Fem IT-säkerhetsmissar som en IT-ansvarig måste ha koll på
lästid I minuter: 3
FXA 2019-feb-04 09:55:00
Gammal säkerhet fungerar inte i den nya IT-världen. I den digitala världen smälter arbetsliv och privatliv samman och ställer nya krav på säkerhetsrutiner. Den unga generationen som nu kommer ut på arbetsmarknaden kräver flexibla och moderna arbetssätt och vill inte vara bundna till ett skrivbord. Mobila arbetssätt där arbetsplatsen är spridd över en mängd enheter och geografiska platser ställer nya krav på IT-ansvarig och säkerhetsarbetet.
Drivkraften i många molnsatsningar är möjligheten till ett mer mobilt och flexibelt arbetssätt. Kontoret går från arbetsplats till mötesplats. Samtidigt måste den mobila arbetsplatsen ha modern säkerhet. Inne på kontoret är det tryggt bakom brandväggar under översyn av IT-ansvarig. Ute i molnet med öppen WiFi på surfplattan är det inte lika säkert. Här listar vi fem säkerhetsmissar många företag tyvärr gör i jakten på en mer flexibel arbetsplats.
1: IT-ansvarig tror att molnet är säkert i sig självt
Säkerhet i molnet är mer än ett antivirusprogram och uppdaterade program. När användare och data flyttar till molnet behöver IT-ansvarig se över och utveckla IT-säkerheten. Det viktigaste är att skydda användarnas identitet, det vill säga deras inloggningsuppgifter. Läcker användares uppgifter ut finns det risk för att strategier, ledningsbeslut och budgetar läcker ut. Saker som ingen vill att konkurrenter ska få tag i. Det är inte bara stora kända företag som utsätts för attacker, även mindre företaget blir attackerade. Den stora faran kommer inte heller från utländska hackers som skannar nätet efter säkerhetsluckor. En attack är vanligtvis planerad av någon som känner till företaget och vill tjäna pengar genom att antingen sälja data eller utöva utpressning.
2: Användarna använder öppna och osäkra nätverk
De flesta av oss har flera uppkopplade enheter, mobiler, surfplattor och bärbara datorer, där vi vill ha tillgång till den data vi behöver för att utföra vårt arbete. Det kan vara något så harmlöst som att kolla mejlen på bussen eller läsa servicerapporter hemma i soffan. Som användare invaggas vi i trygghet av att många enheter är säkra i sig själva, med sandboxade appar och glömmer tänka på vårt eget beteende. Hur används enheten på öppna nätverk? Vet IT-ansvarig vilka appar som används, om de krypterar data på ett tillfredställande sätt och hur säkra de är? Många IT-ansvariga har inte tagit kontroll över vilka enheter som kommer åt företagets data och kör på utan att tänka sig för.
3: Delar filer utan att tänka på behörigheter
Vi delar filer som aldrig förr. Fråga vilken IT-ansvarig som helst. Filer mejlas filer fram och tillbaka och kan hamna i fel inkorg. Dokument tankas upp i molnet till en publik lagringstjänst och delas sedan med en öppen länk, via mejl. Länken mejlas vidare utan en tanke på att alla som kommer över länken har full access. När vi delar filer i molnet finns risken att de sprids långväga och aldrig kan hämtas tillbaka.
4: IT-ansvarig glömmer att säkerhetsklassa data i molnet
Servern som stod i källaren och surrade kunde bara nås av de som var uppkopplade och inloggade på kontorets fysiska nätverk. Du som IT-ansvarig hade full kontroll. Nu, när medarbetare kan komma åt sina jobbmappar var de än befinner sig har alla andra i hela världen en teoretisk möjlighet att också komma åt samma data. Är affärskritisk data säkerhetsklassad för att begränsa vilka som kommer åt den baserat på roller och behörighet? Tänk om er investeringsplan eller era produktutvecklingsdokument läcker ut?
5: Förutsätter att alla ständigt är på alerten och vaksamma
Phishing, Pharming, Vishing och Whaling — begrepp som alla syftar på någon form av bedrägligt beteende i den digitala världen. Phishing fiskar efter användaruppgifter, ofta via mejl. Pharming är en omdirigerad hemsida som ser ut som originalet, en typ av phishing. Vishing är ett telefonsamtal som vill att du går in och godkänner en inloggning via BankID. Whaling är ett mejl till en chef som ser ut att vara från en anställd, kanske på jakt efter känslig information. Vi är alla människor och även den smartaste och mest säkerhetsmedvetna användaren kan göra fel och låta sig luras.
Hur många ID- och användarkapningar som sker vet ingen. Det enda som är säkert är att mörkertalet är stort och att antalet angrepp ökar. I ett mindre företag kan det vara lätt att luta sig tillbaka och tänker att det bara är de stora och kända aktörerna som blir hackade. Det är långt ifrån sanningen, det finns botar som ligger och letar efter inloggningsuppgifter som läckt ut och på den mörka sidan av internet säljs listor från hackade servrar. Med den dåliga vanan att använda samma inloggning på flera ställen kan en sådan lista öppna upp många dörrar som borde vara stängda.