Sikkerhet og sårbarhet er velkjente tema, men er enda mer aktuelt i en verden som blir stadig mer digital, sammenkoblet og uforutsigbar.
Forskjellige typer informasjon fra flere kilder lagres og behandles, og tilgangen til informasjonen deles via mange kanaler der det tidligere bare var en vei inn. Bruk av eksterne leverandører og tjenester, gjerne spredd over hele verden, skaper flere utfordringer.
Informasjonssikkerhet
Virksomhetene blir stadig mer avhengig av å etablere gode systemer, rutiner og kultur for informasjonssikkerhet. Informasjonssikkerhet handler om å håndtere risiko for at personopplysninger og andre informasjonsverdier ikke blir ivaretatt på en tilfredsstillende måte. Det innebærer også at informasjon som inngår i forskjellige oppgaver og tjenester må sikres.
Informasjonssikkerhet handler om:
- Konfidensialitet. Informasjonen blir ikke kjent for uvedkommende.
- Integritet. Informasjonen blir ikke endret utilsiktet eller av uvedkommende.
- Tilgjengelighet. Informasjonen er tilgjengelig ved behov.
Konsekvenser ved uønskede hendelser
Konsekvensene ved manglende informasjonssikkerhet kan bli svært store og kan true hele virksomhetens eksistens og skape store problemer for både samfunnet og enkeltpersoner som blir berørt. Aktuelle eksempler er virksomheter som stopper helt opp i en periode, økonomisk svindel og utpressing, sensitive personopplysninger som kommer på avveie, og utstrakt spredning av falsk informasjon.
Tilgangsstyring
Identitets- og tilgangsstyring (IAM) handler om å tilrettelegge teknologi og prosedyrer for at brukere kan få tilgang til data, informasjon og tjenester via applikasjoner eller systemer på en enkel og sikker måte. Det skal være tillitt til bruk av data, informasjon og tjenester. Det påvirker hele livssyklusen for identitetsforvaltning og mekanismer for tilgangskontroll og sporing.
I tillegg til vanlige tilganger, må virksomheten også ha god styring på privilegerte tilganger. Handlinger utført med privilegerte tilganger bør være entydig sporbart tilbake til person med gitt identitet og tilknytning til gitt rolle i arbeidsforholdet.
Det tradisjonelle konseptet for sikring av informasjon har vært såkalt «fort-sikring». Nå er det ikke lenger tilstrekkelig å tenke brannmurer og nettverksovervåkning for sikre sitt eget fort. Alle aktører med tjenstlig behov, skal kunne se og oppdatere informasjon som virksomheten har ansvar for. Det er derfor behov for å bevege seg fra tanken om «fort-sikring» til å kunne beskytte hvert enkelt informasjonsobjekt.
Lagring i skyen og bruk av skytjenester
Lagring i skyen løser noen problemer, men skaper også nye sikkerhetsmessige utfordringer.
Bruk av skytjenester kan gjøre det nødvendig å benytte programvare som ligger som et lag mellom brukerne av skytjenestene og applikasjonene som ligger i skyen. Programmet vil blant annet overvåke aktivitet, varsle administratorer om mulige trusler og automatisk forebygge skadelig programvare. Såkalt CASB (Cloud Access Security Broker) programvare har også funksjonalitet for å gi nødvendig kontroll på hvilke brukere som skal ha hvilken tilgang til de ulike skytjenestene.
I tillegg til dette, må andre hensyn rundt skytjenester adresseres. Blant annet hvor og hvordan informasjon blir lagret, og hvorledes avidentifiserte data i skyen skal håndteres.
Nasjonale lover, som pålegger tjenesteleverandører registrert i vedkommende land å kunne utlevere data til myndighetene, skaper ekstra utfordringer ved bruk av de store internasjonale skyleverandørene.
Aktuelle tiltak for å sikre virksomheten mot uønskede hendelser
- Regulering og personvern: Tilpasninger av informasjonssystemer til lovtekst, forskrifter, standarder og begreper. Ikke lagre unødvendig personinformasjon.
- Digital sikkerhet / Sikkerhetsstyring: Styring, revisjon og ROS-analyse. Risiko og tiltak. Veiledere. Følge ISO 27001
- Cybersikkerhet: Involvering av ansatte for å unngå spionasje og dataangrep. Unngå hærverk/sabotasje/bedrageri/svindel/tyveri. Bygge sikkerhetskultur.
- Sikkerhetsarkitektur – IKT-tekniske aspekter: Sikre at digitale ressurser beskyttes med sikkerhetsprogramvare, skybaserte tjenester, og konfigurasjon/patching.
- Sikkerhetsetikk og -kultur: Sikre at ledelsen og ansatte har kompetanse og forståelse for sikkerheten i virksomheten. Sikring av data/algoritmer.
- Sikkerhetstest: Kompetanse for å forstå sårbarheter, planlegge og lede arbeidet med å gjennomføre sikkerhetstest, samt oversikt over testverktøy.
- A-2 har kompetanse og erfaring for å bistå med å gjennomføre denne type tiltak. Les mer her.
Hvordan lykkes med digital transformasjon i en verden som endres?
Digital transformasjon er mer enn innføring av teknologi. Det handler om virksomhetsutvikling muliggjort ved bruk av teknologi, der fokus for å lykkes er kunnskap og eierskap. Endrede markedsvilkår, økt kostnadsfokus og teknologisk utvikling åpner for nye digitale løsninger og muligheter.
Av Imran Mushtaq, seniorrådgiver hos A-2 Norge