Intel Security

Möller Insights - vecka 49

Blogginlägg   •   Dec 05, 2013 12:52 CET

Möller Insights publiceras varje vecka och är ett sammandrag av intressanta och tänkvärda händelser i säkerhetsbranschen. Bakom dessa insights står Fredrik Möller som är vd på McAfee i Norden och Baltikum och dessa nyheter är ett axplock ur hans twitterflöde @MollerFredrik.

Veckans sammandrag handlar om en förlegad syn på IT-policy.

Förändrade förutsättningar gör IT-policyn irrelevant
Det senaste decenniet har förutsättningarna för IT förändrats i grunden och därmed även för IT-ansvariga. Tre betydande förändringar är; nya tekniska möjligheter, tillgänglighet till webbaserade applikationer och intåget av generation y på arbetsmarknaden. En missmatch mellan dessa förändringar och det rådande IT-landskapet på arbetsplatser, har gett upphov till något vi kallar Shadow IT.

Kort förklarat så är Shadow IT ett begrepp som innefattar användning av otillåten mjukvara eller hårdvara på arbetsplatsen, som din egen dator, privata program eller liknande.

Trots omfattande förändringar i det tekniska landskapet, har synen på IT och specifikt på IT-policies mer eller mindre stagnerat. Det handlar fortfarande om att begränsa, styra och hämma de anställdas frihet på företagsnätverket.

McAfee presenterade idag en undersökning på just det här ämnet, där 600 IT-anställda och beslutsfattare  har fått svara på frågor angående användningen av otillåtna applikationer på deras arbetsplatser.

Undersökningen visade att 80 procent av det tillfrågade använder applikationer som inte godkänts på arbetet, vanligast förekommande är sociala medier, fildelning och lagring (t.ex. Dropbox). Undersökningen visade även att 35 procent av mjukvaran som används på arbetsplatsen inte är godkänd av IT-avdelningen.

Företagen står inför risken att deras system blir infekterade av skadlig kod eller att viktig data hamnar i fel händer. När en IT-avdelning inte vet vilka program som används och när data flyttas till utomstående enheter, så är det direkt omöjligt att säkra nätverket. Hela 15 procent av de tillfrågade medgav att de upplevt en IT-säkerhetsincident när de använt applikationer som inte godkänts.

Vi vet alltså att det här sker i stor utsträckning och då är frågan hur vi kan hantera det. Här kan man egentligen göra tre saker:

  1. Stoppa huvudet i sanden och hoppas att inget allvarligt händer
  2. Kontrollera och spärra allt
  3. Modernisera och anpassa verksamheten för de nya förutsättningarna

Vi på McAfee förespråkar självfallet punkt tre. Om dina anställda anser att det finns andra verktyg som hjälper dem att utföra sitt arbete på ett mer effektivt sätt, så bör man fundera på hur de verktygen kan inkluderas i den befintliga säkerheten, snarare än att försöka spärra programmen.

Idag har de flesta verksamheter någon form av IT-policy som alla ska skriva under. Denna innefattar ofta ett byråkratiskt och krångligt språk och har en tendens att inte vara specifik utan ger snarare ett övergripande perspektiv på vad man får och inte får göra. Eller i värsta fall så är den så pass lång att ingen ens orkar läsa den.

Jag anser att det idag handlar om att aktivt föra dialog med de anställda och att vara lyhörd. Om en aktiv dialog kan initieras, så blir det även enklare för IT-ansvariga att informera och utbilda de anställda med vilka risker det innebär att använda tjänster som IT-avdelningen inte känner till. Det måste också bli enklare för anställda att veta när de gör fel, eller när de bryter mot verksamhetens regelverk.

Jag vill se fler företag som är lösningsorienterade, som ser ny teknik som en möjlighet, snarare än ett hot. Det går att implementera nya tekniska lösningar på ett tryggt och säkert sätt, det kräver dock att företag är proaktiva och initiativtagande.

Jag rekommenderar varmt att läsa rapporten som McAfee nyligen publicerade om Shadow IT, den hittar ni här.

Fredrik Möller är vd på McAfee i Norden och Baltikum. För mer nyheter följ Fredrik på twitter:@MollerFredrik