Det er vigtigt for IT-sikkerheden at du adskiller privatlivet fra dit arbejdsliv.

For nogen er det helt naturligt, men for andre flyder tingene sammen. Du har måske fået stillet pc og mobiltelefon til rådighed af din arbejdsgiver, du er måske ejerleder og har vænnet dig til at bruge din arbejdsmail til “det hele”.

Sammenblanding af privatliv og arbejdsliv udgør en stor sikkerhedsrisiko og du bør forsøge at adskille dette så skarpt som muligt.

Jeg vil her give nogle råd og tips til dette.

Din arbejdsmail er til arbejde.

Du bør ikke anvende din arbejdsmail til andet end arbejde.

Meld dig ikke til private nyhedsmails og tjenester med din arbejdskonto.

Brug din private e-mail på sociale medier såsom Facebook, LinkedIn og Instagram. Firmakonti på de sociale medier er forbeholdt marketing funktionen.

Alle sociale medier og andre tjenester skal være beskyttet af 2-faktor.

Opret en sikker privat e-mail. Typisk via Outlook.com eller Googles gmail.

Overvej evt. at have 2 private e-mails. En til nyhedsmails og webhandel og en anden til private e-mails med familie og venner samt seriøse abonnementer.

Brug ALDRIG din adgangskode fra arbejdet andre steder. Brug i det hele taget aldrig samme password på forskellige tjenester!

NEJ, brug en professionel Password Manager - vi forhandler og anbefaler Nordpass. Her kan du have en særskilt konto for arbejde og privat i samme app og den er nem at bruge. Det bliver en leg at være sikker - med unikke passwords på 24+ karakterer. Det bedste ville være om din arbejdsgiver gav dig adgang til password-manageren med et firmaabonnement.

Anvender du din arbejds-pc privat, så overvej at oprette en ekstra konto. Så kan du nemt skifte mellem arbejde og privat - uden at gå på kompromis med IT-sikkerheden.

Ja, men 2-3 timers arbejde gør meget, og jeg lover dig, at er du først færdig føler du dig mere sikker og har fået nye gode vaner.

Er du usikker og ønsker at øge IT-sikkerheden fx med en professionel Password Manager. Så ræk ud, vi sidder klar til at hjælpe dig til at blive mere sikker.

Det lyder så uvenligt, men det er i kort form hovedbudskabet i en Zero Trust modellen som anbefales af de førende eksperter.

Men hvad betyder det i praksis, og hvordan implementerer man denne strategi?

Den gamle strategi var trust-but-verify, hvor vi i udgangspunktet stolede på en bruger, hvis de havde adgang. Det tør vi ikke basere vores sikkerhed på længere.

Zero Trust bygger på 3 principper:

1. Assume breach

2. Verify explicitly

3. Least privilege access

Lad os se lidt nærmere på principperne.

Asume breach

Dette er på mange måder et mindset. I stedet for at antage vi i udgangspunktet ikke er i fare, antager vi med assume breach at vores netværk, servere og applikationer er sårbare og at vi højst sandsynlig allerede er under angreb.

Dette er en vigtig forudsætning, som bringer os ud af vores comfortzone og tvinger os til at tænke proaktivt.

Verify explicitly

Dette princip betyder at vi skal verificere brugernes adgang ud fra alle tilgængelige parametre og datapunkter fx enhed, lokation, enhedsstatus, data som der ønskes adgang til og sågar brugerens adfærd. Denne verificering skal ske løbende.

Least privilege access

Dette princip betyder at vi skal sikre at brugere kun har de nødvendige rettigheder, men ikke nok med det, vi skal også sikre at de kun har dem når det er krævet. Her taler vi om Just-In-Time and Just-Enough Access (JIT/JEA).

Jo mere omfattende rettigheder vi taler om, jo vigtigere er det.

Men Zero Trust principperne gælder for alle entiteter - det vi også kalder sikkerhed i dybden.

• Brugerkonti, 2-faktor, rettigheder

• Enheder, overvågning, antimalware, opdatering

• Applikationer, kun godkendte, roller, opdaterede

• Data, klassificerede og krypterede samt logning af adgang

• Infrastruktur, konfiguration og adgang, samt overvågning

• Netværk, patches, segmenteres og overvåges

Så som du kan se, er det nødvendigt ikke at stole på nogen. Zero Trust er en god model/tjekliste når du arbejder med den tekniske IT-sikkerhed.

Vi bruger Zero Trust modellen i vores arbejde med IT-sikkerhed. Skal vi hjælpe din virksomhed?

Mange tror fejlagtigt at bare deres data og systemer ligger i skyen, så er IT-sikkerhed en andens ansvar. Men her tager de grueligt fejl.

Kender du ”shared responsibility” modellen?

Modellen beskriver I sin enkelthed ansvarsfordelingen mellem en cloud-udbyder og kunden på de forskellige services. Se figur 1.

Bemærk at kunden ALTID har ansvaret for følgende:

• Informationer og data (dvs. også backup)

• Enheder – dvs. sikkerhed på de fysiske enheder der anvendes inkl. antimalware

• Konti og identiteter, herunder brugere og deres rettigheder

Kører man systemer on-premise giver det sig selv at man påtager sig et langt større ansvar for IT-sikkerhed end hvis man anvender hosting eller cloud. Men det er dog vigtigt at mærke sig at de allervigtigste ting han man stadig selv ansvaret for.

Lad os lige tage de enkelte punkter:

Informationer og data

Cloud-udbyderen tilbyder en service fx ERP, CRM, projektstyring, kontorplatform. Men DU har ansvaret for de data og informationer du importerer eller opretter i systemet.

Det gælder både

• når én af dine brugere ved en fejl sletter data.

• hvis du bliver udsat for et ransomware angreb

• når leverandøren ved en fejl kommer til at slette dine data eller bliver lagt ned i en længere periode

Her skal du naturligvis tænke på backup. Gerne en backup der er helt uafhængig af din udbyder og hostingpartner, da det jo i værste fald er dem der er eller har problemet.

Tænk også i muligheden for at lave delvis genetablering (restore), typisk vil det kun være en del af dine data du mister. Oftest tilbyder cloud-tjenester at gå tilbage til et snapshot. Men den pris kan være for høj, for dermed mister du alle de ændringer der er foretaget siden dit genindlæsningspunkt.

Enheder

Naturligvis har du selv ansvaret for dine pc’er og mobile enheder. Så her er det afgørende med en god antimalware løsning. Det er ikke her du skal spare.

Men tænk også på dine mobile enheder.

Konti og identiteter

Dine medarbejdere og brugerkonti har du ansvaret for. Herunder også de brugere med administrative rettigheder.

• Hvor mange brugere har alt for mange rettigheder på dine løsninger?

• Hvad med dine samarbejdspartnere og konsulenter?

• Hvad med 2-faktor login og kvaliteten af dine brugeres passwords?

Der er mange IT-sikkerhedsrelaterede udfordringer her.

IT-sikkerhed handler om at minimere risikoen for at blive udsat for brud på fortrolighed, integritet af data og tilgængelighed.

Og du har selv det største ansvar!