Søg

Firmahemmeligheder og Facebook på samme telefon er en helt uansvarlig cocktail

Klumme: It-sikkerhed handler ikke om at undgå at blive hacket, for det er umuligt. I dag drejer det sig om data og informationssikkerhed i form af politikker, procedurer og efterretninger.

23. januar 2015 kl. 10.01
Artikel top billede
Peter Colsted Peter Colsted Administrerende direktør, Secunia

Megatrends er over os! Virksomheder arbejder med at lande i "den tredje platform", hvor cloud, mobility og big data er fremherskende.

Især teknologierne omkring cloud computing og mobility stiller store krav til virksomhedens håndtering af data. Og til beskyttelsen af samme.

Her er problemstillingen i en nøddeskal:

Medarbejdere har behov for, at have adgang til applikationer og informationer, som er nødvendige for at løse deres opgaver. Men de har også brug for at tilgå diverse digitale platforme for at passe deres privatliv.

Mange af de platforme, som bruges privat, bliver også vigtigere og vigtigere i arbejdsmæssige sammenhænge. For de yngre generationer er dette en forudsætning for, at de kan udføre deres arbejde effektivt.

Nogle tilgår private platforme fra arbejdspladsens enheder, mens andre tilgår arbejdspladsens systemer fra deres private enheder. Mange gør begge dele - eller har alt samlet på én og samme enhed.

Men alle enheder og applikationer, som ikke er godkendt og løbende kontrolleres af organisationens it-sikkerhedsansvarlige, må dog betragtes som usikre!

Organisationens opgave er derfor at sikre, at al adgang til følsomme organisationsdata og systemer bliver nøje afvejet. Adgang bør kun kunne ske fra godkendte enheder, som løbende kontrolleres af organisationen.

Det er ganske enkelt uansvarligt at give en medarbejder adgang til kritiske oplysninger fra den telefon, som vedkommende går på Facebook fra.

P, P og E

Jeg mener, det er essentielt, at organisationer bliver bedre til at kontrollere data, end de er i dag, samtidig med, at de har en realistisk tilgang til, hvordan medarbejderne passer deres job og lever deres liv.

Men det er ikke let - især ikke i de omskiftelige arbejdsmiljøer, som de fleste af os er engagerede i.

Mange steder er effektivitet og målrettethed jo høtj prioriteret. Alligevel harmonerer behovet for at flekse rundt mellem arbejdsliv og privatliv ikke med best practise it-sikkerhed.

Det repræsenterer en udfordring, men det er ikke umuligt.

For at tingene går op i en højere enhed, må organisationens ledelse forstå og respektere den virkelighed, som arbejdspladsen og dens medarbejderne befinder sig i. En virkelighed, hvor hackere vil gøre sig meget umage for at stjæle oplysninger, og hvor medarbejdere er den nemmeste vinkel at angribe fra.

It-sikkerhed handler nemlig ikke længere om at undgå at blive hacket, for det er umuligt, medmindre du kobler alt fra og undgår enhver forbindelse til nettet.

I dag handler sikkerhed i stedet om data og informationssikkerhed for disse data. Mit bud er, at organisationer skal se på informationssikkerhed som politikker, procedurer og efterretninger.

Det handler om at se bort fra alle de tekniske it-sikkerhedsforanstaltninger for en tid og i stedet begynde at svare på eksempelvis følgende spørgsmål:

- Hvad er reglerne for, hvordan vi klassificerer vores data?

- Hvilke sikkerhedsstandarder vedtager vi for at beskytte vores data?

- Afgrænser vi adgangen til de væsentlige/følsomme oplysninger?

- Ved vi, hvordan vi lukker adgangen til følsomme data hurtigt og effektivt?

Dataklassifikation - sådan gør du

For at være i stand til at udøve datakontrol, må organisationen have en løbende risikovurdering af sine data ud fra deres følsomhed. Er der tale om personfølsomme eller forretningskritiske data, som er sensitive for organisationen?

Data må løbende klassificeres i kategorier ud fra bestemte kriterier for, hvor problematisk det er, hvis de bliver stjålet eller lækket.

Dernæst må der tages stilling til hvem, der må tilgå dem og fra hvilke enheder.

Hvornår har medarbejdere behov for adgang til e-mails? Og hvad er konsekvensen, hvis en enhed bliver kompromitteret? Hvornår skal man have adgang til borgerinformationer? Og hvad kan der ske, hvis ondsindede får adgang til disse informationer?

Det er op til den enkelte organisation at træffe disse valg.

Så snart data og informationer er blevet klassificeret, er det tid til at bestemme, hvordan de forskellige informationer skal kunne tilgås.

Et eksempel på top-level definitioner kunne være:

Forretningskritisk information: Ingen adgang fra private eller mobile enheder.

Ikke offentligt tilgængelig information: Ingen adgang fra private enheder.

Offentlig tilgængelig information: Adgang fra private enheder.

Man arbejder altså ud fra en need-to-know basis.

Men det kræver, at man i organisationen kender sin infrastruktur; at man har overblik over alle applikationer og kender sikkerhedsniveauet på de forskellige applikationer og enheder.

Hvilke applikationer skal eventuelt fjernes fra systemet eller opdateres straks?

Her er det vigtigt med præcise efterretninger om software-sårbarheder for at kunne imødegå truslen korrekt.

Hvis du kender en given applikations placering og adgangstilladelser i dit system, og du får besked, når denne applikation bliver sårbar og derfor kan udnyttes af hackere, kan du reagere hurtigt og præcist og imødegå truslen.

Secunias seneste opgørelse over sårbare applikationer viser over 13.000 nye sårbarheder i applikationer på et år. Tallet vil være endnu højere i år.

Det betyder heldigvis ikke, at alle 13.000 sårbarheder har en betydning for din organisation. Det er jo lige meget for dig, at en applikation er usikker, hvis du ikke har den i dit system, eller kan give adgang til personfølsom information.

Pointen er: Ved du, om du bruger sårbare applikationer til personfølsom information? Og kender du sikkerhedsniveauet på de enkelte applikationer? Det er her, hvor arbejdet med dataklassifikation og -kontrol ligger.

Der er ingen tvivl om, at hvis flere brugte mere tid på at gennemgå risiko-scenarier med dataklassifikation for øje, så ville der måske være færre situationer, hvor fremmede fik adgang til følsomme data som i sagen med lækkede CPR-numre for nylig.

Denne sag, samt mange andre sager, har påvist, hvilke elementer alle organisationer må bokse med, når de tackler deres it-sikkerhed:

- Udokumenterede processer, som gør det praktisk umuligt at vedligeholde og rapportere skiftende sikkerhedsniveauer.

- Konkurrerende prioriteringer, som fører til forsinkelser for bedømmelse og opdatering af sikkerhedskritiske applikationer.

- Fragmenteret infrastruktur, som negativt påvirker labyrinten af teknologier og systemer, der er forbundne på uholdbare (og nogle gange mystiske) måder.

- Mangel på sikkerhedstræning og awareness blandt brugere, der i god tro kommer til at åbne for adgang til systemer og netværk.

- Uhensigtsmæssig kommunikation (som påpeges flere steder) og koordinering, der fører til misforståelser og handlinger, der ikke håndteres i tide.

Som det fremgår af ovenstående, er it-sikkerhed ikke kun et spørgsmål om teknik, men i høj grad om politikker, processer, viden og overblik.

Der er tale om forretningskritiske processer, og det kræver i høj grad ledelsesinvolvering. Konsekvensen er, at vi ikke længere kan komme uden om, at ansvaret for it-sikkerheden skal højere op på ledelsesagendaen.

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Nye kolleger søges til IT Stab i Forsvaret

    Københavnsområdet

    Netcompany A/S

    Network Engineer

    Københavnsområdet

    TV2

    Integrationsarkitekt – vil du skabe sammenhængen i vores digitale økosystem?

    Københavnsområdet

    Vivant ApS

    Team Lead – Support & Operations

    Københavnsområdet

    Se flere it-stillinger
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Computerworld Summit 2026 - København

    Digital transformation | København

    Computerworld Summit 2026 - København

    Styrk din digitale strategi med konkret brug af AI og ny teknologi. Mød 250 it-professionelle, få indsigter, løsninger og netværk på én dag. Computerworld Summit i København viser hvordan teknologi skaber forretningsværdi – her og nu.

    NIS2 gjort enkelt - spar tid med Security Insights

    Sikkerhed | Online

    NIS2 gjort enkelt - spar tid med Security Insights

    Få styr på NIS2 uden manuelt kaos. Lær at automatisere security assessments, styrke dokumentation og prioritere indsats. TDC Erhverv viser konkrete greb, der sparer tid og løfter compliance. Tilmeld og få 2 måneders gratis Security Insights.

    Roundtable: Stærkere data og skarpere beslutninger i en AI-æra

    Digital transformation | Hellerup

    Roundtable: Stærkere data og skarpere beslutninger i en AI-æra

    AI kræver data, ledelsen kan stole på. Computerworld samler digitale ledere til en fortrolig rundbordssamtale om datagrundlag, beslutninger og skalering af AI i organisationen. Få konkrete erfaringer og nye perspektiver. Ansøg om en plads.

    Se alle vores events inden for it

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Mohamed El Haddaoui, er pr. 7. april 2026 ansat hos Dafolo A/S som IT-systemudvikler. Han skal især beskæftige sig med udviklingsopgaver relateret til Brugerklubben SBSYS. Han er nyuddannet datamatiker og har erfaring med udvikling af REST API'er og integreret databaser. Nyt job

    Mohamed El Haddaoui

    Dafolo A/S

    Infosuite A/S har pr. 1. marts 2026 ansat Henrik Sandmann som Chief Operating Officer (COO). Han skal især beskæftige sig med drift, produktudvikling og skalering, herunder også procesforbedringer og udnyttelse af AI og nye teknologier. Han kommer fra en stilling som Program Director hos ADMG ApS. Han er uddannet cand. scient i datalogi og har derudover en MBA indenfor strategi, ledelse og forretningsudvikling. Nyt job

    Henrik Sandmann

    Infosuite A/S

    Norriq Danmark A/S har pr. 1. januar 2026 ansat Morten Kronborg som Consultant ERP. Han skal især beskæftige sig med hjælp og rådgivning af kundernes handels-forretningsprocesser indenfor salg og indkøb. Han kommer fra en stilling som Digital Forretningskonsulent hos Gasa Nord Grønt. Han er uddannet speditør og har bevæget sig ind i handelsvirksomheder hvor han endte med ansvar for ERP-løsninger. Han har tidligere beskæftiget sig med at være ansvarlig for implementering og drift af IT-projekter. Nyt job

    Morten Kronborg

    Norriq Danmark A/S

    Henrik Vittrup Zoega, projektkoordinator hos Departementet for Fiskeri, Fangst, Landbrug og Selvforsyning, Grønland, har pr. 22. januar 2026 fuldført uddannelsen Master i it, linjen i organisation på Syddansk Universitet via It-vest-samarbejdet. Færdiggjort uddannelse

    Henrik Vittrup Zoega

    Departementet for Fiskeri, Fangst, Landbrug og Selvforsyning, Grønland

    Se mere fra navnenyt

    Mest læste

    1 Framework lancerer sin lækreste laptop: ”Det er en MacBook Pro for Linux-brugere”
    2 Kæmpe-fusion på trapperne: Vil føre til verdens største teleselskab
    3 Claude-programmører risikerer en seksdobling af abonnementspriserne
    4 Gennemsnitsalderen steg og steg: Sådan har SAP fået sat en stopper for truende aldersbombe i Danmark
    5 Han står i spidsen for kommunernes it-chefer: Her er hans største bekymringer, når kommunerne tvinges til at slå deres it-drift sammen
    6 Brit har forsket i datacentre i årevis: De er meget mere farlige, end vi tror
    7 Claus' virksomhed med 100 ansatte ramt af ransomware-angreb: Hidtil ukendt hackerkartel står bag
    8 Efter stor ballade: Danske universiteter gør klar til at indkøbe ekstern it-hjælp for op mod 125 millioner kroner: Her er opgaven

    Se seneste uge