Åtte sikkerhetsbomber for bedriften

Åtte sikkerhetsbomber for bedriften

Ansatte tar med seg farlig teknologi inn på arbeidsplassen. Slik beskytter du deg mot verstingene.

Stadig mer høyteknologi fra forbrukermarkedet finner veien inn på arbeidsplassen. 86 prosent av amerikanske arbeidstakere i en ny undersøkelse fra Yankee Group Research svarte at de hadde brukt forbrukerteknologi i bedriften, for å fremme egen innovasjon og produktivitet. Smarttelefoner, minnepinner og nettsamfunn kan imidlertid utgjøre en sikkerhetsrisiko for bedriften.

Hvordan skal din bedrift forholde seg til dette? Vi har tatt en titt på åtte populære teknologier som er populære også i det norske forbrukermarkedet, og som er i ferd med å infisere arbeidsplassen.

Opplæring og holdningsskapende arbeid

Sikkerhetssjef i Buypass og styreformann i interesseorganisasjonen IT Sikkerhetsforum, John Arild Johansen kommenterer hvert punkt. Han mener det viktigste er at bedriftene må lære opp sine ansatte.

LES OGSÅ: På stedet hvil for sikkerhet

- Generelt tillegges opplæring og holdningsskapende arbeid for lite oppmerksomhet. Man må ha bedriftens egne ansatte på lag for å kunne håndtere disse utfordringene. Alle må læres opp i hva som er trusselbildet slik at det skapes forståelse for sikkerhetsarbeidet, mener Johansen.

1. Lynmeldinger (IM)

Microsoft Messenger og andre lynmeldingstjenester brukes ofte både som intern bedriftskommunikasjon og for private formål. Det er flere sikkerhetsutfordringer knyttet til dette, blant annet kan ondsinnet programvare finne veien til bedriftsnettet via eksterne IM-klienter og brukere kan sende sensitiv informasjon til usikre nettverk.

En mulig løsning er alltid å bannlyse all bruk, og i dette tilfellet kan man klare å blokkere alle IM-tjenester. Alternativt kan man benytte en egen IM-server for intern bruk i bedriften, kryptere meldinger og legge restriksjoner på overføringer. Deretter kan man blokkere for bruk av eksterne IM-tjenester.

- Det finnes løsninger fra sikkerhetsselskapene som direkte skanner IM-trafikk for både virus/malware, IM-spam og innhold i tekst. Overvåking og logging eller introduksjon av egen, intern IM-server på området introduserer store utfordringer innen personvern, sier Johansen.

2. Web-basert epost

50 prosent av respondentene i Yankee-undersøkelsen svarte at de benyttet web-basert epost i forretningsøyemed. Som all annen trafikk på internett kan meldinger fra tjenester som Google Gmail og Microsoft Hotmail snappes opp, dessuten lagres meldingene på ISP-ens server i tillegg til epost-tjenestens server. Dette er det viktig å være klar over hvis man vurderer å sende sensitiv informasjon via webmail.

Det finnes verktøy som kan overvåke web-basert epost. Innhold og vedlegg kan gjennomsøkes, og data som bedriften anser som sensitivt fører til at epost hindres i å bli sendt.

- En utfordring er at sending og mottak av vedlegg via webmail ikke skannes for innhold av bedriftens e-post skanner sentralt på mailserveren, men overlates til antivirusklienten på den enkeltes PC. All erfaring og statistikk viser at det er det svakeste ledd i bedriftens virushåndtering, med såpass mye som 10 prosent feilrate.

3. Bærbare lagringsenheter

It-sjefens verste mareritt er gjerne minnepinner og andre bærbare lagringsenheter. Store mengder data kan enkelt kopieres fra bedriftens nettverk og fraktes til mer usikre lokasjoner. Det er like enkelt å sperre usb-porter, men flere sikkerhetseksperter anbefaler ikke dette. I tillegg til å hemme produktivitet og brukervennlighet, finner de ansatte ofte omveier til slike type hindringer. Skal man trekke grensen ved smarttelefoner, infrarøde porter eller cd-brennere?

LES OGSÅ: Sikkerhet forsømmes i utviklingen

Det finnes imidlertid blokkeringsteknologi som identifiserer enheter som ikke er verifisert som sikre av bedriften. Kryptering av data og passordbeskyttede usb-enheter finnes også på markedet.

- Det finnes rimelige og brukervennlige USB-minnepinner med tvungen kryptering for bruk. Gratisprogrammet Truecrypt kan benyttes mot USB-disker uten denne funksjonaliteten. Her er opplæring viktig for å lære de ansatte opp i trusselbildet.

KONTROLL: Sikkerhetssjef i Buypass og styreformann i IT Sikkerhetsforum, John A. Johansen, mener bedriftene både må lære opp sine ansatte i sikkerhet, samtidig som de fører kontroll og revisjon.

4. PDA-er og smarttelefoner

Flere og flere arbeidstakere tropper opp med en eller annen form for smarttelefon eller pda, som de bruker til å synkronisere kalender eller epost med pc-en på arbeidsplassen. Dette kan forårsake problemer som applikasjonskrasj eller blåskjerm. Så lenge bedriften ikke eier enheten, er det dessuten vanskelig å forhindre at arbeidstakeren tar med seg sensitiv informasjon når han eller hun avslutter arbeidsforholdet.

Det enkleste er at bedriften selv eier enhetene, standardiserer på én eller et fåtall modeller og kun tilbyr brukerstøtte på disse. Alle andre enheter tillattes ikke på bedriftsnettet.

- Dette er et av de viktigste områdene. Det første forholdet gjelder all uautorisert installasjon av programvare, ikke bare det som følger med mobile enheter. Bedriftens policy på området må være krystallklar og det må etableres jevnlige kontroller og revisjoner.

LES PUNKTENE 5-8: Mobiltelefoner med kamera, Skype, nettsamfunn og widgets

Les om:

Sikkerhet