-It-avdelingen må begynne å si ja

- Du snakker om å bruke sikkerhet som en forretningsdriver. Hva mener du med det?

- Vi har ikke lenger bare statiske nettverk hvor it-avdelingen har full kontroll tvers igjennom. Flere og flere brukere i alle nivåer i organisasjonen, vil ha informasjonen på de enhetene de selv velger og vil jobbe med de verktøyene de foretrekker. Med den nye infrastrukturen hvor type klient ikke spiller noen rolle, må sikkerheten ivaretas på en annen måte. It-avdelingenes oppgave blir å gjøre informasjon og arbeidsverktøy tilgjengelig på sikkert vis, svarer sikkerhetsrådgiver Hans Peter Østrem i Symantec.

- Basissystemer som erp, salgs- og kundestøtte vil fortsette å være hvor de er, for å si det sånn, men de må gjøres tilgjengelig på andre klienter enn pc-er under it-avdelingens kontroll. Sikkerhet har til nå ofte bestått i å nekte tilgang og blokkere, men nå holder det ikke lenger å bare si nei.

- Må si ja

- Så nå skal it-avdelingene begynne å si ja?

- Ja det skal de. Men de skal opprettholde sikkerheten, og må forholde seg til slike nyere fenomener som å sikre informasjon i bevegelse, altså som brukes mobilt, så vel som informasjon som er i ro eller lagret. Rent teknisk består det at systemene må kunne autentisere, identifisere, kryptere og kanskje blokkere. Og selvsagt logge.

- Du sier at brukerne vil stille andre krav og vil ha sitt eget utstyr. Men jeg har hørt it-sjefer som sier at bortskjemte unger ikke skal komme her og lære oss it?

- Dagens ungdom har vokst opp i en digital verden, og vil stille krav. Jeg har vært borti jobbsøkere som krever å få bruke verktøyene de er vant til. Og da blir det sånn at vil du ha flinke folk, må du kunne tilby det de ønsker.

- Et annet moment er for eksempel at toppsjefen stikker innom en Apple-butikk og kjøper seg en Ipad. Etter å ha kost seg med den i helgen, får kanskje it-avdelingen den på bordet med beskjed om å sørge for tilgang og muligheter til å jobbe mot bedriftens systemer. Kanskje vil hele ledergruppen ha slike. Dette får it-avdelingene i fanget enten de vil eller ikke.

- Men det er ikke bare å snu om på sikkerheten over natten?

- Nei. Men det behøver ikke være så vanskelig heller. Sikkerhet henger sammen med risiko. Det gjelder å stille seg spørsmål om hvilken risiko man er utsatt for. Har for eksempel bedriften en plan for gjenoppretting etter et brudd eller en katastrofe? Det må ikke være en fullstendig risikoanalyse, men det lønner seg å finne ut hvor informasjonen er, hvor den beveger seg, hvordan den brukes og hvordan den må sikres.

- It-avdelingene må bruke programvare for dette, som håndterer autorisering, kryptering og så videre uten at brukerne merker det. Her kan tjenester som backup, synkronisering, rask gjenoppretting gjøres til fordeler for brukerne. Har de mistet smarttelefonen sin, vil en ny kunne synkroniseres opp til å bli identisk med den tapte. Det enkle budskapet er at en god device er en administrert enhet. It-avdelingen kan ikke stå imot brukernes krav om å velge verktøy selv noe mer enn de kan velge de ansattes skjortefarge, men de må sørge for kontroll.

- Så er det at mobile enheter gir mulighet til bedre sikkerhet ved at systemene kan ha policyer som bestemmer tidspunkter for bruk i forhold til hvilken bruker, hvor brukeren befinner seg, om data forsøkes overført til for eksempel minnepinner og mye annet.

Hindre tap av data

- Så det er ikke så vanskelig det du kalte vår nye infrastruktur?

- Alt er ikke like enkelt, men det vanskeligste hittil er kanskje det å hindre tap av data. Data Loss Prevention, DLP, er begrepet som brukes i bransjen. Der hvor det har vært tap av data, ser vi oftest at det ikke skjedd i ond hensikt. Det kan være systemfeil, kunnskapsmangel eller godtroenhet hos brukerne, for eksempel sensitiv informasjon som aldri burde vært tillatt sendt på e-post, og som havner hos et navn som ligner på det riktige. Nå kan systemet spørre "er du sikker på du vil sende denne selvangivelsen til frank.johnsen@idg.no". I tillegg er det viktig at slike systemer også kan stoppe de som med forsett prøver å fjerne noe av den intellektuelle kapitalen organisasjonen har i sine systemer.

- Det er viktig at systemene varsler brukerne om muligheter for feil. At brukeren blir spurt om det virkelig skal sendes epost til tyve mottakere, for eksempel. For å få til dette må systemprosedyrer skille fra arbeidsrutiner. Dynamikken i arbeidsflyten må beholdes, samtidig som policy beskytter data og systemer.

- Har vi endelig fått gode nok sikkerhetsverktøy nå?

- Jeg har jobbet med sikkerhet i mange år, og nå mener jeg vi i grunn har de fleste verktøyformene vi trenger tilgjengelige, men selve teknologien må stadig møte nye utfordringer. Ved siden av skyen, virtualisering og "consumerization of it" trenger vi nå å konsentrere oss mer om kombinasjonen av teknologien med det sosiale og lage systemer på brukernes premisser. Ett stikkord er omdømmebasert sikkerhet, hvor jeg kan røpe at vi meget snart kommer med nyvinninger som tar denne sosiale tenkningen opp i seg.