Artikel top billede

(Foto: Computerworld)

Citrix prædiker kontekstbaseret sikkerhedsarkitektur

Det grundlæggende princip i Citrix’ tilgang til it-sikkerhed er enkelt: Når man kender en medarbejders workflow i detaljen, kan sikkerhedssoftware beslutte, hvad medarbejderen har lov og ikke lov til at gøre på virksomhedens netværk.

Af Jakob D. Lund, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

For nogle år siden hang der en lille, lidt mavesur seddel i mit lokale fitnesscenter. Der stod, at det var FORBUDT at have udendørssko på under træningen. Der stod ikke mere end det, og selvom det ret beset var et rimeligt krav til mig som kunde, så affødte den lodrette ordre ofte en – bevidst eller ubevidst – reaktion indeni, der sagde: “Det skal I sgu ikke bestemme.”

For nogle måneder siden skete der så noget nyt i fitnesscenteret. Den mavesure opfordring var blevet erstattet af en ny seddel med samme budskab. Men på den nye seddel stod der, om ikke brugerne af centret ville være søde kun at benytte indendørssko, for i udendørssko sad der små sten i sålen, som ødelagde maskinerne. Jeg kan ikke huske, om den nye seddel sluttede med en glad smiley eller ej, men pointen var, at centeret havde givet mig en begrundelse bag skoopfordringen, som ikke var der før. Og når man får en begrundelse, kan man meget bedre acceptere den bagvedliggende årsag.

It-sikkerhed er virksomheders ømme tå

Uden videre sammenligning kan man måske godt tillade sig at lave en hurtig analogi til it-verdenens ømme tå: sikkerhed. For alle er enige om, at sikkerhed ligger helt i top på enhver organisations liste over it-fokusområder – faktisk er der en tendens til, at sikkerhed betragtes som det suverænt vigtigste at forholde sig til lige nu. Men mange er også enige om, at det sikkerhedsbillede man ser på tværs af danske organisationer og virksomheder vidner om, at vi langt fra gør det så svært for de it-kriminelle, som vi burde.

Sikkerhedsberedskabet minder i værste fald om grov forsømmelse, og kun få virksomheder kan bryste sig af at tackle it-sikkerhed på en tidssvarende måde. Måske hænger forsømmelsen sammen med it-sikkerheds blakkede ry som showstopper? Måske har it-sikkerhedsfolkene lidt for ofte og lidt for primitivt hængt skilte op foran de ansatte, som med store bogstaver forbød dem at gøre det ene og det andet? Og måske har de brugt for lidt tid på at forklare baggrunden for, at de ikke måtte gøre det ene og det andet?

Fire sikkerhedssøjler

Alt om DATA har sat softwarevirksomheden Citrix stævne for at tage en snak om, hvordan de tænker sikkerhed ind i designet af deres løsninger, og hvordan der skabes sammenhæng mellem den optimale verden, hvor alle medarbejdere gør som befalet, og den virkelige verden, hvor få medarbejdere gør som befalet.

Mads Skalbo er Country Manager i Citrix Danmark. Han forklarer, at Citrix’ syn på sikkerhed kan brydes ned i fire sammenhængende søjler.
“For det første handler sikkerhed i dag om brugervenlighed. Hvis ikke din virksomhedsløsning er brugervenlig, vælger brugerne bare den løsning på markedet, som er brugervenlig, og de er ligeglade med, om de har fået et forbud mod at bruge den eller ej. For det andet handler sikkerhed om sikkerhed.

Sikkerhed skal være så dybt forankret i løsningen, at god sikkerhedsskik aldrig bliver en brugerbeslutning. For det tredje handler sikkerhed om fleksibilitet. Det er et krav, at brugerne kan tilgå data, hvor end de er og uanset device. Endelig handler sikkerhed om innovation. Som producent er man nødt til konstant at blive ved med at hælde funktionalitet ind i en løsning, hvis den skal leve op til brugernes stigende krav,” siger Mads Skalbo.

Fildelingsproblemet

Tager jeg fejl, hvis jeg påstår, at der måske har været en lille tendens til, at krav om brugervenlighed har overskygget krav om sikkerhed de seneste år?
“Du har i hvert fald fat i en væsentlig pointe. Man kan tage fildelingsproblematikken som et eksempel. Lige pludselig kunne hele it-verdenen – inklusive os selv – se, at brugerne lagde virksomhedsdokumenter ud i skyer, som var fuldstændig åbne og ubeskyttede. Det gjorde de udelukkende af den årsag, at det var nemt. Det viste, at brugerdiktaturet styrede, og at eksekveringen af firmaernes it-politikker haltede bagefter. Det tog lidt tid, før vi i it-verdenen fik reageret på den trend, men vi fik da endelig gjort det – i Citrix ved at købe ShareFile, som er en virksomhedsudgave af en fildelingstjeneste,” siger Mads Skalbo.

Mennesker er den største trussel

Han forklarer, at Citrix for længst har indset, at mennesker udgør den største trussel mod virksomhedens datasikkerhed. Enten fordi de ikke ved bedre, når de håndterer data, eller fordi de bevidst prøver at begå it-kriminalitet. Problemet har været, at systemet ikke kan kende forskel på det ene og det andet.

“Derfor prøver vi at kigge på sikkerhed på en ny måde. I stedet for en traditionel tilgang, som siger, at alle mennesker inden for virksomhedsmurene er gode, og at alle mennesker uden for virksomhedsmurene er onde, siger vi, at vi behandler alle mennesker som en trussel. Med det som udgangspunkt opererer vi med kontekstbaseret sikkerhedsinfrastruktur. Det vil sige, at vi prøver at bryde en brugers request ned i så små enkeltdele som muligt og kigger på det workflow, den ansatte befinder sig i. Hvem forsøger at få adgang til data eller applikationen i dette øjeblik og i denne sammenhæng? Hvad forsøger de at få adgang til? Giver det mening i forhold til deres funktion og rolle i virksomheden? Fra hvilket device ønsker de adgang? Hvorfra? Og hvornår på døgnet? Når vi kender alle de elementer, kan vi bygge et intelligent sikkerhedsværn op,” siger Mads Skalbo.

Læge Christiansen til påskefrokost

Han eksemplificerer den kontekstbaserede sikkerhedsarkitektur gennem en fiktiv læge. Hvis lægen forsøger at hente patientdata fra hospitalet, konstaterer systemet, at det er læge Christiansen, der spørger om adgang til den og den information. Softwaren konstaterer også, at han kobler på systemet fra en kendt enhed, og at han logger på i almindelig arbejdstid. Men hvis systemet eksempelvis kan se, at han logger på fra et sted i Sydsverige, og at han logger på fra en ukendt enhed, kan der godt dukke begrænsninger op.

“Det kan være, at læge Christiansen sidder til en påskefrokost i en jagthytte og er blevet inspireret til at fortælle en sjov patienthistorie. Det skal systemet være med til at lukke ned for, så lægen ikke gør noget, han ikke burde, og som han sikkert godt ved, at han ikke burde, men kommer til at gøre alligevel,” siger Mads Skalbo.

Så er vi tilbage ved de små sten på løbebåndet. For hvis man som virksomhed og it-afdeling gør sig umage med at forklare medarbejderne, hvorfor der er disse restriktioner, vil de hurtigt kunne se fornuften i begrænsningerne. Langt de fleste trofaste medarbejdere bryder jo ikke sikkerhedspolitikkerne af princip, men fordi de ikke ved bedre eller bare ikke tænker sig om. Oplysning og deltaljerede forklaringer kombineret med en kontekstbaseret sikkerhedsarkitektur vil i den forstand hjælpe medarbejderne med at udføre deres arbejde inden for de gældende spilleregler. Og den praksis behøver ikke nødvendigvis at smage af sure ordrer fra ledelsen; den kan rent faktisk godt formidles som et forbedringstiltag, der kommer alle til gode.

Den betændte negl

Hvis it-sikkerhed er virksomhedens ømme tå, så er mobilsikkerhed den ømme tås betændte negl.

“Et forsigtigt slag på tasken, så vil jeg vurdere, at 30 pct. af de danske virksomheder ikke har tilstrækkelig styr på mobilsikkerheden,” siger Mads Skalbo.

Men de samme virksomheder har en stor del ansatte, som tilgår mails og andre virksomhedsdata fra deres telefoner?
“Ja. Et forsigtigt bud vil være, at 70 pct. af danske virksomheder har medarbejdere, der kan arbejde mobilt. Det er lidt paradoksalt, at vi ser mange virksomheder bandlyse brugen af USB-sticks, men at de til gengæld ikke aner, hvad deres ansatte bruger deres mobiler til.”

Hvordan forklarer vi dette sikkerheds-gap?
“Vi ser faktisk, at interessen for mobilsikkerhed og villigheden til at investere i det, stiger ret kraftigt. Det er jo i sig selv positivt og handler nok om, at man har erkendt problemet og problemets omfang. Det er blevet synligt, at risikoen er reel,” slutter Mads Skalbo.

Nye Citrix-produkter og -løsninger giver fleksibel it-styring, sikre apps og en it-oplevelse, der ligner consumer-markedets

For nylig afholdt Citrix messen Citrix Synergy i USA og løftede her sløret for, hvordan virksomheden vil ændre it ved at muliggøre en “byg én gang – indfør hvad som helst” it-infrastruktur, som forenkler it-styring og giver device-uafhængige end-points. Det skriver Citrix i en pressemeddelelse.

I dag er en arbejdsplads ikke længere defineret ved en fysisk placering eller én type device, for der er digitale værktøjer, der gør det muligt for medarbejdere at arbejde hvor som helst. Dette bevirker, at virksomheder er under hårdt pres for at leve op til medarbejdernes krav om consumer-agtige apps og brugeroplevelser, herunder øjeblikkelig og let adgang til data og services og til BYOD-programmer, som gør det muligt at bruge de nyeste devices i arbejdet. Indtil nu har virksomhedernes it-løsninger ikke været tilstrækkeligt fleksible til at kunne imødekomme disse krav, som har krævet store ændringer af bl.a. sikkerhedspolitikker og management-processer.

“Virkeligheden er, at det evigt foranderlige consumer-marked er kommet til at definere de teknologier, som medarbejderne ønsker at bruge – og med rette, for de muliggør øget produktivitet og effektivitet,” udtalte Mark Templeton, President og CEO i Citrix under Citrix Synergy.

“Vi ønskede at finde en måde, hvorpå vi kunne hjælpe virksomheder med at deltage i innovationen frem for bare at være reaktive. Ved at muliggøre ’on-demand it’ i virksomhederne kan vores kunder nu indføre nye it-ressourcer på få minutter og styre disse meget let, uanset hvor virksomheden er, eller hvilke devices medarbejderne bruger – og samtidig styrke sikkerhed, medarbejderproduktivitet og fleksibilitet.”

Overskrifter fra Citrix Synergy

• Citrix vil skabe en ny cloud service control platform, som kan fusionere on-premise- og cloud og gøre det muligt for it-chefer at skabe sikre, mobile workspaces, som inkluderer desktops, applikationer og data, så det er muligt at bruge de kilder i infrastrukturen, som opfylder de specifikke og aktuelle behov

• Citrix har udvidet sin førende position inden for app delivery og VDI med nyskabelser, som udvider brugeroplevelsen og gør det lettere at øge sikkerhed og fleksibilitet samt at foretage opgraderinger og migration

• Citrix fortsætter med at differentiere sig på dokument- og fildelingsmarkedet ved at introducere et workspace, som følger med kunden på tværs af fire device-typer og giver en ny tilgang til sikker deling af dokumenter for hermed at skabe rammer for samarbejde, så det er både sikkert og let at etablere, når inspirationen rammer

• Citrix demonstrerede fremskridt inden for Enterprise Mobility Management-teknologi (EMM) med integrationsmuligheder og et udvidet partnerøkosystem, der giver øget sikkerhed, bedre brugeroplevelse og større fleksibilitet for kunderne




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Hewlett-Packard ApS
Udvikling og salg af software, hardware, konsulentydelser, outsourcing samt service og support.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere