Er IT-sikkerhet bare noe de store bedriftene må tenke på?

Dagens IT-trender dreier seg hovedsakelig om å få lagt så mye som mulig ut i «skyen». Det er et enormt fokus på mobilitet og kostnadsbesparelse ved hjelp av skytjenester. Samtidig opplever vi en IT-hverdag med stadig flere trusler. Derfor bør alle bedrifter, store som små, ha et fokus på IT-sikkerhet.  
 Det går ikke en dag uten at fagpressen skriver om datainnbrudd, krypteringsangrep og data på avveie. Norske bedrifter står ofte i denne «drakampen» mellom den forlokkende skyen på den ene siden, og sikkerhet på den andre. De større bedriftene sier gjerne «ja takk, begge deler». De investerer millioner i datasikkerhet og trening av sine ansatte i sikker bruk av IT. 

De små- og mellomstore bedriftene gjør altfor lite 

I praksis lukker de øynene og håper at «det ikke skjer dem». For i tillegg til at bedriftene selv flytter sine virksomhetskritiske tjenester over på skyløsninger, foregår det en ukritisk vekst av skytjenestebruk blant de ansatte.  

I god tro, og med et ønske om å bli mer effektiv i arbeidet, tar flere og flere ansatte i bruk «egne» skytjenester. For har ikke bedriften tilrettelagt for effektive fildelingstjenester, så tar de ansatte med seg løsninger de bruker privat inn i arbeidshverdagen. Dette gjelder i kanskje første rekke forbrukertjenester som Dropbox. Nå er det også mer og mer vanlig at de ansatte har flere dataenheter. Arbeidsgiver stiller sjelden spørsmål ved bruk av egne nettbrett og telefoner, så lenge det virker effektivitetsfremmende for de ansatte.  

Utfordringer med flere skytjenester 

IT-kriminalitet er en av de størst voksende bransjene i verden. Det er ikke lenger hacking fra gutterommet eller «Nigeria-brev» som er utfordringen. Det er organisert svindel med forgreninger over hele verden. CEO-svindel og Kryptovirus er enkelte eksempler på dette. Forskjellige grader av spionasje er også utbredt.  

Det er overraskende hvor mange som faktisk er interessert i forretningskritisk informasjon fra norske bedrifter. Det kan dreie seg om alt fra kundelister og tilbudsinformasjon, til patenter og forskningsinformasjon. De store bedriftene tar dette seriøst, så hvorfor skal ikke mindre norske foretak ta sine forhåndsregler? Det er faktisk ikke mye som skal til for å heve sikkerheten betraktelig. Det dreier seg ikke bare om nødvendige investeringer, også om opplæring og sunn fornuft! 

3 tiltak som styrker sikkerheten

1. Sikre fildelingstjenester
   En av utfordringene med de forbrukerbasert tjenestene som Dropbox og Google Drive, er at de styres av hver enkelt bruker. Bedriften har ikke kontroll over innholdet som ligger der, hvem innholdet deles med og hva som blir gjort med de delte filene. Om den ansatte slutter tar den også med seg alle firmaets data, uten at bedriften kan gjøre noe. 
   
   Bedriftsrettede fildelingstjenester som Sharefile og IBM Box, har administrasjonskonsoll som gjør at man har full kontroll på alle data som deles, og løsningene gir muligheter for å overstyre hver enkelt brukers tilganger. Slutter en ansatt, kan tilgang til alle delte filer slettes. Bedriftsløsningene gir også helt andre muligheter for sikker lagring og backup av dataene.
   
   
2. E-posthåndtering
   E-posthåndteringen i mange mindre bedrifter kan bli bedre og sikrere. I en hektisk hverdag er det ikke mange som tenker på validere e-poster, vedlegg og lenker man får i innboksen. Effektive e-postvaskeritjenester vil i mange tilfeller avlaste noe av den varsomheten vi i dag må ha. 
   
   Gjennom effektive antivirus- og SPAM-løsninger kan man stoppe en del uønsket e-post. Sikkerheten kan ytterligere økes gjennom å integrere tjenester for filtrering av innhold, forhåndsjekk av lenker, vedlegg og kryptering av enkelte utgående e-poster. E-posten er nå kanskje det mest kritiske vi har, så å vurdere nødløsninger for driftskontinuitet hvis e-posten er nede, eller eksterne e-postarkiv i tilfelle datatap, er absolutt å vurdere. Kanskje hele e-postløsningen i bedriften er så kritisk at den ikke burde ligge som en ekstern skytjeneste utenfor Norges grenser?
    
3. Sikring av dataenheter (pc, nettbrett, mobil)
   Sikring av enhetene blir viktigere og viktigere. På selve jobb-PC-en har vi blitt relativt flinke, men det kan kanskje også være fordi dette er den enheten hvor bedriftens IT-ansvarlige har kontrollen? Vi har alle anti-virusløsning på maskinen, og i de fleste tilfeller har vi et regelsett som styrer nedlasting av nye anti-virus versjoner og regelmessig virusskanning av maskinen.
   
   Sikkerhetsutfordringen på maskinen er at de færreste er like flinke til å holde alle programmer oppdatert. Alle operativsystem og programmer sender såkalte «updates» til maskinen for å forbedre funksjoner, og tetter sikkerhetshull i programvaren. Også her finnes det tjenester som kan automatisere slike oppdateringer, og sikre at alle bedriftens maskiner er oppdaterte. 

Sikkerhet på nettbrettet og mobilen 

Her er det kanskje den største sikkerhetsrisikoen av dem alle! I dag styrer vi hverdagen vår, både på jobb og privat, via telefonen. Her er tilgang til e-post, bilder og dokumenter, nettbanken og i snitt et 30-talls andre apper. De færreste vet hvilke tilganger appene har til innholdet på telefonen, og nesten ingen har vanntette skott mellom hva som er privat og hva som er jobbrelatert. Passord gjør vi så enkelt som mulig, da vi er mer opptatt av å starte appene raskt enn å sikre innholdet. 

En ting er å sikre telefonen i tilfelle at den blir borte, noe annet er å sikre innholdet fra inntrengere. Alle mobiltelefoner og nettbrett kan også få virus, også Apple-produktene. 

Det første man skal gjøre er å installere en anti-virusløsning på mobilen og nettbrettet! Dette burde være like obligatorisk som på pc-en. Så bør bedriften vurdere de ansattes bruk av apper som gir tilgang til bedriftskritiske data, som e-post, fildeling, dokumentattestasjon osv. Det finnes enkle løsninger som kan sette opp en «sikker sone» på mobiltelefonen der alt man aksesserer som «ansatt» kan ligge trygt bak et ekstra sikkerhetsskjold. 

Skytjenester er kommet for å bli, men vi kan ikke la et fokus på mobilitet og kostnadseffektivitet gå på bekostning av sikkerheten. Det finnes enkle grep for å komme langt på vei, og gi en forsikring om at bedriftens filer og data er tilstrekkelig sikret.