Blogg - Kinly

Hvor IT-sikre er dere?

Skrevet av Ulrikke Eidem | 24.nov.2023 12:52:58

I dag skjer nesten all verdiskapning gjennom datasystemer. Det har ført til en stadig mer krevende og kommersialisert sikkerhetshverdag. For norske bedrifter er det nødvendig å sørge for sikring av egne data – også i frakoblede kontorløsninger.

– Alle bedrifter, uansett størrelse eller industri, har informasjon som ikke bør spres til hvem som helst. Behovet varierer ikke bare fra selskap til selskap, men kan også variere på tvers av avdelinger, forretningsområder eller prosjekter, sier Henrik Johannesen, direktør for skytjenester hos Kinly.

IT-sikkerhet er svært sammensatt, og gjelder alt fra fysisk tilgang til kontor og programmer, lagring og spredning av data, til digital samhandling, møtevirksomhet og arbeid i skyen. Det krever gode interne rutiner blant de ansatte, i tillegg til riktig teknologi.

 

Mer komplekst enn mange tror

Det kan være utfordrende å manøvrere blant alle sikkerhetsløsningene som finnes på markedet. Som uavhengig leverandør kan Kinly bidra med å stake ut riktig sikkerhets-kurs tilpasset den enkeltes bedrifts behov.

– Regelverket fra myndighetene kan være vanskelig å forstå, og bedrifter tolker det ulikt. Vi diskuterer mye med kundene om hva som er lov og viktig for deres virksomhet. Det er mange problemstillinger som skal vurderes og sikkerhet er ofte mer komplekst enn mange tror, sier Anders Olstad, løsningsarkitekt i Kinly.

Vær spesifikke i bestillingen

Han forteller at bedrifter som kun oppgir vage sikkerhetskrav i anbud og bestillinger kan ende med å skyte seg selv i foten.

– Det holder ikke å bare skrive generelt at«sikkerhetskrav må kunne oppfylles». Uklare krav kan føre til avtaler med produsenter som ikke kan levere det dere trenger av sikkerhetstjenester eller infrastruktur. Eventuelt at produktene ikke kan verifiseres eller godkjennes av sikkerhetsavdelingen. Da begynner både tid og budsjetter å løpe mens nye løsninger må undersøkes og bestilles. Det er heller ikke uvanlig å bli fanget av bindingstid, og måtte betale på to avtaler en periode, sier Olstad.

Han legger til at mye av sikkerhetsteknologien, og spesielt der det er veldig strenge krav, må innlemmes i infrastrukturen på et veldig tidlig stadium i nybyggprosjekter.

Skjermer må også sikres

Stadig flere bedrifter installerer løsninger der de ansatte logger på videomøter ved å koble opp egen maskin til integrerte skjermer, mikrofoner, høyttalere, paneler og kameraer i et møterom – såkalt Bring Your Own Device (BYOD).

– Skjermen i møterommet er gjerne ikke koblet til bedriftens nettverk. Mange opplever en falsk trygghet i dette og tenker at de kan henge og brukes trygt i mange år, men det stemmer ikke. Når en ansatt kobler opp sin maskin sendes informasjon begge veier. For å unngå sikkerhetsbrudd og uønsket tilgang til bedriftens data må produktene i møterommet også oppdateres jevnlig, på lik linje med de ansattes egne enheter.

Sikkerhet utenfor kontoret

Mange ansatte nyter godt av fleksibilitet der de selv kan påvirke hvor arbeidsdagen skjer. For bedriften betyr det å tenke datasikkerhet både på og utenfor kontoret.

– Alle digitale møter kjøres på plattformer utenfor kontoret, ofte på store åpne plattformer. Her samles svært mye data om møtevirksomhet og bruksmønstre som kan gi innsikt i bedriftens drift og utvikling. Spredning og synliggjøring av så enkle detaljer som møtenavn, agenda og navn på deltakere kan i enkelte firmaer, bransjer og møter være problematisk, sier Johannesen.

Da kan en kombinasjon av løsninger som sjongleres etter behov være svaret.

Rustet for sikkerhetsrisikoer

De åpne plattformene er likevel trygge nok for de fleste bedrifter i deres daglige drift og møtevirksomhet. Derimot kan store oppkjøpsprosesser, fusjoner, produktutvikling, juridiske prosesser og omfattende endringer i bedriften være eksempler på sensitiv informasjon som kan kreve et høyere sikkerhetsnivå.

– For bedrifter eller organisasjoner med de høyeste sikkerhetskravene kan vi levere løsninger der all lagring og datautveksling skjer lokalt. Løsningene tilrettelegger for administrert adgangskontroll og bruk av autentisering for å sikre at informasjon kun deles med de riktige menneskene. Det vil effektivt redusere risiko for dataangrep eller industrispionasje, sier Johannessen.

Å behandle all data lokalt, eller i egne datasenter-løsninger vil også gi ekstra trygghet dersom bedriften utsettes for betydelige dataangrep, og ser seg nødt til å koble seg av nett eller digitale samhandlingsløsninger.

– På denne måten kan bedriften fortsatt avholde lukkede krisemøter med utvalgte personer. De kan koble opp lokale løsninger som holder hjulene i gang, og lar dem adressere trussel og svakheter i egne systemer fram til det er trygt å koble seg på omverdenen igjen.

– Vi lever nå i en krevende sikkerhetspolitisk situasjon og dette har konsekvenser for de IT- og sikkerhetsløsningene en bedrift bør velge. Det er i dag viktigere enn noen gang at norske bedrifter tar stilling til egen sikkerhet, og det blir ikke enklere fremover. Vi kan hjelpe til med å finne de løsningene som best dekker behovene til hver enkelt bedrift, avslutter Johannesen.

Hvordan være trygg på at dere bestiller riktig sikkerhetsteknologi

  • Vær bevisst på at regelverket kan være vanskelig å tolke. Ikke gjør dere selv en bjørnetjeneste ved å anta at dere vet hvilke sikkerhetskrav som må oppfylles.
  • Sett dere inn i kravene for deres bedrift. De kan variere i avdelinger, prosesser og roller, og kan kreve en sammensatt kombinasjon av løsninger.
  • Oppfør sikkerhet som et eget punkt i bestillinger og beskriv de spesifikke kravene nøye. Slik sørger dere for å ende opp med tjenester og produkter som sikkerhetsavdelingen kan godkjenne når de blir involvert etter installering, og som dere kan begynne å bruke med det samme.