I løpet av de siste årene har hybride arbeidssteder blitt normen for mange. I takt med dette skiftet har både de IT-funksjonelle og sikkerhetsmessige behovene endret seg. Her er noen gode råd fra vår IT- og sikkerhetsleder om hvordan organisasjoner bør gå frem for å oppnå sikker IT i en hybrid verden.
Ved å holde fast i de tradisjonelle IT- og sikkerhetsmodellene risikerer man å bli utdatert eller kompromittert. Så hvordan kan du oppnå moderne IT-systemer som møter dagens krav og samtidig beskytte de på en effektiv og god måte?
Skift fokus til sikre tjenester, identiteter, tilgangskontroller og endepunkter
Tradisjonelt fokuserte man gjerne på å sikre kontorene sine fra farene på internett, litt som de gammeldagse festningene med høyre murer og vollgrav. Dette fungerte i en tid hvor alle IT-systemer og endepunktene var permanent innenfor kontorveggene. Men nå som de fleste skal kunne jobbe fra hvor som helst, og imot mange forskjellige skytjenester, er ikke denne tankegangen lengre effektiv eller passende.
Ved å fokusere på å beskytte tjenestene, identitetene, tilgangskontrollene og endepunktene vil du kunne oppnå et moderne og sikkert IT-miljø som møter behovene deres. Hva betyr dette i praksis? Denne artikkelen er ment å være til inspirasjon og som et utgangspunkt til å starte prosessen med å forbedre IT-systemene og prosessene og sikkerheten rundt disse.
Sikre identiteter
Når vi her snakker om identiteter handler det hovedsakelig om personlige brukerkontoer, som innlogging til PCer, e-postkontoer eller andre IT-systemer.
Vi begynner med å se på identiteter, da de ligger til grunn for sikkerheten i de fleste IT-systemene dine. Hvis du ikke kan stole på hvem som bruker de forskjellige identitetene, mister du kontrollen over hvem som har tilgang til hva, og hvem som har gjort hva. I verste fall kan en angriper få tilgang til, og misbruke, en av dine ansattes brukerkontoer for å skade dine interne systemer, kunderelasjoner, økonomi eller omdømme, uten at du vet hvem som egentlig sto bak. Og om identitetene dine har for mange rettigheter kan en hacker gjøre større skade enn om alle identiteter kun hadde rettigheter til å gjøre det skal.
Samarbeid mellom HR og IT
Identitetene har ofte et livsløp som begynner med at noen skal ansettes, og avsluttes med at arbeidsforholdet tar slutt. Et godt livsløp for en identitet begynner faktisk allerede før en ansatt begynner i jobben gjennom gode ansettelses- og onboardingsprosesser, ved å sikre at den du skal ansatte er den du tror de er. Disse prosessene danner også ofte noen av de første inntrykkene en potensielt nyansatt får av organisasjonen din, så det er mange fordeler med å se til at disse prosessene er gjennomtenkte og gode.
Strømlinjeforming av prosesser
Vi i ProsessPilotene har erfaring med å automatisere ansettelsesprosesser, som har ført til at den som skal ansettes får en opplevelse av at organisasjonen er moderne og profesjonell, samtidig som arbeidsbyrden og muligheten for menneskelig feil hos HR- og IT-avdelingene reduseres betraktelig. Vi benytter også BankID i prosessene for å bekrefte identiteten til den nyansatte og for å signere ansettelseskontraktene. Vi strømlinjeformer også valgene av PC og mobil, og oppsett av disse.
Videre i livsløpet skal en identitet gjerne ha rettigheter til å gjøre en eller flere oppgaver. Alt fra å logge på PCen, jobbe i CRM eller sende en epost. Disse rettighetene bør hovedsakelig delegeres via gruppemedlemskaper, istedenfor å gi de direkte til hver enkelt bruker. Hvorfor det, tenker du kanskje? En identitet får ofte justerte eller nye oppgaver gjennom livsløpet sitt, og det er en vanlig problemstilling at man da ender opp med identiteter som samler opp nye rettigheter uten av de gamle tas bort. Man sitter da ofte igjen med identiteter med for mange rettigheter, som i sin tur øker risikoen for at skade skjer ved menneskelig feil eller misbruk.
Opprett grupper med rettigheter
Om man heller lager grupper for forskjellige arbeidsroller, for eksempel «Selgere», «Kunderådgivere» og «Utviklere», og gir nødvendige rettigheter til disse gruppene vil man ha bedre oversikt og kontroll. Identitetene kan da gis medlemskap til noen få grupper ettersom hvilke arbeidsroller de har, og det er mye lettere å ha oversikt over hva hver enkelt har tilgang til, samt å rydde bort tilganger de ikke lengre trenger.
Ha rutiner for gjennomgang av gruppene
Disse gruppene kan holdes ved like ved å sette opp automatiserte og regelmessige medlems-gjennomganger. I disse gjennomgangene kan for eksempel lederen for salgsavdelingen bli bedt om å se på gruppen «Selgere» og ta stilling til om alle som er medlemmer i dag fortsatt trenger å være det. Disse identitetene er det hackere ofte prøver å få tak i, så det er viktig å beskytte disse!
ProsessPilotene tar sikkerhet på alvor både gjennom egen drift og i prosjektene vi leverer til våre kunder.
IT- og Sikkerhetsleder i ProsessPilotene, Bjørn V. Karlsen.