Datasikkerhet og tilgangskontroll

Etter utgivelsen av rapporten "The Scandinavian HR-IT Report 2020" gjennomførte vi et webinar som gjennomgikk gjeldende praksis for tilgangskontroll og utfordringer rundt datasikkerhet. Våre gjesteforelesere var Ole Tom Seierstad, nasjonal sikkerhetsansvarlig hos Microsoft, og Arne Bergesen, Manager Architects på Crayon.

Hvis du gikk glipp av live-webinaret, kan du selvfølgelig strømme innspillingen gratis på nettstedet vårt, og hvis du ønsker å få en rask oversikt over de mange kritiske temaene som ble dekket, har vi oppsummert dem for deg her.

Two men in a data centre

Trygg flytting til skyen

COVID-19-krisen har drevet den digitale revolusjonen fremover i mye raskere tempo enn noen organisasjoner var klare for. Plutselig er det å jobbe i skyen ikke bare noe planlegger å gå over til i løpet av de neste ett til to årene, det må skje nå. Men sammen med denne kunnskapen er det mange utfordringer rundt sikkerhet som gjør seg gjeldende. Hvordan kan du være sikker på at dine organisasjon- og ansattdata er sikre, i samsvar med personvernloven og tilgjengelige for alle som trenger det? Og selvfølgelig helt utilgjengelig for de som ikke burde være nær dem!

I dag, i en verden med selvbetjeningsløsninger, må vi sørge for at medarbeidere og kunder har tilgang til ressursene og informasjonen som enhver bedrift besitter, uansett hvor de er, og den eneste måten å oppnå dette på er via skyen. Digital kommunikasjon blir raskt det foretrukne valget der det er mange interaksjoner, spesielt i forhold til COVID-19-krisen med sosial distansering og mange som jobber på hjemmekontor.

Dette betyr at nesten alle bedrifter spør seg selv om skyen er det rette stedet å være. Ifølge Ole Tom Seierstad er svaret ja, men bare med riktig investering i mennesker, verktøy og tilstrekkelige sikkerhetstiltak. Sikkerhetslandskapet endrer seg raskt, og det er viktig å velge tjenesteleverandører som kan følge med disse endringene.

Forstå truslene

De to største barrierene som hindrer virksomheter i å flytte til skyen er utfordringene med å overholde krav til sikkerhet og personvern, spesielt når det gjelder data som er lagret utenfor EU og de strenge sikkerhetskravene som stilles for å ta i bruk skyløsninger. Ingen sier at skyen ikke er riktig for organisasjonen deres lenger, men mange er med rette bekymret for hvordan de skal ta i bruk og implementere skyløsninger på en ansvarlig måte.

De tørste truslene for cybersikkerhet er i dag:

  • Cyberkriminelle (økonomisk motivert)
  • Nasjonalstat (spionasje motiver)
  • Hacktivister (politisk motivert)
  • Insidere (opportunister i din organisasjon)

Denne siste gruppen er ikke så allment kjent og organisasjoner er ikke så godt beskyttet mot disse som de burde være, bemerket Seierstad. Setter man motivasjonen til side er verktøyene de samme uansett aktør. Disse angrepsmetodene er ofte:

  • Sosial Engineering
  • Phishing
  • Identitetsforfalskning
  • Malware
  • Supply chain insertion
  • Man-in-the-middle
  • Denial of service (DoS) attacks

Alle disse angrepene handler om mennesker; de handler nemlig om å lure eller lokke folk til å oppføre seg uansvarlig. Det anslås at det bare tar fra en til to dager fra den første infiltrasjonen til en ondsinnet aktør tar full kontroll over nettverket ditt. Og når du først er inne, kan det være veldig vanskelig å oppdage og fjerne dem.

Forebygging er den beste kuren

Identiteten din er den nye nøkkelen til kontoret - det virtuelle kontoret ditt. Tilgang skal bare gis når systemet er helt sikker på at du er den du utgir deg for. Tidligere betød det sterke passord, men passord er et av de største sikkerhetsproblemene organisasjoner står overfor i dag. Tenk på det faktum at hvis du ikke har et passord, dvs. at du kan få tilgang på andre, sikrere måter. Da er det ingenting for en angriper å stjele for å komme seg inn i systemene.

Dette betyr å ta på deg ekstra tiltak som 2-faktor autentisering, biometri, Single Sign On, og så videre.

Bekymringer rundt skytjenester

Før du flytter til skyen bør du finne ut: Er dataene dine trygge i leverandørens datasenter? Hvem har tilgang til innholdet ditt i denne tjenesten? Hvilken synlighet har du for innholdets aktivitet? Er dataflyten kryptert slik at tjenesteleverandøren ikke kan se den?

Microsoft benytter følgende modell for betinget tilgang:

MSModel

Her kan du se de forskjellige ansvarsforholdene for forskjellige tjenestetyper, og hvordan du drar nytte av sikkerhetstiltakene som tilbys av en skyleverandør uten å ofre datasikkerhet eller kontrollen over tilgangsrettigheter.

Du må også sørge for at skyleverandøren din har de sertifiseringene du forventer, er i samsvar med gjeldende forskrifter og krypterer data på rett nivå, både når data lagres og når de er i trafikk mellom enheter eller brukere. Be om detaljer fra eventuelle revisjoner og attester, og spør hvilke garantier som er på plass. Det er ikke noe som heter for mye datasikkerhet.

Ifølge Arne Bergesen fra Crayon, kunne identifisere finne feil og mangler i datasikkerheten og kvaliteten når du går over til en sikker skyløsning og starter og skaffe oversikt over sikkerhetsnivået som ytes. Dette er ikke fordi det er flere feil, men fordi det er lettere å finne dem. Dette gjør at du lettere kan overvåke og analysere dataene dine, gjøre revisjon , avklare ytelsen din og hjelpe virksomheten din med transparens.

Identitetshåndtering er kjernen i tilgangssikkerhet

Det er ikke noe poeng å bruke identitet for å gi tilgang og sikkerhet hvis du ikke har et godt system for å administrere identifiserende data. Mellomstore til store bedrifter har i gjennomsnitt opptil femti forskjellige IT-løsninger hvor deres ansatte trenger forskjellige tilgangsnivåer til, noen med flere roller. Uten et system for å håndtere onboarding, offboarding og intern bevegelse, kan lisensieringskostnadene og risiko for sikkerhetsbrudd spinne ut av kontroll. Det er utrolig vanskelig - og tidkrevende - å håndtere dette manuelt. Det du trenger er et HR-system som opprettholder kvaliteten på masterdata og som kan automatisere mange av disse prosessene. Det er her CatalystOne kan hjelpe.

For mer detaljert informasjon om hvordan du flytter til skyen, hvordan skysikkerhet fungerer og hvordan et HR-system kan administrere stamdataene dine, kan du se vårt on-demand webinar.

Hvis du vil se CatalystOne-systemet i aksjon, eller vil snakke med en av våre konsulenter, kan du bestille en demo hos oss.

Download the Scandinavian HR-IT Report 2020
Zoë Harris

Zoë Harris, 04. august 2020

Zoë Harris is a content marketing specialist who has worked with companies across the Nordics and the world since moving from Australia in 2006. With a background in communication strategy, UX writing, creative writing, and copywriting/editing, she's inspired by the human stories that make each business or organisation unique.