Sikkerhetsekspertenes tale er klar; rundt om i alle bedrifter skjuler deg en usynlig og potensielt skadelig praksis. I ytterste konsekvens kan den lede til at sensitive og viktige data kommer på avveie.
Det hele er knyttet til en ny trend som har vokst seg stor de siste årene, hvor ansatte tar med seg og bruker private vaner, private tjenester og privat utstyr på arbeidsplassen.
Ekspertene kaller utfordringen «shadow IT», en samlebetegnelse for all den bruken av IT i en virksomhet som IT-avdelingen ikke har ansvaret for eller kontroll over.
Det kan være en som ansatt som bruker sin private telefon til å ta bilder av en viktig prototype, og lagrer dem i sin private skytjeneste, uten å tenke over det. Eller kollegaen, som bruker en gratistjeneste på nett for å konvertere en viktig kontrakt til PDF-format – uten å være klar over hva gratistjenesten egentlig gjør med dokumentet.
Er det én ting jeg er sikker på, så er det at bedriftene ikke har oversikt over hvor omfattende dette egentlig er
– Per Thorsheim
Det er ikke bare litt data det er snakk om. En rapport fra nettskyselskapet Skyhigh, som undersøkte databruken til 2,5 millioner europeiske ansatte, anslår at de i snitt lastet opp 86 GB i året til forskjellige skyløsninger. 16,2 prosent av dette er sensitive data. Likevel er det bare 7 prosent av skytjenestene de ansatte bruker som etterlever selskapets sikkerhetsstandarder.
– Alle bedrifter har shadow IT i en eller annen form. Og er det én ting jeg er sikker på, så er det at de ikke har oversikt i hvor omfattende dette egentlig er, forteller den uavhengige sikkerhetskonsulenten Per Thorsheim.
Han har selv jobbet med mange bedrifter som har fått en «aha»-opplevelsen når han har kartlagt hvor få som faktisk følger bedriftenes sikkerhetsregler, hvor mange som tror de følger reglene uten å egentlig vite hva reglene er, og hvor mange som med vitende og vilje jobber seg rundt sikkerhetsløsningene.
For i dag er Ola Nordmann vant til å bruke iPhonen sin hjemme, med visse tjenester og apper koblet til, og om det jobben tilbyr av løsninger er vanskeligere å bruke betyr det i praksis at Ola dropper jobbens løsninger der det er mulig.
Uten å egentlig tenke over faren som følger.
Det er små detaljer, men poenget til Thorsheim er at mange små bekker fort blir en elv.
Det samme synet deler Paul Are Angell Killie, daglig leder i Cloudwalker. Selskapet har sitt utspring fra IBM, og er eksperter i å bruke Softlayer-teknologien til IBM som plattform for sine skytjenester. Når de designer et nytt skyoppsett for en bedrift, tar de alltid utgangspunkt i hvordan de ansatte jobber:
– Det er alt dette småtteriet de ansatte gjør i det daglige mange bedrifter glemmer. Også fra andre bransjer, som fly- eller skips-bransjen, vet vi at det er alle de små tingene som til slutt leder til en katastrofe, sier Killie.
Thorsheim påpeker samtidig at det er enkelte fordeler med at ansatte tar med seg private vaner og utstyr på jobben. De får tross alt bruke akkurat den enheten og tjenesten de liker best.
– Men det må likevel settes i system, for å ikke gå på bekostning av sikkerheten, sier han.
At utstyret er privat drar også med seg en annen utfordring få tenker over på forhånd. Arbeidsgiver har etter norsk lov ingen innsynsrett i privat utstyr, eller muligheten til å kreve at maskinen formateres når en ansatt slutter.
– Selv ikke når en viktig person i selskapet bytter jobb til en konkurrent kan arbeidsgiver forlange å se innholdet denne personen har på utstyr han eier privat, selv om det er brukt i jobbsammenheng, forteller Thorsheim.
Shadow IT-problematikken har økt betydelig med inntoget av skyløsninger. Dette har skapt et mindre bevisst forhold til akkurat hvor en fil eller et dokument er lagret, og hvilke enheter som egentlig har tilgang til informasjonen.
– Det er mye snakk om at sikkerhet i skytjenester er en utfordring. Men min påstand er at riktig bruk av skyteknologi vil lede til mer sikkerhet. For de fleste norske selskaper vil en større, profesjonell skyleverandør ha en langt større evne til å gjennomføre sikkerhetstiltak. De har pengene, resursene og kapasiteten til å gjøre så mye mer. Både fysisk og digitalt, sier Killie.
Teknologien selskapet leverer hjelper bedrifter med å sikre denne informasjonen. For med Cloudwalkers skytjeneste ligger all informasjonen lagret i nettopp skyen, og i utgangspunktet ikke lokalt på maskinen til den ansatte. Da er informasjonen under arbeidsgivers kontroll.
Dette er imidlertid bare ett enkelt av mange tiltak bedriften din kan gjøre for å begrense mengden shadow IT, og samtidig få full kontroll over dataene.
Når Cloudwalker tar på seg ett oppdrag starter de alltid med å analysere mengden shadow IT i en bedrift, samt holdningene knyttet til dette blant de ansatte, før de så skreddersyr en sikkerhetsløsning basert på hver enkelt bedrifts behov og kultur. Målet er at de ansatte oppriktig skal sette pris på løsningen.
– Den mest brukte IT-funksjonaliteten i en bedrift er deling av informasjon. Og der har vi en konkret løsning hvor bedriften kan skru sikkerheten akkurat som de selv ønsker. Løsningen har den samme brukeropplevelsen og funksjonaliteten som de andre populære tjenestene folk flest bruker privat, slik at det ikke er noe funksjonsmessig tap for de ansatte, forteller Killie.
Han nevner et konkret eksempel: Ansatte er vant til å sende informasjon og dokumenter via e-post, selv om det hverken er trygt eller godkjent når personsensitiv informasjon skal håndteres. Cloudwalker sin løsning vil da kunne sende dette dokumentet som en kryptert og passordbeskyttet lenke, via e-post, slik at brukerne fortsatt kan sende informasjonen slik de er vant med.
Cloudwalker leverer rett og slett et lag med sikkerhet som reduserer eller fjerner problemene med shadow IT:
Ler mer om løsningen hos Cloudwalker »
Løsningen blir tilpasset etter hvordan de ansatte i hver bedrift bruker IT-løsningene som er der allerede. Killie selv sammenligner implementeringen med hvordan man bygger en moderne park i byen. Fremfor å legge alle stiene med en gang, venter man en sommer og ser hvor folk har tråkket ned gresset. Det er her brukerne av parken egentlig vil gå, så det er der de da bygger stiene.
– Det er sånn man designer for brukervennlighet og sikkerhet. Folk finner andre veier utenfor om du gjør det vanskelig for dem. Det er derfor vi skreddersyr sikkerhetslaget for hver eneste bedrift, etter å ha studert hvordan de ansatte jobber, sier Killie.
Nettopp det menneskelige aspektet ved sikkerhet er viktig å huske på, poengterer Thorsheim:
– Gode holdninger er viktig, teknikken kan bare hjelpe deg så langt. Du må kartlegge bruken, etablere alternative tjenester og få brukerne til å forstå hvorfor vi etablerer kontrolltiltak, sier han.
Killie i Cloudwalker er helt enig:
– Sikkerhet bygger du gjennom holdninger og prosedyrer, og det vi leverer er teknologien og prosessen som gjør dette mulig, sier han, og avslutter:
– Sikkerheten må skrus etter kulturen i selskapet. Skrur du for stramt, vet vi at den ikke blir brukt.
