Firmahemmeligheder og Facebook på samme telefon er en helt uansvarlig cocktail

Klumme: It-sikkerhed handler ikke om at undgå at blive hacket, for det er umuligt. I dag drejer det sig om data og informationssikkerhed i form af politikker, procedurer og efterretninger.

Megatrends er over os! Virksomheder arbejder med at lande i "den tredje platform", hvor cloud, mobility og big data er fremherskende.

Især teknologierne omkring cloud computing og mobility stiller store krav til virksomhedens håndtering af data. Og til beskyttelsen af samme.

Her er problemstillingen i en nøddeskal:

Medarbejdere har behov for, at have adgang til applikationer og informationer, som er nødvendige for at løse deres opgaver. Men de har også brug for at tilgå diverse digitale platforme for at passe deres privatliv.

Mange af de platforme, som bruges privat, bliver også vigtigere og vigtigere i arbejdsmæssige sammenhænge. For de yngre generationer er dette en forudsætning for, at de kan udføre deres arbejde effektivt.

Nogle tilgår private platforme fra arbejdspladsens enheder, mens andre tilgår arbejdspladsens systemer fra deres private enheder. Mange gør begge dele - eller har alt samlet på én og samme enhed.

Men alle enheder og applikationer, som ikke er godkendt og løbende kontrolleres af organisationens it-sikkerhedsansvarlige, må dog betragtes som usikre!

Organisationens opgave er derfor at sikre, at al adgang til følsomme organisationsdata og systemer bliver nøje afvejet. Adgang bør kun kunne ske fra godkendte enheder, som løbende kontrolleres af organisationen.

Det er ganske enkelt uansvarligt at give en medarbejder adgang til kritiske oplysninger fra den telefon, som vedkommende går på Facebook fra.

P, P og E
Jeg mener, det er essentielt, at organisationer bliver bedre til at kontrollere data, end de er i dag, samtidig med, at de har en realistisk tilgang til, hvordan medarbejderne passer deres job og lever deres liv.

Men det er ikke let - især ikke i de omskiftelige arbejdsmiljøer, som de fleste af os er engagerede i.

Mange steder er effektivitet og målrettethed jo høtj prioriteret. Alligevel harmonerer behovet for at flekse rundt mellem arbejdsliv og privatliv ikke med best practise it-sikkerhed.

Det repræsenterer en udfordring, men det er ikke umuligt.

For at tingene går op i en højere enhed, må organisationens ledelse forstå og respektere den virkelighed, som arbejdspladsen og dens medarbejderne befinder sig i. En virkelighed, hvor hackere vil gøre sig meget umage for at stjæle oplysninger, og hvor medarbejdere er den nemmeste vinkel at angribe fra.

It-sikkerhed handler nemlig ikke længere om at undgå at blive hacket, for det er umuligt, medmindre du kobler alt fra og undgår enhver forbindelse til nettet. I dag handler sikkerhed i stedet om data og informationssikkerhed for disse data. Mit bud er, at organisationer skal se på informationssikkerhed som politikker, procedurer og efterretninger.

Det handler om at se bort fra alle de tekniske it-sikkerhedsforanstaltninger for en tid og i stedet begynde at svare på eksempelvis følgende spørgsmål:

- Hvad er reglerne for, hvordan vi klassificerer vores data?

- Hvilke sikkerhedsstandarder vedtager vi for at beskytte vores data?

- Afgrænser vi adgangen til de væsentlige/følsomme oplysninger?

- Ved vi, hvordan vi lukker adgangen til følsomme data hurtigt og effektivt?

Dataklassifikation - sådan gør du
For at være i stand til at udøve datakontrol, må organisationen have en løbende risikovurdering af sine data ud fra deres følsomhed. Er der tale om personfølsomme eller forretningskritiske data, som er sensitive for organisationen?

Data må løbende klassificeres i kategorier ud fra bestemte kriterier for, hvor problematisk det er, hvis de bliver stjålet eller lækket.

Dernæst må der tages stilling til hvem, der må tilgå dem og fra hvilke enheder.

Hvornår har medarbejdere behov for adgang til e-mails? Og hvad er konsekvensen, hvis en enhed bliver kompromitteret? Hvornår skal man have adgang til borgerinformationer? Og hvad kan der ske, hvis ondsindede får adgang til disse informationer?

Det er op til den enkelte organisation at træffe disse valg.

Så snart data og informationer er blevet klassificeret, er det tid til at bestemme, hvordan de forskellige informationer skal kunne tilgås.

Et eksempel på top-level definitioner kunne være:

Forretningskritisk information: Ingen adgang fra private eller mobile enheder.

Ikke offentligt tilgængelig information: Ingen adgang fra private enheder.

Offentlig tilgængelig information: Adgang fra private enheder.

Man arbejder altså ud fra en need-to-know basis.

Men det kræver, at man i organisationen kender sin infrastruktur; at man har overblik over alle applikationer og kender sikkerhedsniveauet på de forskellige applikationer og enheder.

Hvilke applikationer skal eventuelt fjernes fra systemet eller opdateres straks?

Her er det vigtigt med præcise efterretninger om software-sårbarheder for at kunne imødegå truslen korrekt.

Hvis du kender en given applikations placering og adgangstilladelser i dit system, og du får besked, når denne applikation bliver sårbar og derfor kan udnyttes af hackere, kan du reagere hurtigt og præcist og imødegå truslen.

Secunias seneste opgørelse over sårbare applikationer viser over 13.000 nye sårbarheder i applikationer på et år. Tallet vil være endnu højere i år.

Det betyder heldigvis ikke, at alle 13.000 sårbarheder har en betydning for din organisation. Det er jo lige meget for dig, at en applikation er usikker, hvis du ikke har den i dit system, eller kan give adgang til personfølsom information.

Pointen er: Ved du, om du bruger sårbare applikationer til personfølsom information? Og kender du sikkerhedsniveauet på de enkelte applikationer? Det er her, hvor arbejdet med dataklassifikation og -kontrol ligger.

Der er ingen tvivl om, at hvis flere brugte mere tid på at gennemgå risiko-scenarier med dataklassifikation for øje, så ville der måske være færre situationer, hvor fremmede fik adgang til følsomme data som i sagen med lækkede CPR-numre for nylig.

Denne sag, samt mange andre sager, har påvist, hvilke elementer alle organisationer må bokse med, når de tackler deres it-sikkerhed: - Udokumenterede processer, som gør det praktisk umuligt at vedligeholde og rapportere skiftende sikkerhedsniveauer.

- Konkurrerende prioriteringer, som fører til forsinkelser for bedømmelse og opdatering af sikkerhedskritiske applikationer.

- Fragmenteret infrastruktur, som negativt påvirker labyrinten af teknologier og systemer, der er forbundne på uholdbare (og nogle gange mystiske) måder.

- Mangel på sikkerhedstræning og awareness blandt brugere, der i god tro kommer til at åbne for adgang til systemer og netværk.

- Uhensigtsmæssig kommunikation (som påpeges flere steder) og koordinering, der fører til misforståelser og handlinger, der ikke håndteres i tide.

Som det fremgår af ovenstående, er it-sikkerhed ikke kun et spørgsmål om teknik, men i høj grad om politikker, processer, viden og overblik.

Der er tale om forretningskritiske processer, og det kræver i høj grad ledelsesinvolvering. Konsekvensen er, at vi ikke længere kan komme uden om, at ansvaret for it-sikkerheden skal højere op på ledelsesagendaen.


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
Cloud-teknologi sikrede dronningens corona-tale - men DRs CIO Mikkel Müller er slet ikke færdig med cloud endnu
Uden cloud og den rette cloud-strategi havde DR ikke haft samme muligheder eller nye digitale produkter. Det fortæller CIO Mikkel Müller til Computerworld - hvor han også uddyber hvordan han ser resten af it-landskabet bevæge sig mod cloud og hvordan udviklere efterspørger de moderne værktøjer.
Job & Karriere
På jagt efter et it-job i Jylland? Her er 10 stillinger fra Aabenraa til Aalborg, der ledige netop nu
Vi har fundet en række spændende stillinger til dig, der jagter et it-job. Her kan du vælge og vrage mellem ledige stillinger lige fra Aabenraa til Aalborg.
White paper
Sådan skaber du mere effektive forretningsprocesser med automatisering
Virksomheder skal kunne håndtere enorme mængder af data, hvilket har affødt et behov for smartere og mere effektive løsninger til håndtering af de daglige, ensformige og rutineprægede processer. Hvor disse opgaver tidligere kunne klares via manuel arbejdskraft, kalder markedets udvikling og efterspørgsel nu i højere grad på automatiserede alternativer. Og det er netop her, at process mining kommer ind i billedet som et operativt værktøj til at kunne maksimere procesautomatiseringernes samlede effekt og afkast – gennem visualisering og analyse af dit komplekse dataflow. I dette whitepaper kan du lære om koblingen mellem procesoptimering og process mining – et intelligent optimeringsværktøj, der giver dig mulighed for at spore og visualisere dine data, så de bliver analyserbare og kan udnyttes til procesoptimering og til at eliminere dine digitale omveje.