Grænserne for sikkerhed flytter sig konstant, og lige nu, hvor den hybride arbejdsplads bliver almindelig, er der hele tiden nye sikkerhedsmæssige udfordringer. Har du for eksempel hørt om de farlige skygge-computere eller om begrebet skygge-it?

Nej, vel?

Det er også et ret nyt fænomen. Tidligere var sikkerhedszonen typisk defineret af virksomhedens interne netværk. Men i en tid, hvor medarbejderne kan arbejde overalt og indimellem bruger deres egne enheder, bliver det til stadighed sværere at overskue topologien i kommunikationen. Ofte vil der ganske enkelt ske det, at grænserne helt udviskes.

Ikke alene arbejder flere og flere mobilt; de anvender også en lang række forskellige enheder. Nogle kan endda en gang imellem finde på at bruge familiens hjemmecomputer, og hvordan sikrer virksomheden sig så lige mod, at vigtige eller fortrolige dokumenter pludselig ligger gemt alle mulige, mærkelige steder.

Mareridtet lurer om hjørnet

Det faktum, at virksomhedens medarbejdere både anvender den teknologi, de kender, og den teknologi, der ligger lige for, kaldes netop for “shadow IT”, på dansk ”skygge-it”. Det er it, som virksomheden ikke kender til og dermed ikke kan forholde sig til.

Det betyder, at kontrollen mistes og, at det – i hvert fald i de værste tilfælde – reelt er brugerne, der overtager styringen. Dette scenarie er enhver virksomheds værste mareridt.

Den gode nyhed er imidlertid, at virksomheden sagtens kan beskytte sig. Det kræver blot omtanke og konsekvens. Når det for eksempel gælder en politik for, hvor data må gemmes, er det helt åbenlyst at forholde sig til, hvilke tjenester medarbejderne må benytte. Skal de for eksempel have adgang til at lægge dokumenter i Dropbox, hvis virksomhedens officielle platform er Microsoft og OneDrive?

Proaktiv i sikkerhedsarbejdet

Set ud fra et sikkerhedsmæssigt synspunkt er svaret indlysende: Nej, det skal de ikke.
Hvis en medarbejder for eksempel tilgår data fra en tjeneste eller enhed, der ikke er autoriseret, skal der ikke være mulighed for at hente og gemme dokumenter på den lokale harddisk.

Samtidig skal virksomheden gør sig helt klart, hvilke typer af information og dokumenter der skal beskyttes bedst muligt. Det kan ske gennem en klassificeringsproces, der opstiller retningslinjer for de forskellige typer af dokumenter, eksempelvis at bestemte typer af dokumenter ikke må bevæge sig uden for virksomheden, medmindre de er krypterede.

Skab ensartede retningslinjer

Det er ikke kun vigtigt at sikre selve den information, der arbejdes med i virksomheden. Det er også vigtigt at definere sikkerhed på brugerniveau – koblet op mod den enhed, hvor brugeren logger på. For eksempel er det muligt at opstille en politik, som betyder, at det er umuligt for brugeren at logge på, hvis ikke den pågældende enhed er opdateret sikkerhedsmæssigt.

Det kaldes for ”compliance” og betyder ganske enkelt, at såvel medarbejder som enhed skal opfylde nogle givne retningslinjer, før der kan opnås adgang til virksomhedens data. 

Selv om medarbejderen har logget korrekt på med det rigtige brugernavn og password, kan der altså lægges et ekstra lag på, som sikrer, at også den fysiske opkobling og forbindelse er sikker.

Den umulige rejse er en trussel

I sikkerhedsverdenen arbejder vi med begrebet “zero trust”, som direkte kan oversættes til, at virksomheden ikke skal stole på nogen eller noget. Nogen vil måske sige, det smager lidt for meget af paranoia, men i en tid, hvor hackerangrebene har rigtig mange forskellige ansigter, giver det god mening som udgangspunkt at betragte ethvert log-on-forsøg som et forsøg på kriminel indtrængen i virksomhedens netværk.

Det betyder, at enhver adgang til data skal verificeres, og at det ikke engang er nok, at det sker fra en ip-adresse, som er godkendt af virksomheden. Det er ikke i sig selv sikkerhed nok. Adgangen skal også være sandsynlig – eksempelvis. I den sammenhæng er der et begreb som “impossible travel”, som betyder, at det ikke er muligt for en medarbejder at logge på kl. 13.00 fra hovedsædet i København og kl. 13.15 fra en enhed i en filial i Aarhus.

Det kan godt være, at begge ip-adresser er screenet og godkendt, men selv om systemet måske ikke som udgangspunkt ved det, ved vi mennesker godt, det ikke kan lade sig gøre at komme fra København til Aarhus på et kvarter.

AI kan du ikke altid narre

Den slags kan kunstig intelligens også lære at gennemskue. Og netop AI i stadig højere grad bliver en del af sikkerhedsløsningerne, således at den slags forsøg på indtrængen helt automatisk stoppes i opløbet. AI lader sig ikke narre.

Automatisering og integration af sikkerhedsrutiner helt ned i maven på virksomhedens it-installation bliver i det hele taget stadig mere vigtig.

Du skal have en plan

Men man behøver ikke begynde med de avancerede løsninger. Start med at lægge en plan, så man ikke fægter i blinde i et skyggeland, hvor risici i princippet findes overalt.
God it sikkerhed handler ikke kun om at gøre det sværest muligt for de it-kriminelle at trænge ind i virksomhedens netværk og at afdække alle skyggesider i ens system. Det handler også om, at virksomheden skal have klarhed over de værdier, der skal beskyttes.

Skal alle typer af information beskyttes lige meget, eller er visse typer af information vigtigere end andre?

Derfor kan det være en fordel at læne sig op ad en række retningslinjer og guidelines, der kan hjælpe virksomheden i dette arbejde.

Der findes mange værktøjer til dette, men hvis virksomheden anvender Microsoft 365, kan man med fordel gøre brug af Secure Score, som følger med denne platform. Den gør det muligt at vurdere den sikkerhedsmæssige status samt identificere potentielle forbedringer på tværs af alle Microsoft 365-arbejdsgange