Få hela storyn
Starta din prenumeration

Prenumerera
Innehåll från Tele2 Företag

Så får du kontroll på din skugg-it

Med ökad mobilitet och mer distansarbete växer kraven på våra it-säkerhetslösningar. Men hur balanserar vi kraven på säkerhet med förväntningarna på användarvänlighet? Tele2 Företags säkerhetsexpert Torbjörn Zars delar med sig av sina bästa tips.

Publicerad: 8 november 2022, 10:05


Med ökad mobilitet läggs ett större ansvar för it-säkerheten på användaren, menar Torbjörn Zars, it-säkerhetsspecialist på Tele2 Företag.

Vi kan arbeta nästan var och när vi vill och förverkliga tjänster och produkter som vi tidigare bara kunnat drömma om. Men allt har ett pris. Nya digitala arbetssätt öppnar dörren för nya digitala hot. Och med det ökar kravet på våra it-säkerhetslösningar.

– Som arbetsgivare kan du ställa krav på att dina medarbetare ska ha en viss nivå av prestanda för att kunna jobba obehindrat hemifrån. Men du kan inte ställa krav på deras privata säkerhetslösningar. Det betyder att stort ansvar läggs på användaren själv, säger Torbjörn Zars, som arbetar med affärsutveckling inom Special Sales på Tele2 Företag och har it-säkerhet som specialitet.

Många vill kunna använda egna verktyg i tjänsten och det ska vara enkelt att komma åt information och logga in. Utmaningen blir att möta medarbetarnas krav på flexibilitet – utan att kompromissa med säkerheten. Det är en fin balansgång.

Försvåra för angriparen – och undvik skugg-it
Enligt Torbjörn Zars sker digitalisering ofta på bekostnad av säkerhet. Samtidigt är det ett vanligt misstag att sätta upp säkerhetslösningar som är svåra att använda. Användarna kringgår då problemet genom att skapa egna lösningar utanför it-avdelningens kontroll, vilket är en risk i sig.

– Det gäller att försvåra för angriparen – inte för användaren, säger Torbjörn Zars.

Skugg-it (även kallat Shadow IT eller Shadow Cloud) är samlingsnamnet på de it-tjänster som används i en verksamhet utan it-avdelningens vetskap och kontroll. Ofta rör det sig om icke auktoriserade molntjänster. Skugg-it är vanligt i många organisationer, exempelvis inom skolan och vården. Bristen på kontroll gör de drabbade verksamheterna sårbara.

Det bästa sättet att minska uppkomsten av skugg-it är att se till att behovet inte uppstår, genom att välja lättanvända säkerhetssystem och godkända molntjänster som är nåbara utanför arbetsplatsen. När användaren smidigt kan lagra information oavsett var hen befinner sig försvinner behovet av att hitta egna lösningar, konstaterar Torbjörn Zars.

Ett annat tips är att bygga säkerhetslösningar med flera lager av skydd, där alla lager fungerar sömlöst med varandra.

– Som användare ska du inte märka det här. Om du bara möts av en inloggning och allt annat sker i bakgrunden, då funderar du inte på att ändra något.

Låt policyn styra åtkomsten
Ett smidigt sätt att öka säkerheten är att tillämpa policybaserad åtkomst, eller access. På så vis går det att säkerställa per automatik vem som har rätt att göra vad i vilka system och under vilka förutsättningar. Vissa känsliga arbetsuppgifter kanske enbart ska kunna utföras inom organisationens eget nätverk. Då kan en medarbetare få upp en pop-up-ruta som förklarar att åtkomst saknas om hen befinner sig på fel plats.

– Det handlar inte om att komma med pekpinnar utan om att besluta vad som är godkänt att använda till vad och att tillämpa systemen på rätt sätt. Det är ett enkelt sätt att lösa problemet, förklarar Torbjörn Zars.

Mobiler, trådlösa nätverk och e-post
Det är inte bara datorer och nätverk som behöver skyddas. Medarbetarnas jobbmobiler är högintressanta för hackare, som ett verktyg för att ta sig vidare in i organisationens system.

– Ju mer mobilen används, desto fler saker kan komma in den vägen. Men de flesta är sämre på att tänka på säkerhet för mobilen än för datorn, säger Torbjörn Zars.

Även trådlösa nätverk kräver extra kontroll. En skicklig hackare kan bygga ett eget trådlöst nät och vänta in att användare ansluter sig. För den som ändå vill koppla upp sig finns några enkla tumregler.

– Välj ett nätverk som kräver lösenord, kombinera med VPN och undvik att fylla i inloggningsuppgifter, lösenord och kreditkortsinformation, tipsar Torbjörn Zars.

Slutligen är e-posten viktig att skydda. En angripare som tar sig in i anställdas mejlkonton kan enkelt komma åt lösenord och inloggningsuppgifter till många andra tjänster.

Tvåfaktorsautentisering är ett sätt att skydda mejlen. Och på innehållsnivå går det att sätta upp restriktioner för vilka ip-adresser som tillåts skicka mejl till organisationen och vilka som blockeras.

Utbildning och attityd
Bristande it-säkerhet kan få ödesdigra konsekvenser, både för organisationen och enskilda individer. En medarbetare som hanterar konfidentiella uppgifter kan göra sig skyldig till lagbrott om uppgifter läcker ut, vilket kan leda till att verksamheten blir stämd och medarbetaren förlorar jobbet.

Dataintrång, överbelastningsattacker, virusangrepp eller ransomware kan innebära att produktionen stannar, intäkter uteblir och kunderna blir missnöjda. En dyrköpt erfarenhet som även riskerar att skada företagets rykte på sikt.

– För it-avdelningen gäller det därför att hela tiden ligga steget före och ha koll på alla hot, konstaterar Torbjörn Zars. Säkerheten måste konstant vara uppdaterad. Det är ett kontinuerligt arbete för it-avdelningen som användaren knappt ska märka av.

Nyckeln till god it-säkerhet enligt Torbjörn Zars är uthållighet och utbildning. Men det är användarnas förhållningssätt som bygger säkerhet från grunden. Det går aldrig att helt skydda sig från ”den mänskliga faktorn”, i form av okunskap, stress eller slarv, men med rätt attityd och förståelse för vad som står på spel är mycket vunnet.

– Vi måste alla förstå att det här är en annan verklighet än den vi har känt till hittills. Det kan drabba ditt företag eller dig personligen. Så ta det på allvar för det är allvar, avslutar Torbjörn Zars.

Torbjörn Zars råd till företagare/organisationer

  • Tänk ur användarens perspektiv när du gör förändringar. Ofta lägger it-avdelningen alltför mycket fokus på teknik och kostnader, livscykelhanteringar, system, uppgraderingar och volymprojekt. Men vad händer i vardagen? Hur fungerar säkerhetslösningen i det dagliga jobbet för användaren?

  • Se till att involvera användarna i processen. Låt dem berätta vad som är krångligt och vad som tar tid. Många problem uppstår på grund av brist på information och kommunikation.

Vill du veta mer vad du kan göra för din organisations it-säkerhet? Läs mer här!

Texten är en annons från Tele2 Företag