​Access management og data sikkerhed

Efter udgivelsen af vores rapport, Den Skandinaviske HR-IT Rapport 2020, gennemførte vi for nylig et webinar, der omhandlede de konkrete udfordringer med Access Management og datasikkerhed.

​Access management og data sikkerhed 1Vores oplægsholdere var Ole Tom Seierstad, National Security Officer hos Microsoft, og Arne Bergesen, Manager Architects hos Crayon.

Hvis du gik glip af dette live webinar, kan du naturligvis streame det gratis fra vores website, men hvis du ønsker et hurtigt overblik over de vigtigste konklusioner, så har vi sammenfattet dem til dig her.

Flyt til skyen med tillid

COVID-19-krisen har accelereret den digitale udvikling, langt hurtigere end nogen kunne forvente.

Pludselig var digitale hjemmearbejdspladser ikke bare noget man snakkede om at indføre næste år, men noget som skulle indføres nu. Men sammen med digitale omstilling kommer der mange seriøse sikkerhedsudfordringer. Hvordan kan I være sikker på, at jeres organisations- og medarbejderdata er sikre, i overensstemmelse med GDPR og samtidig tilgængelig for alle der har brug for dem? Og selvfølgelig stadig være utilgængeligt for dem der ikke bør have adgang til disse data.

I disse tider forventer både medarbejdere og kunder selvbetjenings adgang til de relevante ressourcer og informationer, uanset hvor og hvornår de har brug for det, og den eneste måde at kunne opnå dette på er via skyen. Digital kommunikation er hurtigt ved at blive det foretrukne valg for rigtigt mange interaktioner, især i relation til COVID-19 krisen med social distancering og de mange nye hjemmearbejdspladser.

Det har medført at næsten alle virksomheder spørger sig selv, om det måske er på tide at flytte mange af sine aktiviteter og data over i skyen? Ifølge Ole Tom Seierstad er svaret ja, men kun med den rigtige investering i mennesker, værktøjer og passende sikkerhedsforanstaltninger. Sikkerhedslandskabet ændrer sig hurtigt, og det er vigtigt at vælge tjenesteudbydere, der kan følge med disse ændringer.

Forstå truslerne

De to største forhindringer for virksomheder der ønsker at flytte til skyen, er sikkerhed og overholdelse af privatlivets fred, især vedrørende data der er gemt uden for EU, og de højere sikkerhedskrav som er nødvendig for korrekt implementering af cloud-løsninger. Ingen siger at skyen ikke længere passer til deres organisation, men mange er med rette bekymrede for, hvordan de skal anvende og implementere skyløsninger på en ansvarlig måde.

De største aktører inden for cybersikkerhed i dag er:

  • Cyberkriminelle (økonomisk motiverede)
  • Fremmede nationer (spionage motiver)
  • Hacktivister (politisk motiverede)
  • Insidere (opportunister i din organisation)

Denne sidste gruppe er de fleste virksomheder ikke så bekendt med, eller beskyttet imod, som de burde være, bemærkede Seierstad. Motivationerne til side så er værktøjerne er de samme, uanset hvem der er tale om. Deres angrebsmetoder er blandt andet:

  • Social engineering
  • Phishing
  • Forfalskning af identitet
  • Malware
  • Supply Chain Attacks
  • Man-in-the-middle
  • Denial of service (DoS) angreb

Alle disse angreb handler om mennesker; om at narre eller lokke medarbejdere til at handle uforsigtigt. Det anslås, at det kun tager en til to dage fra den første infiltration, til en ondsindet aktør kan tage fuld kontrol over jeres netværk. Og når de først er inde, kan det være meget vanskeligt at opdage og fjerne dem igen.

Forebyggelse er den bedste kur

Din personlige identitet er nøglen til dit nye kontor – altså dit nye virtuelle kontor. Adgang til systemerne skal kun gives, når systemet er helt sikker på, at du er den du giver dig ud for at være. Tidligere var det nok med stærke adgangskoder, men det viser sig at adgangskoder er en af de største sikkerhedsudfordringer, som organisationer står overfor i dag. Hvis man kan stjæle adgangskoden, så er det mindre afgørende hvor stærk den var.

Dette betyder at man i dag bør tage ekstra forholdsregler, såsom 2-faktor-godkendelse, biometri, Single Sign On og så videre.

Cloud bekymringer

Inden I flytter til skyen, er det afgørende at finde ud af om jeres data er sikre i udbyderens datacenter? Hvem har adgang til jeres information i skyen? Findes der er log over alle aktiviteter der vedrører jeres data? Er data krypteret, så tjenesteudbyderen ikke kan se det?

Lad os tage et kig på Microsoft-modellen for betinget adgang:

​Access management og data sikkerhed 2

Her kan I se ansvarsområderne for de forskellige tjenestetyper, og hvordan I drager fordel af de sikkerhedsforanstaltninger uden at ofre datasikkerhed eller håndtere dine adgangsrettigheder.

Sørg også for at din cloud-udbyder har de rigtige certificeringer, er i overensstemmelse med gældende regler og kryptere data, både når de gemmes og når de sendes i mellem enheder eller brugere. Bed om oplysninger om eventuelle sikkerheds revisioner eller certifikater, og spørg ind til hvilke garantier der er på plads. Der kan ikke være for meget datasikkerhed.

Ifølge Arne Bergesen fra Crayon, kan I begynde at opdage fejl og mangler i jeres datasikkerhed og datakvalitet, når I flytter til en cloud-løsning og benytter lejligheden til at gøre status over jeres datasikkerhed. Dette er ikke fordi der er opstået flere fejl, men snarere fordi det er lettere at finde dem. Det giver jer mulighed for at overvåge og analysere jeres data, gøre revision lettere, tydeliggøre jeres performance og hjælpe jeres virksomhed med gennemsigtighed.

Identity Management er kernen i adgangssikkerhed

Det giver ingen mening at bruge medarbejdernes identitet til adgangsstyring og adgangssikkerhed, hvis du ikke har et godt system til at administrere medarbejdernes identitet. Mellemstore virksomheder har i gennemsnit op til halvtreds forskellige IT-løsninger, som deres ansatte har brug for forskellige niveauer af adgang til, nogle med flere roller. Uden et system til håndtering af medarbejdernes identitet i forbindelse med onboarding og offboarding af medarbejdere, kan licensomkostningerne hurtigt eskalere og risikoen for sikkerhedsbrud øges. Det er utroligt vanskeligt (og tidskrævende) at håndtere alle medarbejdernes identiteter manuelt, men løsningen kan være et HR-system, der opretholder masterdatakvalitet, og som kan automatisere mange af disse Identity Management processer. Det er her CatalystOne kan hjælpe.

Hvis du ønsker mere information om hvordan I flytter til skyen, hvordan cloud-sikkerhed fungerer, og hvordan et HR-system kan administrere dine stamdata, anbefaler vi at du se vores on-demand webinar.

Skulle du ønske at se en demonstration af CatalystOne’s HR-system, der kan hjælpe med Identity Management eller gerne vil tale med en af vores konsulenter, er du meget velkommen til at booke en demonstration.