Megatrends er over os! Virksomheder arbejder med at lande i "den tredje platform", hvor cloud, mobility og big data er fremherskende.
Især teknologierne omkring cloud computing og mobility stiller store krav til virksomhedens håndtering af data. Og til beskyttelsen af samme.
Her er problemstillingen i en nøddeskal:
Medarbejdere har behov for, at have adgang til applikationer og informationer, som er nødvendige for at løse deres opgaver. Men de har også brug for at tilgå diverse digitale platforme for at passe deres privatliv.
Mange af de platforme, som bruges privat, bliver også vigtigere og vigtigere i arbejdsmæssige sammenhænge. For de yngre generationer er dette en forudsætning for, at de kan udføre deres arbejde effektivt.
Nogle tilgår private platforme fra arbejdspladsens enheder, mens andre tilgår arbejdspladsens systemer fra deres private enheder. Mange gør begge dele - eller har alt samlet på én og samme enhed.
Men alle enheder og applikationer, som ikke er godkendt og løbende kontrolleres af organisationens it-sikkerhedsansvarlige, må dog betragtes som usikre!
Organisationens opgave er derfor at sikre, at al adgang til følsomme organisationsdata og systemer bliver nøje afvejet. Adgang bør kun kunne ske fra godkendte enheder, som løbende kontrolleres af organisationen.
Det er ganske enkelt uansvarligt at give en medarbejder adgang til kritiske oplysninger fra den telefon, som vedkommende går på Facebook fra.
P, P og E
Jeg mener, det er essentielt, at organisationer bliver bedre til at kontrollere data, end de er i dag, samtidig med, at de har en realistisk tilgang til, hvordan medarbejderne passer deres job og lever deres liv.
Men det er ikke let - især ikke i de omskiftelige arbejdsmiljøer, som de fleste af os er engagerede i.
Mange steder er effektivitet og målrettethed jo høtj prioriteret. Alligevel harmonerer behovet for at flekse rundt mellem arbejdsliv og privatliv ikke med best practise it-sikkerhed.
Det repræsenterer en udfordring, men det er ikke umuligt.
For at tingene går op i en højere enhed, må organisationens ledelse forstå og respektere den virkelighed, som arbejdspladsen og dens medarbejderne befinder sig i. En virkelighed, hvor hackere vil gøre sig meget umage for at stjæle oplysninger, og hvor medarbejdere er den nemmeste vinkel at angribe fra.
It-sikkerhed handler nemlig ikke længere om at undgå at blive hacket, for det er umuligt, medmindre du kobler alt fra og undgår enhver forbindelse til nettet.
I dag handler sikkerhed i stedet om data og informationssikkerhed for disse data. Mit bud er, at organisationer skal se på informationssikkerhed som politikker, procedurer og efterretninger.
Det handler om at se bort fra alle de tekniske it-sikkerhedsforanstaltninger for en tid og i stedet begynde at svare på eksempelvis følgende spørgsmål:
- Hvad er reglerne for, hvordan vi klassificerer vores data?
- Hvilke sikkerhedsstandarder vedtager vi for at beskytte vores data?
- Afgrænser vi adgangen til de væsentlige/følsomme oplysninger?
- Ved vi, hvordan vi lukker adgangen til følsomme data hurtigt og effektivt?
Dataklassifikation - sådan gør du
For at være i stand til at udøve datakontrol, må organisationen have en løbende risikovurdering af sine data ud fra deres følsomhed. Er der tale om personfølsomme eller forretningskritiske data, som er sensitive for organisationen?
Data må løbende klassificeres i kategorier ud fra bestemte kriterier for, hvor problematisk det er, hvis de bliver stjålet eller lækket.
Dernæst må der tages stilling til hvem, der må tilgå dem og fra hvilke enheder.
Hvornår har medarbejdere behov for adgang til e-mails? Og hvad er konsekvensen, hvis en enhed bliver kompromitteret? Hvornår skal man have adgang til borgerinformationer? Og hvad kan der ske, hvis ondsindede får adgang til disse informationer?
Det er op til den enkelte organisation at træffe disse valg.
Så snart data og informationer er blevet klassificeret, er det tid til at bestemme, hvordan de forskellige informationer skal kunne tilgås.
Et eksempel på top-level definitioner kunne være:
Forretningskritisk information: Ingen adgang fra private eller mobile enheder.
Ikke offentligt tilgængelig information: Ingen adgang fra private enheder.
Offentlig tilgængelig information: Adgang fra private enheder.
Man arbejder altså ud fra en need-to-know basis.
Men det kræver, at man i organisationen kender sin infrastruktur; at man har overblik over alle applikationer og kender sikkerhedsniveauet på de forskellige applikationer og enheder.
Hvilke applikationer skal eventuelt fjernes fra systemet eller opdateres straks?
Her er det vigtigt med præcise efterretninger om software-sårbarheder for at kunne imødegå truslen korrekt.
Hvis du kender en given applikations placering og adgangstilladelser i dit system, og du får besked, når denne applikation bliver sårbar og derfor kan udnyttes af hackere, kan du reagere hurtigt og præcist og imødegå truslen.
Secunias seneste opgørelse over sårbare applikationer viser over 13.000 nye sårbarheder i applikationer på et år. Tallet vil være endnu højere i år.
Det betyder heldigvis ikke, at alle 13.000 sårbarheder har en betydning for din organisation. Det er jo lige meget for dig, at en applikation er usikker, hvis du ikke har den i dit system, eller kan give adgang til personfølsom information.
Pointen er: Ved du, om du bruger sårbare applikationer til personfølsom information? Og kender du sikkerhedsniveauet på de enkelte applikationer? Det er her, hvor arbejdet med dataklassifikation og -kontrol ligger.
Der er ingen tvivl om, at hvis flere brugte mere tid på at gennemgå risiko-scenarier med dataklassifikation for øje, så ville der måske være færre situationer, hvor fremmede fik adgang til følsomme data som i sagen med lækkede CPR-numre for nylig.
Denne sag, samt mange andre sager, har påvist, hvilke elementer alle organisationer må bokse med, når de tackler deres it-sikkerhed:
- Udokumenterede processer, som gør det praktisk umuligt at vedligeholde og rapportere skiftende sikkerhedsniveauer.
- Konkurrerende prioriteringer, som fører til forsinkelser for bedømmelse og opdatering af sikkerhedskritiske applikationer.
- Fragmenteret infrastruktur, som negativt påvirker labyrinten af teknologier og systemer, der er forbundne på uholdbare (og nogle gange mystiske) måder.
- Mangel på sikkerhedstræning og awareness blandt brugere, der i god tro kommer til at åbne for adgang til systemer og netværk.
- Uhensigtsmæssig kommunikation (som påpeges flere steder) og koordinering, der fører til misforståelser og handlinger, der ikke håndteres i tide.
Som det fremgår af ovenstående, er it-sikkerhed ikke kun et spørgsmål om teknik, men i høj grad om politikker, processer, viden og overblik.
Der er tale om forretningskritiske processer, og det kræver i høj grad ledelsesinvolvering. Konsekvensen er, at vi ikke længere kan komme uden om, at ansvaret for it-sikkerheden skal højere op på ledelsesagendaen.