Den beste sikkerheten får man ved å låse transaksjonen, sier Citrix-sjef Mark Templeton. Han anbefaler å kryptere alt med SSL, omgi alle applikasjoner som forvalter forretningskritiske data med streng ID- og tilgangskontroll, og betrakte interne nett som like åpne som det eksterne. (Bilde: Per Ervland)

– Trygt å investere mindre i IT-sikkerhet

Mange bruker pengene feil, sier Gartner. Citrix-sjef Mark Templeton er enig.

Da Citrix-sjef Mark Templeton var i Norge i forrige uke, nevnte han fem punkter som han skulle fokusere sitt selskap på de neste fem årene. Blant de mest interessante var punkt to, «en annen tilnærming til sikkerhet».

– Det brukes i dag for mye penger på å gi folk en falsk følelse av trygghet, sa Templeton på et møte med norske fagjournalister. – Man må i stedet redusere mengden ting man forsøker å verne om. Man skal ikke låse mer enn nødvendig.

Ifølge Templeton prøver bedrifter i dag å låse alt mulig, det vil si både pc-en, datasentralen og nettverket.

– De må i stedet se nærmere på en webmodell, og lære av hvordan bankene forholder seg til sikkerhet. Poenget er å etablere sikkerhet i selve transaksjonen, med SSL-forbindelse og streng ID- og tilgangskontroll. Vi skal ikke låse en enhet eller et nettverk. Vi skal vare etablere tett tilgangskontroll til applikasjonene som gir tilgang til data.

Dette innebærer at man kan tilby samme tjenestemodell på arbeidsplassen som overfor hjemmearbeidere eller fjernarbeidere. En slik forenkling hever sikkerheten, ifølge Templeton.

– Jo mer man prøver å kontrollere, desto flere mulige innganger byr man fram til inntrengere. Det er mye enklere å kontrollere det smale enn det brede. En transaksjonsbasert tilnærming innebærer at all trafikk i nettet krypteres. Det er derfor vi ser på vår massive SSL-pumpe, Netscaler, som så strategisk viktig.

Templeton vil selvfølgelig ikke avskaffe all sikkerhet på pc-nivå. Han peker på at et ledd i tilgangskontrollen før noen slippes til applikasjoner med forretningskritiske data, er klientskanning og sertifikatsforvaltning, slik at man kan forsikre seg at klienten som brukes til å aksessere en bestemt tjeneste, holder et tilfredsstillende sikkerhetsnivå.

Denne tilnærmingen til sikkerhet svarer til en annen trend innen bedrifts-IT: Bruk av personlig eide klienter, det vil si mobiltelefoner, pc-er eller nettfjøler som Apple iPad eller Dell Streak, overfor bedriftsinterne tjenester også på jobben. En modell her er at den ansatte får en bestemt sum å bruke på personlig IT-utstyr, med tilbud om bestemte sentrale applikasjoner og verktøy. Man er personlig ansvarlig for å overholde sikkerhetsregler og for å holde utstyret oppdatert. ID- og tilgangskontroll med SSL-forbindelse til alle tjenester innebærer at sikkerhetsbehovet ivaretas, samtidig som jobben for IT-personalet forenkles.

Tidligere i juni avdekket analyseselskapet Gartner en trend blant bedrifter til å redusere sine investeringer i IT-sikkerhet.

Analytikerne konkluderte med at det kunne de trygt gjøre, og anslo reduksjonen i IT-sikkerhet til tre til seks prosent av de samlede IT-budsjettene ut 2011.

I forrige uke utdypet Gartners sikkerhetsguru Vic Wheatman denne oppfatningen på selskapets toppmøte for sikkerhet og risikostyring. Wheatman går ikke så langt som Templeton, og har et bredere utvalg av tiltak, men tendensen er den samme: Innen sikkerhet kan man trygt gjøre mer med mindre.

    Les også:

Til toppen