Första månaden av 2014 har nu passerat och jag har tillbringat tid i en hel del möten om hur framtiden kommer se ut. Vad står vi inför vad det gäller säkerhet.
För den som inte insett det ännu så är säkerheten hos företag idag mer användardriven än tidigare. Användarna har en högre nivå av IT kunnande och den nya generationen lägger allt mer tid på att försöka gå runt säkerheten för att kunna jobba mer på sitt ”eget ” sätt. Det här ställer krav på att vi har mekanismer på plats som kan kompensera. Säkerheten måste flytta utanför datorn, plattan och mobilen. Den måste ligga på ett ställe där den inte kan påverkas av användaren. Jag skulle vilja skapa en ny akronym för detta BYOW, Bring Your Own Workplace. Den här arbetsplatsen är alltid uppkopplad, den flyter mellan olika enheter. Den har ingen fast plats utan kopplas upp från den plats man råkar befinna sig på.
Dagen börjar med att man kollar sin epost, Facebook eller annat socialt nätverk i sängen när man vaknar. Man kliver upp och medan man äter frukost arbetar man på ett dokument på sin dator eller platta. Man sätter sig i bilen åker iväg kommer på någonting som man dikterar in på vägen medan man kör till jobbet. Väl på plats plockar man upp dokumentet och fortsätter jobba med det på en annan enhet. Man ger sig iväg på ett möte. Kopplar upp sig på ett kafé för att jobba med ännu något nytt. Hela tiden när man jobbar har man kontakt med det övriga teamet vi någon form av IM tjänst.
Det blir många olika attackytor att täcka upp. Det är en omöjlighet att täcka dem alla. Frågan att ställa sig är, vad är viktigt? Vad är verksamhetskritiskt? Informationsklassning skulle jag vilja påstå är det viktigaste 2014. Det tillsammans med att backa tillbaka och använda sig av devisen ”Keep IT Simple”. Ja, jag gjorde om den lite. Men ju mer komplext vi gör det desto svårare är det att säkra upp. Låt användarna jobba var de än befinner sig. Det behöver inte vara komplicerat. Ett enkelt sätt är att låta användarna använda VDI. Ett annat sätt är att utnyttja SAML och federering. Det finns enkla och färdig paketerade tjänster redan idag.
Nästa steg för att framtidssäkra er infrastruktur kan vara att snegla på SCADA världen. Flytta ut säkerheten i nätverket. Få bort den från enheterna. Kompensera med nätverksbaserad säkerhet. Jag ser framför mig ett spännande år där it-säkerhet möter informationssäkerhet och skapar helt nya möjligheter för våra användare.
/Patrick Gustavsson, Säkerhetskonsult på Knowit