 Av Ståle Ekelund, Sikkerhetsekspert og globalt ansvarlig for utvikling av tjenesten "Mobil Sikkerhet" i Accenture.
Mobile løsninger forandrer måten vi arbeider, kommuniserer og lever på. For bedrifter representerer den mobile arbeidstakeren mulighet til økt effektivitet, fleksibilitet og tilgjengelighet, men også en betydelig sikkerhetsrisiko. Bedrifter som håndterer denne risikoen proaktivt, kan høste fruktene av de nye mulighetene. Men da må de begynne å se informasjonssikkerhet som en forretningsdriver, heller enn en utgift. Mens den mobile arbeidstakeren tidligere måtte innom bedriften for å mate inn og hente ut ny informasjon fra systemene og lese e-post, har vi i de siste årene sett en eksplosjon av mobile løsninger, fra mobiltelefoner og ekstern tilgang til e-post og kalender, til fjerntilgang til bedriftens kjernesystemer. Denne utviklingen er like uunngåelig som den er positiv. Brukerne får tilgang til og kan sende kritisk informasjon i sanntid, uansett hvor de måtte befinne seg. Bedriften får riktigere avgjørelser på kortere tid. Det går mindre tid og kostnader med til for eksempel reiser, og disse ressursene kan i stedet investeres mer effektivt. Den mobile arbeidstakeren blir mer produktiv, og motivasjonen og trivselen øker. Enten vi snakker om en laptop, PDA, Smartphone eller et flyttbart lagringsmedium, kan slike bærbare enheter gi betydelige konkurransefortrinn. Men de medfører også ny risiko for å påføre skade både på bedriftens anseelse og økonomi. Derfor er det beklagelig å observere det åpenbare gapet mellom hvordan vi jobber og hvordan mange bedrifter håndterer informasjonssikkerheten. Skremmende mange bedrifter lukker nemlig øynene for utfordringene de nye arbeidsformene bærer med seg. Noen mener at siden det ikke er bedriften selv som utstyrer ansatte med bærbare enheter, så er det heller ikke bedriftens problem. Andre viser til at de har en policy om at slikt utstyr ikke skal brukes. Da er det kanskje på tide å våkne opp? I dag er mobile enheter så nyttige og koster så lite, at vi kjøper dem selv, hvis bedriften ikke gjør det. Og de brukes til langt mer enn bedriften liker å tenke på. Blant annet til å oppbevare informasjon som kan skade både den ansatte og virksomheten hvis den havner i feil hender. Tidligere betydde informasjonssikkerhet stort sett perimeterbasert sikkerhet, det vil si fysisk og elektronisk sikring av bedriftens fire vegger for å hindre uautorisert tilgang. I tillegg sikret bedriften seg i forhold til den mobile arbeidstakerens personlige integritet gjennom konfidensialitetsavtaler og gjensidig tillit. Og fremdeles er det alt for mange bedrifter som behandler hensynet til informasjonssikkerhet som om virksomheten fremdeles kun opererte innenfor fire definerte vegger. Men hva hjelper det å ha god perimetersikkerhet hvis ens egne medarbeidere regelmessig tar bærbart utstyr forbi kontrollpunktene og kobler det rett til sine stasjonære PCer? Eller hvis vi laster ned massevis av informasjon – som bedriften bruker store summer på å sikre – til et lite, flyttbart lagringsmedium som har gigabytekapasitet, men ingen tilgangskontroll eller kryptering? Det er lett å se at det nå er på tide å revidere oppfatningen om å basere IT-sikkerheten på perimetersikkerhet og konfidensialitetsavtaler. Bærbart utstyr vil trolig bli den nye store mottaker og videreformidler av ondsinnet kode. Men å forby det er likevel sjelden noen farbar vei. I stedet har bedriften alt å vinne på en konstruktiv tilnærming til mobile løsninger. Når det gjelder mindre mobilt utstyr, er vi sikkerhetsmessig nesten på samme nivå som da vi koblet maskinene våre til Internett for et tiår siden. Funksjoner som brannmur, anti-virus, mediakryptering og skikkelig tilgangskontroll er mangelvare, mest fordi produsentene sitter på gjerdet og venter på at det skal bli større etterspørsel. Men vår viten om trusselbildet er basert på minst ti erfaringsrike år. Basert på dette vet vi at spillet må endres og reglene likeså, noe som i praksis betyr at forretningsprosessene må tilpasses en mobil hverdag og at man har et sikkerhetsregelverk i form av policy, standarder og prosesser som er tilpasset disse forretningsprosessene og det nye trusselbildet. Videre må bedriften få kontroll over og håndtere alt mobilt utstyr, for eksempel ved at den ansatte tilbys slikt utstyr, eller at man får refundert utgiftene for innkjøp mot at bedriften får sikkerhetsmessig styring av dette. Dessuten må tilgang og autorisasjon nyanseres og baseres på hvor den mobile arbeidstaker befinner seg, hva slags sikkerhetsnivå utstyret hans kan garantere, og ikke minst hvor sterk autentiseringen er. Vår mest skremmende erfaring fra begynnelsen av Internettiden frem til i dag er at bedrifter er generelt trege med å prioritere informasjonssikkerhet, og aksjoner først kom etter at man satt med skjegget i postkassen og store verdier var tapt. Nå er fallhøyden naturlig nok langt større enn den var for noen år tilbake rett og slett fordi bedrifter har opparbeidet enda større ”digitale” verdier. Og det er disse verdiene som utsettes for risiko hvis ingen griper fatt i utfordringene som mobilt utstyr byr på. Samtidig er det mye å hente på å være tidlig ute i forhold til konkurrenter. Har bedrifter egentlig råd til å la være å satse på informasjonssikkerhet?  Til toppen
|