor risiko som eksterne angreb,” skriver McKinsey videre.

En interessant pointe i analysen er, at frygten for cyberangreb er med til at bremse innovationen i forhold til at gøre brug af nye teknologiske muligheder.

Eksempelvis siger 70 procent, at sikkerheds-bekymringer har forsinket brugen af public cloud computing med et år eller mere, og 40 procent mener, at det har forsinket brugen af mobile teknologier med et år eller mere.

Læs også:

Derfor er cyberangreb det nye store tabu i it-branchen

Politiet, Nets og IBM skal nu finde svaret på, om andre personer har været indblandet i Nets-lækagen til Se og Hør, og om der er videregivet oplysninger til andre end det kulørte ugeblad.

Der er igangsat en undersøgelse af forholdene omkring Nets-forløbet for at klarlægge, om der er tale om en mere omfattende datalæk end de nuværende oplysninger i sagen viser.

“Der forestår en del it-efterforskning, der har til formål at afdække, om der ellers er sket noget,” siger efterforskningschef Bent Isager-Nielsen fra Københavns Vestegns Politi til Politiken.

Og han fortsætter:

“Vi har derfor også blik for, om den sigtede eller andre it-folk har kunnet trække oplysninger ud og sælge til andre.”

Han vil dog ikke fortælle, om politiet har oplysninger, der peger på et større omfang af skandalen

Læs også: It-sikkerhedsprocedurer i Nets har manglet kontrol i årevis

Datakatastrofe
Teknisk set er det dog en klar mulighed, at den person, der omtales som tys-tys-kilden, har haft adgang til masser af oplysninger om danskerne.

Med en borgers NemID kan man nemlig få adgang til mange andre private oplysninger end Dankort-transaktioner, både hos offentlige myndigheder og private selskaber.

Danmarks i øjeblikket mest omtalte it-mand kan således have haft andre kunder i sin ‘butik’ end Se og Hør.

“I 2012, hvor tys-tys-kilden stadig var ansat, implementerede IBM hele NemID-systemet, hvor alle danskernes private nøgler ligger. Hvis han har haft adgang og misbrugt dem, står vi potentielt over for en regulær persondatakatastrofe«, siger Peter Kruse, teknisk direktør i sikkerhedsselskabet CSIS til avisen.

Det er således ikke utænkeligt, at der kan være solgt oplysninger til eksempelvis kriminelle.

Læs også:
Det kan vi lære af Se og Hør-skandalen

Nets og IBM har kendt til data-lækager i lang tid

Her er læren af lækage-skandalen i Nets

Den traditionelle forestilling om virksomheders udgifter til teknologi er, at langt den største del af pengene går til it-afdelingen, mens en lille del bruges til teknologi såsom smartphones og cloud-tjenester i de andre afdelinger.

Men Laura McLellan, der er direktør for marketingstrategier hos Gartner, oplyser, at 50 procent af udgifterne til it uden for it-afdelingens budget kommer fra marketingafdelingen – og det er ud over it-afdelingens udgifter til marketingteknologi.

Faktisk lyder Gartners prognose, at 80 procent af investeringerne i marketingteknologi vil ske uden om it-afdelingen i 2016.

Men hvad er det for noget it, marketing bruger alle de penge på?
Listen er lang og inkluderer ting som apps til sociale medier, kampagnestyring og søgemaskineoptimering. I løbet af det næste år vil marketing ifølge Gartner bruge flest penge til it på områderne sociale medier, mobil-applikationer, CRM, kundeanalyse, indholdsstyring, samarbejdssystemer og predictive analytics.

Disse teknologier kan inddeles i tre overordnede kategorier:

• Marketingautomatisering
• Social- og mobilteknologi
• Business intelligence i realtid.

Marketingautomatisering. Denne kategori inkluderer indholdsstyring og overvågning af sociale medier, automatisering, aggregering og analyse af sociale data samt selvfølgelig etablerede teknologier såsom CRM. Målet med denne kategori er at gøre selve marketingprocesserne mere effektive.

Social- og mobilteknologi. Begge disse former for teknologier giver helt nye måder at interagere med kunderne. Der er dog ingen klare retningslinjer for, nøjagtigt hvordan marketing skal drage nytte af dem.

I den ene ende af spektret kan man passivt overvåge folks nye adfærd – hvad de kommenterer på sociale medier, og hvordan de handler eller søger information på nettet, når de ikke sidder ved skrivebordet.

I den anden ende af spektret kan man aktivt bruge disse teknologier til at servicere kunderne direkte, såsom ved at udnytte data om deres geografiske placering til at levere tilpassede tjenester – marketingfolk bruger ord som “geotagging” og “hyperlokalt” til at beskrive disse nye muligheder.

Business intelligence i realtid. Hidtil har business intelligence handlet om at bedømme fortiden for at tage beslutninger på denne baggrund. Men i en verden i hurtig forandring kommer sådanne indsigter ofte for sent. Desuden er de også typisk baseret på data, der er indsamlet til meget specifikke formål, hvilket betyder, at det som regel ikke kan lade sig gøre at generalisere ud over de oprindelige formål.

Men i kraft af big data-tendensen giver nye – ofte cloud-baserede – teknologier nu mulighed for at analysere store mængder data meget hurtigt (ofte endda i realtid) fra mange forskellige kilder. Det betyder, at man som virksomhed hurtigere kan justere sin forretning og sin marketing – og sigte mere målrettet mod specifikke typer af kunder.

Artiklen fortsætter på næste side…

“I takt med at organisationer i stigende grad bevæger sig mod “big data” og inkluderer sociale medier, kunder og anden ustruktureret data i HR beslutninger, vil CIO’en være den bedste guide for organisationen på denne rejse,” forklarer hun.

Accenture taler om talent analytics, men pointen er den samme som analytics fra andre lignende områder.

Man kan tale om at bruge data bagudskuedende på HR-området, men også til at tage beslutninger ud vil analytics for alvor komme til sin ret.

“Selvom ‘beskrivende talent analytics’ kan være et effektivt redskab til at identificere, hvilke problemer der findes, giver det ikke indsigt i, hvad der kommer til at ske fremover, eller giver anbefalinger til hvordan problemene kan løses,” forklarer hun.

I de tilfælde må man snarere ty til ‘prediktiv talent analytics’, som det så fint hedder, hvor målet er at forudsige, hvad der kommer til at ske, og hvilke beslutninger der kan anbefales.

Forudsige ting – og bedre beslutninger
Eksempler på, hvordan virksomheden kan bruge “prediktiv talent analytics” i alle faser af medarbejdernes livscyklus, kan være at forudsige mangel på medarbejdere med kritisk kompetence, som for eksempel ingeniører, laboranter og statistikere.

Det kan ske ud fra historiske data om virksomhedens kapacitet og produktivitet, demografi og naturlig afgang, jobrotationer og forfremmelser på behovssiden og talentpoolen, trends og konkurrence om givne arbejdskraft på tilgangssiden.

“Ved at kende til det gap kan virksomheden bedre tiltrække, rekruttere og videreudvikle de kompetencer, der er brug for, således at det ikke bremser virksomheden i sine forretningsambitioner,” forklarer hun.

Andre steder, hvor data kan bruges er omkring udvikling af træningsprogrammer, personalegoder med bedst effekt, fratrædelse og meget mere.

Microsoft og Google gør det
Hun peger på, at nogle af de største spillere begynder at udnytte data på HR området mere aktivt.

Det gælder for eksempel organisationer som HSBC, Deutsche Bank, Google, Unilever, Nestle, BP, Shell, Microsoft, Dell, Siemens og Accenture selv.

“Vi forventer, at trenden fortsætter med at vokse, og at adgang til data og brugen af talent analytics vil ligge højt på erhvervsledernes agenda i årene fremover,” lyder det fra Accenture.

Fem råd

Pernille Mølbak har fem råd til virksomheder, der ønsker at give sig i kast med talent analytics:

1. Vent ikke på “perfekt data”
For de fleste organisationer er standardisering af globale HR-processer og systemer en tidskrævende proces, men det legitimerer ikke at udskyde arbejdet med talent analytics.

2. Begynd med pilotprojekter
Det kan være en god idé at starte ud med pilotprojekter, der fokuserer på de primære udfordringer for organisationen, fx mængden af turnovers eller for lav produktivitet hos de ansatte.

3. Se på talent analytics i lyset af forretningsstrategien – tænk stort
Det er vigtigt, at arbejdet med talent analytics er koblet til forretningsstrategien for at kunne spotte, hvordan bedre indsigt i medarbejderdata kan hjælpe med at forbedre forretningsresultaterne.

4. Tag et langsigtet perspektiv
Talent analytics skal ses ud fra et helhedsperspektiv, der indgår i en længere proces snarere end enkeltstående projekter.

5. Overvej, hvordan organisationen kan udvikle en analytics-gruppe, og hvor den skal placeres i organisationen
Mange organisationer kæmper med at placere analytics-specialisterne internt, fordi de med deres utraditionelle funktion kan være svære at placere i en traditionel rapporteringsstruktur. Førende virksomheder på feltet, fx Google, har ansat en CAO (Chief Analytics Officer) som en del af topledelsen.

Kilde: Accenture.

En virtuel version af Danmark er blevet vandaliseret i computerspillet Minecraft, som på verdensplan har mere end 100 millioner registrerede brugere, der bygger virtuelle bygninger i det populære spil.

3D-versionen af Danmark er blevet uploadet af Geodatastyrelsen under Miljøministeriet med det formål at undervise skoleelever, men i stedet er dele af det virtuelle Danmark blevet hærget og ødelagt i Minecraft-universet.

Helt konkret drejer det sig om Amalienborg, som Geodatastyrelsen har måttet genetablere fra brakmark til dronningeslot samt Livø og Christiansø, som var forvandlet til ukendelighed.

Er det vandalisme?
I flere medier som eksempelvis BBC beskrives ødelæggelserne som cybervandalisme.

Det sker efter, at flere dele af Danmark skulle være sprunget i luften med dynamit, mens det amerikanske flag er blevet hejst i startområdet for at markere, at amerikanske interesser har overtaget vort land.

Den udlægning køber pressechef Chris Hammeken fra Geodatastyrelsen dog ikke.

“Jeg vil ikke bruge udtrykket ‘vandalisme’, for spillet handler jo om at bygge og genopbygge. Men det er klart, at når man går ind på Amalienborg og finder en brakmark, så er der jo et begrænset formål med at fremvise Danmark i en demonstrationsmodel,” fortæller Chris Hammeken til Computerworld.

Lader det meste stå
Han nævner, at startområdet med Hovedbanegården i København i flere omgange også har fået markante make-overs.

Blandt andet har der udover Stars and Stripes og amerikanske kampvogne også været norske og svenske flag, ligesom hovedbanen i enkelte omgange har været helt jævnet med jorden i spillet.

“Formålet med den slags tiltag fra spillernes side har nok været for at blive set, men tingene står der nogen gange kun en halv time eller en time, og så er der bygget noget andet. Derfor har vi valgt ikke at røre ved den udvikling,” forklarer Chris Hammeken fra Geodatastyrelsen.

Stor rutsjebane ved Møns Klint
Udover ødelæggelserne og de radikale ændringer af Danmark oplever styrelsen også flere forskønnende projekter, der blandt andet tæller opbygningen af en kæmpe rutsjebane ved Møns Klint, indvendig udsmykning af Kronborg og etablering af svømmebassiner ved Lalandia.

“Nogle smadrer mere end de bygger op, og vi vil selvfølgelig have, at der bliver bygget nye, sjove og kreative ting, hvilket heldigvis også er tilfældet de fleste gange,” siger Chris Hammeken.

Han fortæller, at demonstrationsmodellen af Danmark siden lanceringen for 14 dage siden er blevet downloadet 220.000 gange og vil blive lukket igen i slutningen af oktober, hvorefter det dog stadig er muligt at downloade de oprindelige filer af Danmark fra Geodatastyrelsens hjemmeside.

Det virtuelle Danmark i Minecraft er blevet bygget på åbne datasæt fra Geodatastyrelsen, som har fået en del omtale fra store, internationale medier for sit initiativ.

Læs også: 
Disse virksomheder sparer millioner på gratis data