Etter utgivelsen av rapporten "The Scandinavian HR-IT Report 2020" gjennomførte vi et webinar som gjennomgikk gjeldende praksis for tilgangskontroll og utfordringer rundt datasikkerhet. Våre gjesteforelesere var Ole Tom Seierstad, nasjonal sikkerhetsansvarlig hos Microsoft, og Arne Bergesen, Manager Architects på Crayon.
Hvis du gikk glipp av live-webinaret, kan du selvfølgelig strømme innspillingen gratis på nettstedet vårt, og hvis du ønsker å få en rask oversikt over de mange kritiske temaene som ble dekket, har vi oppsummert dem for deg her.
Trygg flytting til skyen
COVID-19-krisen har drevet den digitale revolusjonen fremover i mye raskere tempo enn noen organisasjoner var klare for. Plutselig er det å jobbe i skyen ikke bare noe planlegger å gå over til i løpet av de neste ett til to årene, det må skje nå. Men sammen med denne kunnskapen er det mange utfordringer rundt sikkerhet som gjør seg gjeldende. Hvordan kan du være sikker på at dine organisasjon- og ansattdata er sikre, i samsvar med personvernloven og tilgjengelige for alle som trenger det? Og selvfølgelig helt utilgjengelig for de som ikke burde være nær dem!
I dag, i en verden med selvbetjeningsløsninger, må vi sørge for at medarbeidere og kunder har tilgang til ressursene og informasjonen som enhver bedrift besitter, uansett hvor de er, og den eneste måten å oppnå dette på er via skyen. Digital kommunikasjon blir raskt det foretrukne valget der det er mange interaksjoner, spesielt i forhold til COVID-19-krisen med sosial distansering og mange som jobber på hjemmekontor.
Dette betyr at nesten alle bedrifter spør seg selv om skyen er det rette stedet å være. Ifølge Ole Tom Seierstad er svaret ja, men bare med riktig investering i mennesker, verktøy og tilstrekkelige sikkerhetstiltak. Sikkerhetslandskapet endrer seg raskt, og det er viktig å velge tjenesteleverandører som kan følge med disse endringene.
Forstå truslene
De to største barrierene som hindrer virksomheter i å flytte til skyen er utfordringene med å overholde krav til sikkerhet og personvern, spesielt når det gjelder data som er lagret utenfor EU og de strenge sikkerhetskravene som stilles for å ta i bruk skyløsninger. Ingen sier at skyen ikke er riktig for organisasjonen deres lenger, men mange er med rette bekymret for hvordan de skal ta i bruk og implementere skyløsninger på en ansvarlig måte.
De tørste truslene for cybersikkerhet er i dag:
- Cyberkriminelle (økonomisk motivert)
- Nasjonalstat (spionasje motiver)
- Hacktivister (politisk motivert)
- Insidere (opportunister i din organisasjon)
Denne siste gruppen er ikke så allment kjent og organisasjoner er ikke så godt beskyttet mot disse som de burde være, bemerket Seierstad. Setter man motivasjonen til side er verktøyene de samme uansett aktør. Disse angrepsmetodene er ofte:
- Sosial Engineering
- Phishing
- Identitetsforfalskning
- Malware
- Supply chain insertion
- Man-in-the-middle
- Denial of service (DoS) attacks
Alle disse angrepene handler om mennesker; de handler nemlig om å lure eller lokke folk til å oppføre seg uansvarlig. Det anslås at det bare tar fra en til to dager fra den første infiltrasjonen til en ondsinnet aktør tar full kontroll over nettverket ditt. Og når du først er inne, kan det være veldig vanskelig å oppdage og fjerne dem.
Forebygging er den beste kuren
Identiteten din er den nye nøkkelen til kontoret - det virtuelle kontoret ditt. Tilgang skal bare gis når systemet er helt sikker på at du er den du utgir deg for. Tidligere betød det sterke passord, men passord er et av de største sikkerhetsproblemene organisasjoner står overfor i dag. Tenk på det faktum at hvis du ikke har et passord, dvs. at du kan få tilgang på andre, sikrere måter. Da er det ingenting for en angriper å stjele for å komme seg inn i systemene.
Dette betyr å ta på deg ekstra tiltak som 2-faktor autentisering, biometri, Single Sign On, og så videre.
Bekymringer rundt skytjenester
Før du flytter til skyen bør du finne ut: Er dataene dine trygge i leverandørens datasenter? Hvem har tilgang til innholdet ditt i denne tjenesten? Hvilken synlighet har du for innholdets aktivitet? Er dataflyten kryptert slik at tjenesteleverandøren ikke kan se den?
Microsoft benytter følgende modell for betinget tilgang:
Her kan du se de forskjellige ansvarsforholdene for forskjellige tjenestetyper, og hvordan du drar nytte av sikkerhetstiltakene som tilbys av en skyleverandør uten å ofre datasikkerhet eller kontrollen over tilgangsrettigheter.
Du må også sørge for at skyleverandøren din har de sertifiseringene du forventer, er i samsvar med gjeldende forskrifter og krypterer data på rett nivå, både når data lagres og når de er i trafikk mellom enheter eller brukere. Be om detaljer fra eventuelle revisjoner og attester, og spør hvilke garantier som er på plass. Det er ikke noe som heter for mye datasikkerhet.
Ifølge Arne Bergesen fra Crayon, vil man kunne identifisere finne feil og mangler i datasikkerheten og kvaliteten når du går over til en sikker skyløsning og starter og skaffe oversikt over sikkerhetsnivået som ytes. Dette er ikke fordi det er flere feil, men fordi det er lettere å finne dem. Dette gjør at du lettere kan overvåke og analysere dataene dine, gjøre revisjon , avklare ytelsen din og hjelpe virksomheten din med transparens.
Identitetshåndtering er kjernen i tilgangssikkerhet
Det er ikke noe poeng å bruke identitet for å gi tilgang og sikkerhet hvis du ikke har et godt system for å administrere identifiserende data. Mellomstore til store bedrifter har i gjennomsnitt opptil femti forskjellige IT-løsninger hvor deres ansatte trenger forskjellige tilgangsnivåer til, noen med flere roller. Uten et system for å håndtere onboarding, offboarding og intern bevegelse, kan lisensieringskostnadene og risiko for sikkerhetsbrudd spinne ut av kontroll. Det er utrolig vanskelig - og tidkrevende - å håndtere dette manuelt. Det du trenger er et HR-system som opprettholder kvaliteten på masterdata og som kan automatisere mange av disse prosessene. Det er her CatalystOne kan hjelpe.
For mer detaljert informasjon om hvordan du flytter til skyen, hvordan skysikkerhet fungerer og hvordan et HR-system kan administrere stamdataene dine, kan du se vårt on-demand webinar.
Hvis du vil se CatalystOne-systemet i aksjon, eller vil snakke med en av våre konsulenter, kan du bestille en demo hos oss.