Tenk deg at du kan gå til forsikringsselskapet ditt, og si at du gjerne vil utvide forsikringen. Du har allerede forsikret kontorbygget, de ansatte har helseforsikring og andre nødvendige forsikringer, men du mangler forsikring for dataene dine. Du sier til forsikringsselskapet at du gjerne vil forsikre 20 000 Word-dokumenter, 2000 Excel-regneark, og så vil du gjerne forsikre dine 12 ansattes brukerdata og brukeridentitet, og kast gjerne inn en forsikring som tar hensyn til skader ved ondsinnet programvare.
Du vet helt sikkert svaret.
Ingen forsikringsselskap vil ta i en slik forsikring med ildtang. Heldigvis finnes det smarte, sikre løsninger som kan gi deg den tryggheten du trenger for både dataene og brukerne dine. Microsofts Enterprise Mobility + Security, også kalt EMS, er sikkerhetsforsikringen du ikke får kjøpt av noe forsikringsselskap.
Tidligere hadde man innenfor IT-sikkerhet en veldig tydelig måte å tenke trusler på. Det har vært de mot oss. En har bygget lag på lag med sikkerhet rundt interne ressurser, der alt som er innenfor sikkerhetssonen skal beskyttes mot utsiden. Den klassiske brannmuren har vært en bauta innenfor datasikkerhet.
Dette har gradvis endret seg, ikke minst fordi de ansatte, som jo befinner seg på innsiden, utgjør et sårbart punkt. Trusselbildet har blitt så komplekst at en trenger mange ulike løsninger for å oppnå god nok sikkerhet.
De ansatte har ikke blitt slepphendte sånn helt uten videre. Alle IT-ansvarlige er kjent med den klassiske, og fortsatt aktuelle utfordringen, om at god sikkerhet fort kan gi dårlig brukervennlighet. Da kan også brukerne bli utålmodige, for eksempel etter å ha skrevet inn passordet sitt flere ganger på ulike steder i løpet av arbeidsdagen, og gjøre ting som ikke er bra for datasikkerheten.
I en av landets større IT-avdelinger sendte for eksempel IT-ansvarlig ut en e-post til de ansatte der han ba dem klikke på den vedlagte lenken. Anledningen var angivelig at de ansatte skulle legge inn størrelsen på klesplagget de skulle få som julegave fra firmaet. De ansatte klikket, registrerte seg med brukernavnet og passordet de vanligvis bruker - før de fikk en kvitteringsmelding med «Takk, nå har jeg tilgang til alle dataene dine».
Så enkelt kan det gjøres.
Brukerne er så vant med å legge igjen brukernavn og passord i alle mulige sammenhenger, at de ikke lenger tenker over det. Når sikkerhetsrisikoen i like stor grad ligger innenfor som utenfor bedriftens eller organisasjonens vegger, kan en ikke lenger tenke oss mot dem.
At ansatte er en utfordring for sikkerheten, betyr naturligvis ikke at de ansatte er dumme. Det er tvert imot de gamle systemene som er «dumme», og som tilrettelegger for ubetenksom oppførsel.
Med Microsofts Enterprise Mobility + Security, også kalt EMS, kan både sikkerhetsansvarlige og ansatte senke skuldrene, og de slipper å miste nattesøvnen over rapporter som viser at så mange som 60 prosent av alle organisasjoner og bedrifter opplevde løsepengevirus-angrep i 2016. Antallet angrep fra såkalt «ransomware» ble dessuten doblet fra 2017 til 2018.
Så hva er det EMS fra Microsoft gjør så mye smartere enn tidligere sikkerhetsløsninger?
Med EMS får brukerne dine beskyttelse mot uautorisert innlogging, de får såkalt multifaktor-autentisering, anti-spam, og også malware-beskyttelse. Brukerdataene og dokumentene til brukerne krypteres, for eksempel etter helt spesifikke kriterier, og dermed behøver du for eksempel ikke lenger brannmur rundt filserveren.
Sensitive dokumenter kan i utgangspunktet lagres hvor som helst av de ansatte. Uten beskyttelse kan hvem som helst lese slike dokumenter. Med en EMS-lisens kan en simpelthen høyreklikke på dokumentet, si at det er bedriftssensitivt, og så er dokumentet beskyttet. En kan naturligvis bestemme hvem som har tilgang til hvilke dokumenter, for eksempel en hel avdeling, mens alle utenfor sikkerhetssonen ikke vil kunne få tak i innholdet i dokumentene.
Bruker du for eksempel bestemte internmaler for Word, PowerPoint og andre programmer, kan EMS justere sikkerheten på dokumentene ut fra disse malene. Er malene merket med «konfidiensielt»? Lag regler i EMS som scanner filserveren, før det krypterer alle dokumenter der malen inneholder ordet «konfidensielt».
Det finnes to versjoner av EMS, og begge eksisterer innenfor sky-universet Azure. Den eldste versjonen heter E3, mens den nyeste kalles E5. I hovedsak er forskjellen på de to hvor mye du som administrator kan automatisere av regler og sikkhetsnivåer, i tillegg til at E5 er litt dyrere enn E3.
Både E3 og E5 beskytter med andre ord både enheter og brukere, men der en med E3 må gjøre endel av sikringsarbeidet manuelt, er det med E5 er det nesten ikke grenser for hva som kan gjøres automatisk.
En kan justere sikkerhetsnivået ut fra hvilket trusselbilde en mener brukerne har, og IT-ansvarlig kan gjøre alle enhetene de ansatte bruker til sikre enheter. Logger en bruker seg på et helt annet sted enn vedkommende pleier, eller det oppdages andre bruksmønster enn det som er vanlig for denne brukeren, kan det settes i gang tiltak, som at brukeren må bekrefte at det faktisk er han eller hun som logger seg på.
EMS lærer av brukernes atferd, inkludert «feil» de måtte gjøre.
Dette er «CAS»
Utgangspunktet for EMS E3 og E5 er at de skal gi den beste sikkerheten en kan få, uten at en plager de ansatte, slik at de blir mindre produktive og mindre bevisste. En kan skru til sikkerheten på et nivå som er utrolig sikkert, med komplekse algoritmer i bunn, og en kan kryptere innhold og beskytte viktige data, uten at brukeres plages av systemet.
En av de største fordelene med E5 er de tre bokstavene «CAS». Med «Cloud App Security» sitter en med et særdeles kraftig og omfattende verktøy. CAS kan, som vi allerede har vært innom, scanne alle fellesområder, og i løpet av få timer beskytte dokumentene etter regler administratoren selv bestemmer.
Brukeren merker ikke noe av dette, og kan bruke dokumentene som før - selv om de er kryptert. I tillegg kan CAS overvåke andre skyaktiviter, og for eksempel slå alarm hvis en bruker plutselig begynner å laste ned alle jobbfilene sine til en ekstern skytjeneste som Dropbox eller OneDrive. Skal vedkommende slutte? Eller er han eller hun bare uforsiktig?
Og blir eieren av et kryptert dokument syk eller drar på ferie, er EMS likevel fleksibelt. En såkalt «master key» gjør at administrator kan åpne dokumentet, slik at andre personer i bedriften kan fortsette å arbeide med dokumentet – uten at eieren behøver kalles hjem fra ferie, eller tvinges til å møte opp på kontoret med en blytung influensa.
FAKTABOKS - AZURE: • Microsoft Azure er navnet på en rekke ulike skytjenester som hjelper bedrifter og organisasjoner med å nå forretningsmålene sine. |