Serier
Mine nyheder

Vi har ikke publiceret nogle artikler for nyligt i de emner, du følger. Søg efter andre emner her.

Du har ingen overvågninger endnu

Klik på ikonet for at overvåge
emner og journalister.

It-sikkerhed kræver udtalt mistillid til medarbejderne

Det er nødvendigt ikke at have for meget tillid til sine medarbejdere. Faktisk skal ledere have mistillid, så snart en medarbejder har adgang til internettet.

Corona rammer verden

Tillid er et mægtigt ledelsesværktøj. Tillid mellem ledere og ansatte fremmer samarbejde, skaber engagement og sikrer bedre resultater. Tillid er kort sagt essentielt for en moderne virksomhed – en sandhed, de fleste moderne ledere sikkert er ganske bekendt med.

Men tilliden skal ophøre det sekund, at en medarbejder tænder en telefon eller computer med internetadgang. Mistillid er tvingende nødvendigt og ikke noget, som virksomheden bør slække på, når det gælder it-sikkerhed. Og det er vigtigere end nogensinde før.

Forårets nedlukning har accelereret udviklingen mod, at flere medarbejdere oftere arbejder andre steder end på virksomhedens kontor. Den hastige nedlukning af samfundet skabte et akut behov for tekniske løsninger til at understøtte fjernarbejdet, og for mange har det været en gammel, velkendt traver i form af en traditionel VPN-forbindelse.

Med VPN-forbindelser udviser virksomheden dog langt hen ad vejen ubetinget tillid til medarbejderne, fordi brugeren blot skal logge ind for at få adgang til hele virksomhedens netværk. Dermed åbner man en sårbar flanke for cyberangreb. It-kriminelle skal blot fiske login-oplysninger fra én bruger for at få fri adgang til at lede efter forretningskritiske og sensitive data, installere software, som gør det nemt for dem at genbesøge netværket, eller installere ondsindede programmer med vidtrækkende konsekvenser til følge.

I stedet bør virksomheder benytte en tilgang med minimal tillid – såkaldt zero-trust. Løsningen beror på princippet: ’vis aldrig tillid, men kræv altid bekræftelse’. Ingen bruger eller enhed antages at være sikker, og det gælder uagtet, om de befinder sig på eller uden for kontoret, når de vil have adgang til en fil. Ideelt set skal brugerne benytte tofaktorgodkendelse, når de logger på netværket. Under login vil software inspicere enheden grundigt og blandt andet tjekke, om det er en privat enhed eller virksomhedens, og om de nyeste sikkerhedsopdateringer er installeret. Når brugeren derefter får adgang til netværket, får vedkommende kun adgang til de specifikke ressourcer, filer og programmer, som brugerens profil får tildelt.

Zero-trust-løsninger benytter desuden maskinlæring til konstant monitorering af brugernes aktiviteter og sammenholder brugsmønstre med virksomhedens it-politikker. Vi taler ikke om invaderende overvågning som fra George Orwells skrækscenarium i ’1984’, hvor hver enkelt medarbejders frihed indskrænkes gennem fysisk og psykologisk kontrol. I stedet er der tale om anonymiserede data, som gør det muligt for virksomheder hurtigt at opdage mistænkelig aktivitet og reagere på den. Dermed bliver det både muligt at reducere nedetid og begrænse, hvor længe ubudne gæster kan befinde sig på netværket.

Igennem mange år har cyber-kriminelles værktøjer og angrebsmetoder udviklet sig eksplosivt, mens virksomheder over en bred kam har været for langsomme til skærpe deres modsvar. Med zero-trust kan virksomheder indhente en betragtelig del af det forspring, cyber-kriminelle har skabt, og det gælder både, når medarbejderne arbejder på og uden for kontoret.

Med zero-trust afleverer virksomheden helt grundlæggende ikke naivt husnøglerne til en håndværker, der skal skifte et blandingsbatteri. I stedet beder den håndværkeren – eller en hvilken som helst anden gæst – om at vise billed-ID. Samtidig aflåses samtlige døre i huset bortset fra dén til køkkenet, og der er konstant føling med, hvor reparatøren befinder sig, og hvad han arbejder på. Og opfører vedkommende sig mistænkeligt, får husejeren besked om det.

På denne måde kan virksomheden altid holde styr på brugere og enheder, hvilket mindsker det vindue, som angribere kan udnytte. Samtidig kan de ansatte få sikker adgang til alle de filer og programmer, de skal bruge i deres daglige arbejde – hvor som helst, når som helst.

BRANCHENYT
Læs også