Faglegt efni

Skýjalausnir geta verið ógn við netöryggi fyrirtækja

Sá tími þegar tölvudeildin hafði fulla stjórn á því hvaða hugbúnaður var notaður af starfsmönnum er að mestu liðinn.

Notkun starfsmanna á ósamþykktum skýjalausnum til að sýsla með vinnugögn er raunveruleiki sem mörg fyrirtæki þurfa að horfast í augu við. Þetta er þróun sem býður hættunni heim.

Notkun starfsmanna á ósamþykktum skýjalausnum til að sýsla með vinnugögn er raunveruleiki sem mörg fyrirtæki þurfa að horfast í augu við. Þetta er þróun sem býður hættunni heim og oft getur reynst erfitt fyrir fyrirtæki að átta sig á hversu mikið af gögnum þeirra eru vistuð í ósamþykktum skýjalausnum. Þorvaldur Henningsson, yfirmaður netöryggisþjónustu Deloitte, gefur þrjú góð ráð til að draga úr þessari ógn.

Sá tími þegar tölvudeildin hafði fulla stjórn á því hvaða hugbúnaður var notaður af starfsmönnum er að mestu liðinn. Starfsfólk er í auknum mæli farið að nýta sér skýjalausnir s.s. Dropbox og Google Drive til að vista og vinna með gögn.

Skýjalausnir geta í sjálfu sér verið góður valkostur fyrir fyrirtæki en þegar starfsmenn taka upp á sitt einsdæmi að nota slíkar lausnir án samþykkis tölvudeildar þá getur það boðið hættunni heim.

Til að fyrirtæki geti varið gögnin sín þá er grundvallaratriði að vita hvar þau eru vistuð en reynslan sýnir að ef starfsfólk finnur skýjalausn sem það telur að geti auðveldað þeim störfin þá notar það oft slíka lausn án þess að huga að öryggi.
 

Hvers vegna er starfsfólk að nota ósamþykktar lausnir?

Í sumum tilfellum telur starfsfólk að tölvudeildin sé ekki að þjónusta sig nægilega vel með þeim lausnum sem eru í boði. Í öðrum tilfellum eru starfsmenn nýjungagjarnir og líta svo á að þeir geti sjálfir leyst málin með því að nota skýjalausnir frá þriðja aðila, en gleyma jafnframt að huga að öryggishættunni sem því fylgir.

Þorvaldur Henningsson, yfirmaður netöryggisþjónustu Deloitte hefur orðið vitni að því að heilu deildirnar hafa án vitundar tölvudeildar, tekið í notkun skýjaþjónustur sem ekki hafa verið samþykktar til notkunar hjá viðkomandi fyrirtæki.

„Við höfum til að mynda tekið eftir því að deildir sem telja sig þurfa hópavinnulausn, fari einfaldlega á netið og finni þar gjaldfrjálsa skýjalausn sem það hyggst nota án þess að tölvudeild þess sé meðvituð um það,“ segir Þorvaldur.  

Hvernig geta fyrirtæki brugðist við þessari þróun?

Þar sem tækniþekking almenns starfsfólks eykst frá ári til árs og það verður vanara að nota skýjaþjónustur þá getur reynst erfitt fyrir tölvudeildir að stöðva þá þróun að starfsmenn séu að nota slíkar lausnir, jafnvel þó að notkun þeirra hafi ekki verið samþykkt hjá viðkomandi fyrirtæki.

„Bæði starfsmenn og stjórnendur eru í auknum mæli að leita eftir meiri sveigjanleika og afköstum í starfi, en á sama tíma er notkun á hinum ýmsu skýjalausnum orðin svo útbreidd að erfitt verður með góðu móti að stöðva hana. En það er þá að lágmarki nauðsynlegt að fyrirtæki setji sér stefnu er lýtur að slíkri notkun og að henni sé fylgt eftir,“ segir Þorvaldur.

  1. Fljótlegasta og auðveldasta leiðin til að bregðast við þeim öryggisógnunum sem af þessari þróun stafa er að bæta fræðslu til starfsmanna og auka netöryggisvitund þeirra.
  2. Samtímis getur tölvudeildin unnið að því að ná yfirsýn yfir stöðuna með tilliti til magns og tegundar af ósamþykktum lausnum sem eru í notkun innan fyrirtækisins. Þetta er til dæmis hægt að gera á þann veg að starfsfólk sé hvatt á ákveðnu tímabili til að upplýsa um allar slíkar skýjalausnir sem eru í notkun innan fyrirtækisins og að umræddar upplýsingar verði ekki notaðar til að refsa viðkomandi. Að auki er hægt að nota greiningar- og vöktunarbúnað (SIEM), til að hjálpa við að ná yfirsýn yfir stöðuna sem og til að fylgjast með áframhaldandi þróun.
  3. Þessu næst geta stjórnendur horfst í augu við mögulega þörf á nýjum samþykktum lausnum í starfsemi sinni og þá er upplagt að búa til skrá yfir samþykktan hugbúnað sem leyfilegt er að nota hjá fyrirtækinu. Einnig er mikilvægt að gera starfsmönnum og deildum fyrirtækisins kleift að koma á framfæri þörfum um búnað og lausnir, þannig að tölvudeildin geti fundið lausnir sem teljast nægilega öruggar til að þær séu samþykktar á viðkomandi vinnustað. Líklega mun þetta hafa í för með sér að fyrirtækið þurfi að bæta við lausnum og/eða búnaði en að sama skapi mun þetta gera rekstur á UT-kerfum fyrirtækisins gegnsærri sem gefur tölvudeildinni möguleika á að ná aftur stjórn á stöðunni.
Did you find this useful?