Af Tom Madsen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
I dette nummer af Alt om DATA har vi en gæsteskribent. Skribenten denne gang er Mads Skalbo, Direktør for Citrix i Danmark. Mads kommer ind på de problemer, vi må se i øjnene hver dag, med den kompleksitet der kommer af de heterogene løsninger, vi har i virksomhederne. Vi har vores datalager i skyen, og medarbejderne bruger deres egne devices til at tilgå disse data. Og de bruger de offentlige netværk til at tilgå disse data, hvilket alt sammen er noget, der kan give virksomhedens it-sikkerhedsfolk grå hår i hovedet.
Den moderne medarbejder har høje forventninger til de systemer, de skal arbejde med, og til de muligheder der er for at tilgå disse systemer. Samtidigt er virksomhederne interesserede i at sikre, at deres data ikke kommer uvedkommende i hænde. Specielt hvis de er underlagt nogle lovkrav, som f.eks. ofte er tilfældet i finansverdenen, eller hvis de driver forskning, som ikke må komme konkurrenter i hænde. Med denne lille introduktion, vil jeg byde velkommen til Mads Skalbo, og hans artikel om Morgendagens Trusler:
”Den måde, vi bruger it på, ændrer sig dag for dag. Det kræver derfor ny viden og nye kompetencer at beskytte data. Det nytter ikke længere med stramme restriktioner, da vi er nødt til at imødekomme medarbejdernes stigende ønske om frihed til at arbejde hvor som helst og når som helst. De forventer, at it-afdelingen har styr på, at arbejds- og personlige data er adskilte og sikrede.
Det nye sikkerhedsscenarie ser nogenlunde sådan her ud:
I stedet for at eje og kontrollere ethvert element i infrastrukturen end-to-end – applikationer, data, netværk, storage og servere – lader vi medarbejderne bruge deres egne devices til at tilgå data og apps, ovenikøbet via offentlige netværk.
Vi bruger cloud services, som er hostet af tredjepart, så vores eget sikre datacenter bare er én faktor i et hybridt miljø, der hele tiden vokser. Og vi gør det, selv om truslerne mod vores data bliver stadigt mere alvorlige. Vi ved nemlig, at vores politikker kan tilpasse sig den aktuelle situation, fordi de er baseret på adfærd, og fordi vi nu formår at fokusere på de rigtige ting, når det handler om at sikre vores data.
Dette giver naturligvis hovedbrud for sikkerhedsfolk inden for bl.a. finans, sundhed og andre regulerede brancher – ligesom det er tilfældet alle de steder, hvor datasikkerhed er kritisk. Men det er ikke muligt at gå tilbage til en tid, hvor it var en kolos på lerfødder, hvor netværk var helt lukkede, og medarbejderne var bundet til deres skrivebord. Og der er ingen grund til at holde fast i sikkerhedsmodeller, der er designet til den tid, for de virker ikke længere.
I dag, hvor mobilitet er et must, og hvor brugen af it i vidt omfang er præget af consumerisation, har vi brug for at gentænke sikkerheden, så den passer til kravene om adgang til alting, hvor som helst og fra hvilken som helst device.
Mads SkalboMads er direktør for Citrix i Danmark og taler i denne artikel om, hvordan virksomheder skal forny sig for at leve op til nye og anderledes sikkerhedskrav.
Overordnet set står it overfor to sammenhængende udfordringer:
At skulle leve op til medarbejdernes krav om fleksibilitet og mobilitet, så det er muligt at arbejde på alle slags devices, hvor som helst, på et hvilket som helst netværk og med adgang til alle typer services, dvs. både on-premise, cloud services og mobile apps.
At skulle håndtere personfølsomme data, forretningshemmeligheder, intellektuel ejendom og andre typer værdifulde data både på servere og devices.
Husk de fem H’er
Sikkerhed bliver til stadighed et vigtigere område. Digitaliseringsprocessen øger mængden af data hos de fleste virksomheder, samtidig med at sikkerhedsbrud, datatab og datatyveri finder sted i et omfang, der aldrig er set før.
En af fordelene ved den gamle sikkerhedsmodel var enkelheden: Når du én gang havde logget på med valide id-oplysninger, kunne du tilgå og hente alle de data, du ønskede. Men enkelheden var ikke omkostningsfri: Den muliggjorde sikkerhedsbrud og angreb.
En moderne sikkerhedsmodel skal være lige så simpel og anvendelig på enhver anmodning om dataadgang og enhver datatransaktion, samtidig med at den beskytter data på en måde, der er rigtig i forhold til den måde, vi arbejder på i dag. Nøglen er at have en kontekstuel tilgang til data. Derfor bør man fokusere på de fem H’er, som skal tænkes ind i en ny sikkerhedsmodel:
Hvem forsøger at tilgå data?
Hvilke data forsøger de at tilgå?
Hvor sker det?
Hvorfor ønsker de adgang?
Hvor er brugeren?
Svarene på disse spørgsmål giver dig grundlaget for at beslutte, om der bør gives adgang til data. Faktisk kan it-afdelingen automatisere processen baseret på medarbejderens profil og historie. En sikkerhedsmodel, der tager alle fem H’er i betragtning, kan analysere bruger-adfærden og advare, hvis nogen logger på med id-oplysninger fra et ukendt device eller en ukendt lokation. Alle fem faktorer skal i spil. Det handler nemlig ikke kun om, hvem du er. At verificere en medarbejders identitet via id og password er uden mening, hvis den adgang, medarbejderen beder om, ikke passer i den givne situation eller med det givne formål.
For eksempel skal spørgsmålet om ”hvem” behandles forskelligt afhængig af informationen om ”hvad”. Mere følsomme data kræver en højere grad af autorisation, flere kontroller og mere stringente politikker. Man ønsker ikke at bebyrde medarbejdere i andre funktioner, som bruger offentlige data, med multi-faktor authentificering og gentagne logins i løbet af en arbejdsdag.
“Hvem” skal også tjekkes for sammenhæng med “hvornår” og “hvor”. Er det første gang en medarbejder logger på kl. 03.30 om natten? Forsøger hun eller han at tilgå følsomme data fra et andet land? Tilhører de pågældende data en helt anden forretningsenhed eller et andet projekt? En afvigelse fra normen behøver ikke nødvendigvis at forbyde adgang, men det bør medføre en alarm og kræve yderligere forklaring.
Systemet skal også have viden om “hvorfor” og med udgangspunkt i forretningsrejser og derfor tidsforskel at forudsige, hvorfra medarbejderen får brug for adgang, eller hvordan behovet vil ændre sig, hvis der sker ændringer i medarbejderens rolle i organisationen. Dette kan reducere behovet for menneskelig indgriben og reducere bureaukratiet, når det drejer sig om mobile medarbejdere.
I takt med at data og mennesker bliver mobile, vil det sidste element i den nye sikkerhedsmodel hjælpe med at beskytte organisationen fra risici i ethvert scenarie: Uanset hvor data befinder sig, skal de være krypterede, så hverken systemnedbrud eller menneskelige fejl gør dem sårbare. Desuden skal alle transaktioner kunne verificeres og logges, så enhver adgang til data kan revideres.
Ved at kombinere mobilitet og fleksibilitet med gradueret kontrol, gør kontekstuel adgang det muligt at bruge data bredere og i flere sammenhænge og hermed skabe produktivitet og værdi uden at øge virksomhedens sårbarhed."
