IT-säkerhet och mobilitet

Share this post:

Gästbloggare: Björn Nilsson

Det har gått några veckors tid sedan jag deltog i Nordic IT Security 2012 på Operaterassen i Stockholm. Ett årligt återkommande event med ett antal intressanta presentationer som belyser information och IT-säkerhet utifrån olika perspektiv. Dessa hålls dels av aktörer som levererar olika typer av lösningar men även av personer från verksamheter och organisationer som har löst eller hanterat olika säkerhetsrelaterade säkerhetsaspekter. Eventet tillhandahåller även programpunkter speciellt utformade för nätverkande, där man får möjlighet att utbyta erfarenheter och synpunkter med likasinnade människor som har olika typer av ansvarsområdet, alla mer eller mindre knutna till informationssäkerhetsområdet.

Ett rådande paradigmskifte

Förutom att delta i det allmänna programmet var jag även ombedd att leda ett runda bord-samtal. Mycket under dagen kom att fokuseras kring mobilitet och de speciella aspekter som detta medför från ett säkerhetsperspektiv. Speciellt belystes orsaker och risker med ett paradigmskifte runt enheterna som används. Detta innebär att man inte enbart har bärbara Windows-baserade datorer att ta hänsyn till längre. Nu finns det flera olika enheter, baserade på olika operativsystem, som ständigt är uppkopplade som t.ex. smarta mobiltelefoner och surfplattor. Men snart kommer även andra enheter att sälla sig till dessa som t.ex TV-apparater, Anderoid-baserade kameror etc. Det kommer uppstå ett scenario där samma konto används för samtliga enheter vilket kan innebära att information sprids till dessa enheter via moln-tjänster som t.ex. Drop-Box, Evernote etc. Det kommer bli ett faktum att dessa enheter effektiviserar människors arbete och de kommer märka att de kan hantera ”work/life” balansen bättre.

Bring Your Own Device

Samtidigt ser inte företagen samma vinster eftersom det mestadels (än så länge) handlar om att hantera och konsumera ”personlig” information. Initiativrika som vi människor är så har det uppstått en ny flora av enheter då användarna tagit med sig sina egna enheter (BYOD, Bring Your Own Device) och använt dessa för att uppnå nämnda effektivitetsvinster.

En av frågorna som debatterades livligt under dagen var om detta skulle tillåtas från ett företagsperspektiv. Och det kan man ju fråga sig, men mer intressant är om man kan förhindra det på lite längre sikt? Människan har en otrolig förmåga att ”runda”, i sina egna tycken, onödiga hinder. Min uppfattning är att detta måste hanteras och att lämpliga åtgärder etableras baserade på företagets risker och policys.

Ett säkrare användande av mobila enheter

Den allmänna trenden är att de flesta har börjat leta tekniska lösningar för att säkra enheterna. Men då uppstår frågan: säkra enheterna för vad? Och för att komma fram till detta är det samma gamla säkerhetsmetoder som gäller: man måste identifiera vilken funktion och/eller information som skall hanteras av enheterna, hur mycket information, samt värdet av informationen (vad konsekvenserna skulle bli om den tappas bort eller stjäls). När denna kartläggning är gjord är det lättare att göra riskanalyser baserade på nya mobila scenarion. Därefter kan man fastställa vilka policys som skall gälla för mobila enheter: vilken typ av funktion och information som får förvaras i (eller hanteras från) enheten, vilka tekniska säkerhetsmekanismer som skall finnas, samt, inte minst när det gäller mobila enheter, användares beteende, vilket i sin tur är en konsekvens av säkerhetsinsikter och -kunskap.

Till sist

Min slutsats är att informations- och IT-säkerhet relaterat till mobilitet måste, och skall, hanteras med samma metod som all annan säkerhet. Värdera informationen, analysera hot/risker och hantera dessa genom att etablera skyddsmekanismer i och omkring enheterna. Sist men inte minst: i denna arena är individens beteende en av de största riskerna och samtidigt en av de viktigaste skyddsmekanismerna. Lär användarna om riskerna, skapa insikt och utbilda i konsekvenser för ett säkert beteende hos användarna.

Tack för ordet och lev lyckligt och (tillräckligt) säkert med era ”befriande” mobila IT-enheter. Jag skulle inte klara mig utan mina mobila enheter.

Björn Nilsson, Senior IT Architect

Här kan du läsa mer om vår syn på it-säkerhet:

http://www.ibm.com/se/sv/security 

http://www.ibm.com/services/us/iss/xforce/

http://www.ibm.com/services/us/en/it-services/security-services.html?cm_re=masthead-_-itservices-_-security 

Här kan du läsa mer om våra lösningar inom Smartare Analys:

http://www.ibm.com/smarterplanet/se/sv/business_analytics/overview/index.html?re=CS1