God it-sikkerhed starter med omtanke og konsekvens

Af Henrik Malmgreen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

En af de helt store udfordringer i det moderne arbejdsrum – den såkaldte Modern Workplace – er, at data nu for alvor flyttes op i skyen. Det giver fleksibilitet samt mobilitet for virksomheden og dens ansatte, men åbner samtidig for en lang række sikkerhedstrusler, der skal tages alvorligt.

Helt grundlæggende handler det derfor om at fastlægge en række politikker for medarbejdernes adgang til virksomhedens data.

”Tidligere befandt de sig on-premise, altså fysisk på en server i virksomheden, men nu flytter de i stadig højere grad op i skyen, hvilket stiller helt nye krav til styring og kontrol.”

Det siger Christian Mark, der er business manager i it-virksomheden Progressive, hvor man til dagligt arbejder med at rådgive danske virksomheder om netop sikkerhed i en verden med en stadig mere mobil arbejdsstyrke.

Grænserne udviskes 

Ifølge Christian Mark flytter grænserne for sikkerhed sig nemlig konstant. Tidligere var de typisk defineret af virksomhedens interne netværk, men i en tid, hvor medarbejderne kan arbejde overalt og ofte bruger deres egne enheder, bliver det til stadighed sværere at overskue topologien i kommunikationen. Ofte vil der ganske enkelt ske det, at grænserne helt udviskes.

“Ikke alene arbejder flere og flere mobilt; de anvender også en lang række forskellige enheder, hvilket betyder høj grad af diversitet. Samtidig er der måske nogle, der en gang imellem bruger familiens hjemmecomputer, og hvordan sikrer virksomheden sig så lige mod, at vigtige eller fortrolige dokumenter pludselig ligger gemt alle mulige og mærkelige steder,” spørger Christian Mark.

Hvordan holder man hånden under en virksomhed, hvor alle data befinder sig i skyen? Det giver vi et bud på i denne artikel, som er nummer to i serien om den moderne arbejdsplads.

Mareridtet lurer om hjørnet

Det faktum, at virksomhedens medarbejdere både anvender den teknologi, de kender, og den teknologi, der ligger lige for, kaldes for “shadow it”. Altså it, som virksomheden ikke kender til og dermed ikke kan forholde sig til.

Det betyder, at kontrollen mistes, og at det – i hvert fald i de værste tilfælde – reelt er brugerne, der overtager styringen. Dette scenarie må være enhver virksomheds værste mareridt.

Den gode nyhed er imidlertid, at virksomheden sagtens kan beskytte sig. Det kræver blot omtanke og konsekvens. Når det for eksempel gælder en politik for, hvor data må gemmes, er det helt åbenlyst at forholde sig til, hvilke tjenester medarbejderne må benytte. Skal de for eksempel have adgang til at lægge dokumenter i Dropbox, hvis virksomhedens officielle platform er Microsoft og OneDrive?

Proaktiv i sikkerhedsarbejdet

”Set ud fra et sikkerhedsmæssigt synspunkt er svaret indlysende: Nej, det skal de ikke,” siger Christian Mark og føjer til, at det faktisk er relativt enkelt at definere en række grundlæggende sikkerhedspolitikker.

Hvis en medarbejder for eksempel tilgår data fra en enhed, der ikke er autoriseret, skal der ikke være mulighed for at hente og gemme dokumenter på den lokale harddisk.

Samtidig understreger han vigtigheden af, at virksomheden gør sig helt klart, hvilke typer af information og dokumenter der skal beskyttes bedst muligt. Det kan ske gennem en klassificeringsproces, der opstiller retningslinjer for de forskellige typer af dokumenter, eksempelvis at bestemte typer af dokumenter ikke må bevæge sig uden for virksomheden, medmindre de er krypterede.

Skab ensartede retningslinjer

”Det er imidlertid ikke kun vigtigt at sikre selve den information, der arbejdes med i virksomheden. Det er også vigtigt at definere sikkerhed på brugerniveau, som gerne skal være koblet op mod den enhed, hvor brugeren logger på. For eksempel er det muligt at opstille en politik, som betyder, at det er umuligt for brugeren at logge på, hvis ikke den pågældende enhed er opdateret sikkerhedsmæssigt,” forklarer Christian Mark.

Det kaldes for ”compliance” og betyder ganske enkelt, at såvel medarbejder som enhed skal opfylde nogle givne retningslinjer, før der kan opnås adgang til virksomhedens data. Selv om medarbejderen har logget korrekt på med det rigtige brugernavn og password, kan der altså lægges et ekstra lag på, som sikrer, at også den fysiske opkobling og forbindelse er sikker.

I sikkerhedsverdenen arbejder man nu med “zero trust”, forklarer Christian Mark, business manager i it-virksomheden Progressive.

Mistro bedre end blind tillid

”I sikkerhedsverdenen arbejder vi med begrebet “zero trust”, som direkte kan oversættes til, at virksomheden ikke skal stole på nogen eller noget. Nogen vil måske sige, det smager lidt for meget af paranoia, men i en tid, hvor hackerangrebene har rigtig mange forskellige ansigter, giver det god mening som udgangspunkt at betragte ethvert log-on-forsøg som et forsøg på kriminel indtrængen i virksomhedens netværk,” uddyber Christian Mark.

Det betyder, at enhver adgang til data skal verificeres, og at det ikke engang er nok, at det sker fra en ip-adresse, som er godkendt af virksomheden. Det er ikke i sig selv sikkerhed nok. I den sammenhæng nævner Christian Mark begrebet “impossible travel”, som betyder, at det ikke er muligt for en medarbejder at logge på kl. 13.00 fra hovedsædet i København og kl. 13.15 fra en enhed i en filial i Aarhus.

Sikkerhed bliver intelligent

”Det kan godt være, at begge ip-adresser er screenet og godkendt, men selv om systemet måske ikke som udgangspunkt ved det, ved vi godt, det ikke kan lade sig gøre at komme fra København til Aarhus på et kvarter,” forklarer Christian Mark.

Han føjer dog til, at kunstig intelligens i stadig højere grad bliver en del af sikkerhedsløsningerne, således at den slags forsøg på indtrængen helt automatisk stoppes i opløbet.

Netop automatisering og integration af sikkerhedsrutinerne helt nede i maven af virksomhedens it-installation bliver stadig mere vigtig af flere årsager. Dels for at medarbejderne ikke føler sig overvåget eller mistænkeliggjort, dels fordi det ikke kun er medarbejdernes mobilitet, som er en udfordring. Det er skyen i sig selv nemlig også, i takt med at flere og flere tjenester flytter derop.

Medarbejderne skal inddrages

“Flere og flere leverandører flytter flere og flere af deres tjenester op i skyen, og de kan efterhånden kommunikere på kryds og tværs. Det er naturligvis en fordel for virksomhederne, når det gælder fleksibilitet og brugervenlighed, men betyder også, at det kan være svært at bevare overblikket over kommunikationsvejene,” uddyber Christian Mark.

I samme moment nævner han dog også løsningen, nemlig ”single sign on”, der eventuelt kombineret med en 2-faktor-godkendelse giver god sikkerhed på en nem og enkel måde.

Samtidig understreger Christian Mark også vigtigheden af, at medarbejderne til stadighed trænes i det at være bevidste om god sikkerhed. For uanset hvor solide mure, der er bygget omkring virksomhedens it-installation, må den menneskelige fejlfaktor aldrig underkendes.

Det er vigtigt at have en plan

Secure Score gør det muligt at vurdere den sikkerhedsmæssige status

God it-sikkerhed handler ikke kun om at gøre det sværest muligt for de it-kriminelle at trænge ind i virksomhedens netværk. Det handler også om, at virksomheden skal have klarhed over de værdier, der skal beskyttes.

Skal alle typer af information beskyttes lige meget, eller er visse typer af information vigtigere end andre?

Derfor kan det være en fordel at læne sig op ad en række retningslinjer og guidelines, der kan hjælpe virksomheden i dette arbejde. Der findes værktøjer til dette. Men hvis virksomheden anvender Microsoft 365, kan man med fordel anvende Secure Score, som følger med denne platform. Den gør det muligt at vurdere den sikkerhedsmæssige status samt identificere potentielle forbedringer på tværs af alle Microsoft 365-arbejdsgange.