FORUM

– De ansatte må lære seg å holde kritiske data hemmelige i nettskyen

Les kronikken til sikkerhetsdirektør Erkan Kahraman i Projectplace.

Det er ikke automatisk greit å bruke de samme nettbaserte tjenestene for samhandling og lagring i jobben som på privaten.
Det er ikke automatisk greit å bruke de samme nettbaserte tjenestene for samhandling og lagring i jobben som på privaten. Bilde: colourbox.com
19. juni 2014 - 13:09

Teknologien er som regel med på å forenkle og forbedre, men fordelene er imidlertid forbundet med risiko.

I dag benytter de fleste skytjenester. Enten du bruker Google Drive, Dropbox eller Salesforce, stoler du på at dine data lagres trygt. Men altfor mange tror at skybaserte tjenester er risikofrie. Det stemmer ikke.

Derfor er det viktig å være klar over hvordan du unngår at uvedkommende får innsyn i dine data i nettskyen.

Heartbleed

Nettbaserte sikkerhetstrusler lurer bak hvert hjørne. For noen uker siden avslørte ”Heartbleed” sårbarheten som kan ramme tusenvis av nettsteder og organisasjoner ved at millioner av nettbrukere over hele verden settes i fare for passordtyveri.

På samme tid ble flere aktører rammet av tjenestenektangrep rettet mot en populær samhandlingsplattform. Angrepet gjorde tjenesten utilgjengelig i flere timer.

Med den enorme mengden av data som vi samler og utnytter på nett, er det umulig å beskytte oss mot alle nettbaserte sikkerhetstrusler. Vi er jo alltid online, enten det er på jobben eller på privaten, så en form for risiko vil alltid være til stede.

Selv om du ifører deg refleksvest og hjelm ute i gatene, kan du likevel snuble og skade deg. Vi er bare nødt til å ta en kalkulert risiko.

Sikkerhetsdirektør Erkan Kahraman mener at mange sikkerhetsspørsmål kan løses ved at de ansatte blir bevisste på hvilke data de legger i ulike nettskytjenester.
Sikkerhetsdirektør Erkan Kahraman mener at mange sikkerhetsspørsmål kan løses ved at de ansatte blir bevisste på hvilke data de legger i ulike nettskytjenester.

Hvorfor?

Én av åtte ansatte lagrer forretningskritiske data ved hjelp av gratis samhandlings- og dokumentdelingsverktøy, ifølge en fersk undersøkelse fra KPN Consulting.

Nettbaserte samhandlingsplattformer er en del av "Bring Your Own"-trenden. Den innebærer at ansatte gjør sine egne teknologivalg basert på hva som er mest praktisk for dem - ofte i stedet for å bruke de løsningene som virksomheten har innført. Dette valget henger gjerne sammen med hva de benytter privat.

Hensikten med skytjenestene er gjerne å kommunisere og samhandle mer effektivt. Gevinsten er enklere deling med kolleger og eksterne samarbeidspartnere, men noen gratis tjenester medfører en sikkerhetsrisiko.

Siden slike verktøy blir stadig mer populære, er spørsmålet:

Hva kan du egentlig gjøre for å beskytte deg og ditt arbeid - og ikke minst kundenes data – i tillegg til selskapets omdømme og bunnlinje?

Les også: Norske bedrifter har overdreven tro på egen datasikkerhet

Tre pilarer

IT-sikkerhet i skytjenester og nettbasert samhandling kan beskrives som et hus bygget på tre pilarer:

  • Tillit
  • Trygghet
  • Sikring av prorgamvare
Artikkelen fortsetter etter annonsen
annonse
NITO
Sagt opp ulovlig i verneperioden
Sagt opp ulovlig i verneperioden

Tillit inkluderer aspekter som policy for personvern og bruk av cookies for den skybaserte samhandlingsplattformen.

Tryggheten ser vi gjerne ved en sertifisering eller et godkjenningsstempel fra en tredjepart. Med et ISO27001-sertifikat, vet du for eksempel at den aktuelle skytjenesten er kompatibel med internasjonale sikkerhetsstandarder.

I en ideell verden forholder alle skyløsninger seg strengt til disse tre pilarene, men slik er det dessverre ikke i alle sammenhenger.

Derfor er det risiko

Enkelte skyløsninger baserer inntektsstrømmen på lagring av data i deres sky. I praksis innebærer det at disse selskapene kan selge annonser basert på innholdet i dine data.

I tillegg angir brukervilkårene for flere av disse tjenestene at de har eierskap til dataene som du laster opp. Det betyr at dine forretningskritiske og sensitive dokumenter faktisk ikke lenger er "dine".

Utfordringen er at mange ivrige brukere ikke leser den lille skriften og dermed setter integriteten til virksomhetens mest kritiske data i fare. Ofte uten at ledelsen en gang vet om det.

Det er et paradoks. Et reelt paradoks som flere bør være klar over.

Den fysiske plasseringen av data er også en viktig faktor når det kommer til en tredjeparts tilgang til dine data. Hvis du eksempelvis bruker en amerikansk skytjeneste med serverne plassert i USA, er dine data underlagt amerikansk lovgivning.

Det betyr at et amerikansk regjeringsorgan som NSA, kan få tilgang til dine data.

Les også: Er vi klare for pengetransaksjoner via Facebook?

Hva kan du gjøre?

Det er neppe hensiktsmessig å tro at det er riktig å kontrollere de ansattes bruk av nettbaserte tjenester i detalj. I mange tilfeller kan det også faktisk være bortimot umulig.

Nøkkelen er å vedta en enkel og åpen it- og sikkerhetspolicy for hele virksomheten. Det vil legge grunnlaget for en god balanse mellom sikkerhet og brukervennlighet.

Snakk åpent med de ansatte om denne saken, noe som må inkludere de potensielle fallgruvene ved å bruke samhandlings- og fildelingsverktøy som er gratis.

Sørg for at de forstår de mulige konsekvensene, som for eksempel økonomiske tap og et frynsete omdømme hvis sensitiv kundeinformasjon eller dine egne data havner i gale hender.

Til syvende og sist er det viktig å forstå at de ansatte som regel alltid ønsker å bruke verktøy og teknologi som til enhver tid gjør arbeidshverdagen enklere og mer effektiv.

Og ved å hjelpe dem til å bruke disse verktøyene på en trygg nok måte, gjør du både dem og virksomheten en stor tjeneste. Vær ikke redd for å bruke skybaserte samhandlingsverktøy, men husk å lese den lille skriften nøye, slik at virksomheten ikke settes i fare.

Les også:

AMS kan redusere forbruk, men tariffsystemet er for komplisert

Dette ødelegger IT-prosjektene  

Dette blir Forsvarets IKT-prøvelse  

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.