Visste du at identitetstyveri er det som oftest fører til databrudd? Før snakket man om nettverksbrudd som årsak til at angripere fikk tilgang til våre datasystemer. Trusselbildet har endret seg i takt med digitaliseringen, og vi trenger derfor en smart, oppdatert strategi for cybersikkerhet.
Vi må sikre brukerproduktiviteten og bedriftens data på nye måter. Angripere blir stadig flinkere og utvikler seg raskt, vi må derfor heve kompetansen i takt med disse.
Svake passord er i de aller fleste tilfeller årsaken til databrudd. Identitet kan derfor anses som førstelinjen av forpliktelse mellom hackere og sikkerhet. Det er her betinget tilgang blir viktig, nettopp fordi det er bygget på den identitetsdrevne sikkerheten. Vi kan nesten forvente at våre brukernavn og passord på et eller annet tidspunkt kommer på avveie. I en skydrevet verden kan brukere få tilgang til bedriftens ressurser ved hjelp av en rekke enheter og programmer hvor som helst. Som et resultat av dette er det ikke nok å bare fokusere på hvem som kan få tilgang til en ressurs. Vi må derfor mestre balansen mellom sikkerhet og produktivitet og sette fokus på hvordan bedriftens kilder blir benyttet.
Så hva er det egentlig?
De aller fleste av oss er godt kjent med to-faktorautentisering – pålogging som krever at du identifiserer deg med to faktorer – passord er første faktor, mens den andre faktoren enten er en sms eller verifisering via en app. Med betinget tilgang blir denne prosessen en hel del enklere. Enkelt forklart er betinget tilgang en funksjon som gjør at bedriften kan sette visse betingelser for tilgangen til dokumenter og filer, systemer, apper og enheter. Det settes regler som sier at når dette skjer -> gjør så dette. Når dette skjer definerer selve årsaken til at du utløser en tilgangskontroll basert på bedriftens retningslinjer. Gjør så dette er en handling man bestemmer basert på retningslinjene som er satt.
Med en betinget tilgangspolicy styrer du hvordan autoriserte brukere får tilgang til bedriftens apper og systemer under bestemte forhold.
Eksempler på betingelser
For å sikre at det som er lagret på bedriftens enheter er lagret forsvarlig kan man sette følgende betingelser:
- Enheten skal være kryptert
- Enheten skal ha antivirus
- Enheten skal være oppdatert
Andre betingelser gjelder tilgang til bedriftens data. Dersom du sitter på kontornettverket trenger du ikke verifisere deg med to-faktorautentisering. Dette fordi enheten oppfyller kravene som er satt av bedriften. Men, dersom du sitter på hjemmenettverket eller på et annet offentlig nettverk, må innlogging verifiseres med en andre faktor. Dette hindrer dermed at uvedkommende får mulighet til å logge inn dersom de har fått tak i ditt brukernavn og passord.
Her er det også verdt å nevne at det bør være gitte betingelser for lagring av dokumenter lokalt. Dersom du da skulle være uheldig å miste eller bli frastjålet din enhet, vil ikke en annen person få mulighet til å få tilgang til bedriftens systemer, da dette er lagret trygt i skyen. Betingelser for lagring er derfor svært viktig. Det gjør at vi enklere kan opprettholde kontroll av dokumenter, samt at kravene for GDPR blir overholdt.
Oppsummering
Med innebygget integrasjon med SharePoint Online, OneDrive for Business og Microsoft Cloud App Security kan du nå begrense tilgang ved å kontrollere hvilke data som kan nås av hvem og på hvilken enhet.
Microsoft Enterprise Mobility + Security gjør det mulig med enkel og effektiv administrasjon, og moderne sikring av både data og enheter selv om man jobber i skyen. Mange vil hevde at denne typen sikkerhet er tryggere enn tradisjonelle løsninger. Med EMS kan man sørge for at alle brukere har sikker tilgang til Office 365. Med dette mener man at det settes systemkrav som krever at brukerens enhet innrulleres og bedriften får kontroll over enheten, samt at bedriftens policyer blir opprettholdt. På denne måten elimineres muligheten for datatap, som for eksempel når noen glemmer at enheten må være kryptert, oppdatert og passordbeskyttet. Et viktig poeng er også at bedriftens data slettes på alle enheter en ansatt har benyttet dersom den ansatte slutter i bedriften.
