Innofactor Blogg

Fackförbundens största säkerhetsrisk är passivitet

Written by Jan Nordström | 25.1.2022

De flesta är nog överens om att IT i molnet är framtiden. Fördelarna är stora i form av kostnadseffektivitet, produktivitetsvinster, mobilitet och innovation. Men det finns många hinder på molnresan för förbund och medlemsorganisationer. I den här artikeln tar vi upp fakta som förhoppningsvis kan bidra till enklare och bättre beslut.

Kraven på digitalisering ökar vilket gör att organisationer förr eller senare kommer att behöva gå till molnet. Å andra sidan finns det farhågor kring säkerhet och lagar som gör att molnet upplevs som osäkert med en rad okända risker.

Konsekvensen blir ofta att ledningen fastnar i en beslutsfälla med inaktivitet och icke-beslut. Alla tittar på vad andra gör och ingen vågar agera.

Molnbesluten handlar i mångt och mycket om riskhantering. Du behöver fakta om både möjligheter och risker, med såväl nuvarande som framtida lösning.

 

Digitaliseringstakten ökar

Digitaliseringstakten har ökat de senaste åren. Drivet av Covid-pandemin har de flesta tagit steget mot mobila arbetsplatser med Microsoft Teams och Office 365. Vi ser nu många hybridlösningar där medarbetarna arbetar både från kontor och på distans.

Många förbund accelererar också initiativen för att möta sina medlemmar digitalt. Till exempel genom att fortsätta att utveckla webbtjänster och personifiera sin kommunikation. Covid-19 har också drivit fram en ökad effektivisering genom olika IT-lösningar. Idag är det många som lyckas göra mer än innan, med samma personal.

 

Oro för risker bromsar

Likväl finns det ett antal hinder för den digitala förflyttningen till molnet, vad gäller affärssystem, och det är inte konstigt. Molnet innebär att bedriva IT på ett nytt sätt, det ställer nya krav på säkerhet och du behöver kompetens som ni kanske inte har internt.

Framför allt finns det en rädsla för risker som håller tillbaka.

Många digitaliseringsprojekt bromsas på grund av oro för lagar som Cloud Act och GDPR . Vissa förbund har valt att tolka Cloud Act positivt och bedömer sannolikheten att någon utanför Sverige skulle begära ut information som extremt liten. Andra avvaktar.

Oro för säkerheten är en annan aspekt som ligger som en blöt filt över besluten.

 

Oron för osäkerhet i molnet är obefogad

Många tror att en on-prem-lösning är säkrare än molnet vilket inte är sant. Ofta är faktiskt nuläget MER osäkert än om organisationen skulle vara i molnet.

En anledning är att molnplattformarna har ett annat synsätt på säkerhet än de traditionella säkerhetsmodellerna. Filosofin, som går under namnet Zero Trust, är mycket striktare, mer omfattande och därmed i grunden säkrare.

Istället för att förlita dig på att företagets nätverk skyddas av ett skalskydd (som i en traditionell säkerhetsmodell) så litar du inte på någon. Det är en säkerhetsmodell som är anpassad till dagens komplexa miljö, med stöd för hybridarbetsplatser, och som skyddar användare, enheter, appar och data oavsett var de befinner sig.

 

Säkerhetsrisker i on-prem-lösningar som inte underhålls

Otillräckligt underhåll är ett annat skäl till att on-prem-lösningar ofta är mer osäkra än molnlösningar. Många on-prem-lösningar underhålls nämligen inte, enligt vår erfarenhet, i den grad som skulle behövas för att trygga fullgod säkerhet.

Till exempel fick en kund nyligen en krasch på grund av att de inte gjort uppdateringar. De kunde återställa data men eftersom den var flera veckor gammal blev konsekvenserna administrativt strul, kundtapp och intäktsbortfall.

Andra exempel är organisationer som upptäckt att de har produkter som inte längre supportas av Microsoft eller som blivit utsatta för attacker som bitcoin-mining och identitetskapning.

 

Svårt att matcha säkerhetsutbudet i molnet

Det kan vara svårt att själv trygga säkerheten i en on-prem-lösning idag när vi arbetar i en hybridmodell. Det skulle krävas en enorm stab av interna säkerhetsexperter för att matcha det utbud av säkerhetslösningar som finns för molnet och de miljardsatsningar som görs på utveckling av molnsäkerhet.

När du utvärderar molnet mot en on-prem-lösning är det således viktigt att komma ihåg att det inte är säkert att ni är säkra idag. Det är till och med troligt att du skulle kunna stänga eventuella säkerhetsrisker ni har idag i en molnlösning.

 

Så här kommer du ur beslutsdilemmat

För att komma ur beslutsloopen och kunna ta faktabaserade beslut rekommenderar vi följande tre steg:

 

1. Läs på om Zero Trust

Lär dig om skillnader mellan säkerhet i molnet jämfört med traditionella säkerhetsmodeller. Läs mer här. 

2. Ta reda på nuvarande och framtida säkerhetsrisker

Ta kontroll över säkerheten nu och framåt genom att reda ut olika frågor och inhämta fakta.

  • Vilka risker finns i er befintliga lösning, vilka kan ni leva med och vilka behöver ni fixa för att undvika säkerhetsluckor?
  • Gör en riskbedömning som väger in risker med molnet OCH med att INTE gå till molnet.
  • Red ut era specifika krav och behov för vägen framåt inkluderat era säkerhetsbehov.

3. Formulera en policy för säkerhet

Ta fram en säkerhetspolicy som stänger nuvarande gap och minimerar risker med hjälp av moderna principer för säkerhet i molnet.

Ta kontroll över IT

Sammanfattningsvis kan vi konkludera att ledningen, för att komma vidare i beslutsfrågan om molnet, behöver ta kontroll över IT och sin digitalisering. Egentligen är beslutet inte huruvida man ska gå till molnet eller inte utan snarare i vilken takt och omfattning det ska ske.

Ett bra tillvägagångssätt är att börja med säkerheten och sedan ta det i små steg. Genom att medvetet bestämma sig för att gå till molnet måste ni beakta det nya och uppgradera organisationens kunskap. Då får ni kontroll över säkerheten och kan växa in i det nya undan för undan.

 

Kartlägg nuläget för er säkerhet

En bra start för att kunna fatta faktamässiga beslut är att förstå nuläget för organisationens säkerhet.

Om du vill ha hjälp med detta så erbjuder vi en tjänst där vi gör en genomlysning av er konfigurering av Microsoft 365 och Azure AD.

Vi identifierar säkerhetsluckor och du får rekommendationer på åtgärder för att täppa till omedelbara säkerhetsrisker. Du får också rekommendationer för mer långsiktiga åtgärder för hållbar säkerhet.

Läs mer om Innofactor Microsoft 365 Security Assesment här