NYE TIDER: Virksomheter må ta inn over seg at jobbing utenfor det tradisjonelle kontoret i tiden fremover ikke kommer til å være noe som skjer bare unntaksis, skriver Knut Alnæs. (Foto: Cisco)
NYE TIDER: Virksomheter må ta inn over seg at jobbing utenfor det tradisjonelle kontoret i tiden fremover ikke kommer til å være noe som skjer bare unntaksis, skriver Knut Alnæs. (Foto: Cisco)

Seks tiltak som kan gjøre hjemmekontoret like sikkert som hovedkontoret

KOMMENTAR: Når hjemmekontor har blitt den nye normalen, trenger du også en ny normal for IT-sikkerheten.

Publisert Sist oppdatert

En undersøkelse gjennomført av YouGov på vegne av Citrix viser at to tredjedeler av norske arbeidstakere har jobbet hjemmefra under pandemien, og seks av ti tror ansatte i selskapet de jobber i kommer til å jobbe mer hjemmefra enn de gjorde før pandemien.

Virksomheter må ta inn over seg at jobbing utenfor det tradisjonelle kontoret i tiden fremover ikke kommer til å være noe som skjer bare unntaksvis. I stedet vil det for mange være den foretrukne måten å jobbe på. Det betyr at virksomhetens sikkerhetsstrategi må ta utgangspunkt i det som nå har blitt «den nye normalen» for hvordan ansatte jobber.

Det å jobbe hjemmefra innebærer egentlig ikke noen nye trusler som ikke har eksistert tidligere. Men både kommunikasjonsveier og veiene datatrafikken beveger seg ligger nå ofte utenfor bedriftens nettverk. Denne typen distribuert infrastruktur kan være vanskeligere å sikre, i hvert fall med tradisjonelle verktøy.

Den nye normalen

Veien inn kan være enklere for angriperne når ansatte jobber fra mange ulike steder, kanskje av og til på privat utstyr og uten nødvendige sikkerhetsmekanismer på plass. Et klikk på en lenke i en epost i et litt ubetenksomt øyeblikk kan være nok.

Her er mine seks tips til hva it-sjefer og sikkerhetsansvarlige bør ha fokus på i tiden fremover:

1. Zero trust: VPN-teknologien er fra den tiden da man så på alt som var innenfor bedriftens brannmur som sikkert, mens alt på utsiden var usikkert. I dag må du sikre tilgang til ressursene på applikasjonsnivå i stedet for på nettverksnivå. Sluttbrukerne må gis tilgang til det de skal ha tilgang til, basert på rolle og kontekst. Følg zero trust-prinsippet, der alle enheter og brukere anses som usikre i utgangspunktet.

2. Monitorering: Virksomheter er konstant utsatt for en risiko for at uvedkommende skal få tilgang til IT-ressurser. Derfor trenger du tilnærmet sanntidsovervåking av hva som skjer i nettverket for å identifisere hendelser som avviker fra normalen.

3. SASE: «Secure Access Service Edge» er ett av de siste buzzordene innenfor nettverk og it-sikkerhet, og gjør det mulig å gi enkel og sikker tilgang til applikasjoner uansett hvilken enhet applikasjonen kjører på eller hvor den befinner seg. I en tradisjonell VPN-løsning må datatrafikk og tilgang til applikasjoner innom en sentral sikkerhetsinfrastruktur i datasenteret, noe som kan gi forsinkelser og en dårlig brukeropplevelse. Med SASE og SD-WAN rutes tilgangen til applikasjonene den mest optimale veien.

4. Applikasjons- og skysikkerhet: Jo mer avhengig virksomheter er av applikasjoner og skytjenester, jo viktigere er det å beskytte disse mot angrep. Derfor må applikasjons- og skysikkerhet fortsatt være på toppen av prioriteringslisten også de kommende årene.

5. Multifaktor-autentisering: Mennesker er ikke skapt for å huske komplekse passord med massevis av spesialtegn. Fremtiden er multifaktor-autentisering (MFA) med tokens, soft tokens eller biometri – eller til og med passordfri biometrisk aksess via fingeravtrykk eller ansiktsgjenkjenning. Virksomhetens digitale arbeidsflater bør benytte single sign-on (SSO) så brukerne kan få tilgang til forretningsapplikasjoner og skytjenester via ett enkelt punkt.

6. Bevissthet rundt sikkerhet: Phishing er fortsatt den vanligste måten skadevare som for eksempel løsepengevirus kommer inn i systemene på. Angriperne kan bruke sosiale nettverk og weben til å gjøre automatiserte søk etter ansatte i et bestemt selskap, og så iverksette målrettede angrep mot HR eller økonomiavdelingen. Når angriperne tar i bruk stadig smartere metoder, må virksomheter jobbe enda mer med å bevisstgjøre ansatte på it-sikkerhet.

Med ønske om et sikkert hjemmekontor – også når pandemien er over!

Knut Alnæs, daglig leder for Citrix i Norge