Cystore

Mobila kontoret: Jobba var du vill – om du känner till riskerna

Med ett mobilt kontor och arbetssätt kommer stor frihet för den anställda, men också en ny hotbild för företagets datasäkerhet. Det kräver både satsningar på infrastruktur och en ökad riskmedvetenhet hos medarbetaren.

Säkerhetstips I dag kan vi mer än någonsin tidigare själva styra både våra arbetstider och vår arbetsplats. Det mobila kontoret finner vi hemma, på resande fot eller på café, långt utanför företagets skyddande brandväggar.

För den enskilda medarbetaren ger det här en enorm frihet, men för IT-avdelningen innebär det en helt ny flora av cyberhot att ta ställning till.

– När vi går från en stationär arbetsmiljö till det mobila kontoret förändras allt, säger Håkan Samuelsson, som är Channel systems engineer på IT-säkerhetsföretaget F5 Networks. De senaste fem åren har fokus därför legat på att lösa problemen med klienten. Det är lättare för hackaren att via social manipulation, nätfiske (phishing) eller liknande få dig att göra något dumt med din laptop när du är utanför kontoret än att ge sig på företagsnätet direkt. När du sedan kommer tillbaka till kontoret har hackaren oftast få begränsningar mellan klientnätet och datacenternätet. Om hackarna har full tillgång till en dator kan de ganska snabbt komma upp på hög adminnivå, och då kan de göra vad de vill.

Mobila kontoret: okunskap stor riskfaktor

De största säkerhetsutmaningarna i dag är inte bara tekniska, utan kretsar kring användarbeteenden, menar Håkan Samuelsson.

– Svagheten i dag ligger i oförsiktigheten och okunskapen hos den gemene användaren, vad som är ett riskbeteende helt enkelt, säger han. Vi som jobbar inom IT blir lite hemmablinda och har en bild av att alla kan och förstår det här.

Lösningen är en välformulerad säkerhetspolicy på företaget, och att med rätt utbildningar höja kunskapsnivån.

– Börja med en bra utbildningsstrategi och en policy som hjälper användaren. Öppna inte suspekta dokument som kommer med mejlen. Vad är suspekta dokument? Det måste finnas en referensmodell så att jag kan avgöra vad som är suspekt.

Satsa på så dumma enheter som möljigt

När det gäller den tekniska sidan förespråkar Håkan Samuelsson så ”dumma” enheter som möjligt. Med det menas en dator eller mobil enhet där så lite som möjligt lagras på själva enheten. Det mesta sköts i stället i molnbaserade applikationer. På så sätt kan fokus ligga på att säkra upp applikationen och datan i datacentret snarare än på den enskilda enheten.

– Vi pratar om att flytta perimetern närmare applikationen, säger Håkan Samuelsson. Då kan du lägga SSL och DDOS-skydd på applikationsnivå och ha en tvåfaktorsautentisering vid anslutning till tjänsten.

Risker med det mobila kontoret_F5_Cygate

Många fördelar med molnbaserat arbetssätt

Med det här arbetssättet finns inte så mycket att hämta i själva enheten för hackaren. Om datorn, plattan eller mobilen blir smittad med skadlig kod räcker med att försöka ta reda på vad som har hänt, och sedan destruera enheten och köpa en ny.

– Har man en applikationsbaserad infrastruktur så är man i gång och jobbar igen inom tio minuter, säger Håkan Samuelsson. Sedan kommer ju andra fördelar som inte omedelbart har med säkerheten att göra. Produktiviteten hos de anställda ökar när användaren får ett enhetligt inloggningssätt för organisationens alla tjänster och man slipper använda en krånglig eller dåligt fungerande säkerhetslösning.

Svårare att detektera riskbeteenden

På senare år har antalet webbsidor med SSL-kryptering ökat. Det innebär att webbsurfande generellt har blivit säkrare, men när trafiken krypteras blir det svårare för IT-avdelningen att analysera datan och detektera riskbeteenden.

– På fem, sex år har vi gått från tio procent SSL till att vi kommer att se sjuttio procent SSL-trafik under slutet av 2017, säger Håkan Samuelsson. När det i dag är lättare att sätta upp certifikat har fler och fler botnät börjat använda SSL, något som vi aldrig såg förr. För att få värde i säkerhetsinvesteringen företaget har gjort måste man få tillbaka synligheten i näten. Det som är komplext är vilken trafik i företaget som ska avkrypteras. Det kommer att kunna bli legala dispyter, det är inte bara ett tekniskt problem, spår Håkan Samuelsson.

Fem säkerhetsråd till medarbetaren

  • Använd starka och unika lösenord för dina konton. Med en lösenordshanterare slipper du skriva ner eller komma ihåg alla lösenord.
  • Koppla aldrig upp dig mot offentliga wifinätverk utan att använda säkra SSL-tjänster.
  • Håll operativsystem, applikationer och virusskydd uppdaterade.
  • Dela inte företagsinformation med osanktionerade tjänster som Dropbox eller liknande.
  • Klicka aldrig på länkar i mejl med okända avsändare, eller på webbsidor som du inte litar på.

 

Ladda ned F5s rapport Inside the head of a Hacker för fler råd om hur du kan överlista hackaren och göra ditt företag mindre sårbart.

VÄNLIGEN FYLL I DIN E-POST HÄR SÅ SÄNDER VI TIPSEN TILL DIG!