Digitaliseringen har gjort det mulig for kriminelle over hele verden å slå til når som helst, hvor som helst og sette både småbedrifter og store konsern ut av spill. Identity Access Management (IAM) kan både sikre virksomheten og trygge vekst og forretningsmål, ifølge sikkerhetsekspert Andreas Rieber.
Som IT-sikkerhetsansvarlig i en virksomhet må man forholde seg til de globale truslene, men IT-sikkerhetsekspert Andreas Rieber i KPMG mener den generelle sikkerhetsdiskusjonen er preget av for mye hype.
Det er for mye “Ulv! Ulv!” og hacker ditt og hacker datt. For meg er IT-sikkerhet noe som bør gripe inn i hele virksomheten og gjennomsyre hele organisasjonen. Ikke minst for å muliggjøre forretning, forretningsområder og oppnå de målene bedriften har satt seg. IT-sikkerhetssjefer blir overøst med generelle advarsler rundt IT-sikkerhet og hva man bør tenke på. Det er et stort område og komplekst å forholde seg til. Det er smartere å konsentrere seg om det som er relevant for egen virksomhet, sier Rieber.
Han er ingen novise innen IT- og cybersikkerhet. Han har over 20 års erfaring med området og startet karrieren i Nasjonal sikkerhetsmyndighet (NSM). Deretter jobbet han ti år som CISO (Chief Information Security Officer) i Nets Group og CSO (Chief Security Officer) i MasterCard Payment Services. I dag arbeider han i KPMG som Executive Director, Cyber & Security. Security i Columbus, tidligere ICY Security, har et langvarig kundeforhold med Rieber i hans tidligere bedrifter.
I stedet for å kun tenke globalt, overordnet og allmenngyldig om trusselbildet, anbefaler Rieber at bedriften tenker individuelt, lokalt og på hva som er særegent for egen virksomhet.
– En del sikkerhetsfolk kan for lite om det selskapet jobber i og med. Da er det ikke sikkert de bruker tiden og ressursene på de mest relevante utfordringene og sikkerhetsløsningene, advarer Rieber.
Fire sentrale sikkerhetsspørsmål
Han trekker frem noen viktige spørsmål sikkerhetssjefer bør besvare:
- Hva er unikt for sektoren og markedet hvor bedriften er aktør?
- Hva koster nedetid?
- Hva er den viktigste IP-en (intellectual property)?
- Hvilken informasjon og hvilke data må ikke komme på avveie?
Rieber anbefaler at bedriften utarbeider en helhetlig og skreddersydd sikkerhetsstrategi og sikkerhetsplan basert på virksomhetens unike behov og egenart.
I sikkerhetsstrategien bør det vurderes hvilke utenforliggende forhold som påvirker selskapet. Det kan være konkurrenter, krig/konflikter, innovasjon, sårbarheter i ny teknologi. Det må tas hensyn til virksomhetens særegenheter: Det inkluderer partnere, verdikjede, kultur og reguleringer, sier Rieber, og legger til:
Og så bør det gjøres vurderinger på hvor utsatt bedriften er i forhold til faktiske trusler, samt hvilke lover og regler man er underlagt, hvor sikre bedriftens systemer og teknologi er og hvilke sikkerhetshendelser bedriften har hatt tidligere.
Sikkerhetseksperten understreker at sikkerhetsstrategien ikke må legges i en skuff, men danne fundamentet for en sikkerhetskultur som gjennomsyrer virksomheten. Strategien bør ivareta hvordan virksomheten
- beskytter seg
- oppdager trusler og innbrudd
- responderer på hendelser
- gjenoppretter informasjon, data og systemer
IAM er fundamentet for IT-sikkerhet
Fundamentet for IT-sikkerhet er å kontrollere og administrere identiteter og tilganger, på engelsk kalles det Identity Access Management – IAM.
Alle bedrifter må ha kontroll på identitet og tilganger fra brukerne blir opprettet og til de ikke lenger er en del av virksomheten, altså gjennom hele livssyklusen, sier Andreas Rieber.
Mange er kjent med pålogging gjennom tilgangsstyringssystemene AD (Active Directory) og LDAP (Lightweight Directory Access Protocol). AD er Microsofts katalogtjeneste for håndtering av brukere, brukerrettigheter og ressurskontroll, mens det er vanlig å bruke LDAP som en felles påloggingsløsning som gir tilgang på en rekke tjenester. Rieber mener at virksomheter av en viss størrelse trenger mer enn AD/LDAP for å sikre god IAM.
I tillegg til AD og LDAP er det behov for solide prosesser og gode verktøy. Det er viktig å ha full kontroll over identiteten siden denne også styrer hvilken tilgang brukeren skal ha til informasjon og systemer. Det er når uvedkommende misbruker tilgangene til en brukeridentitet, at for eksempel filer og systemer kan låses med ransomware, sier Rieber.
IAM øker produktiviteten
Sikkerhetseksperten understreker at IAM, prosessene for å kontrollere identiteten og styre tilganger, ikke må bli så tungvinte at det lages snarveier, skygge-IT og så videre. Rieber poengterer at god IAM både øker sikkerhetsnivået og i tillegg er en «business enabler», som gjør det enklere å samarbeide, understøtter vekst, gjøre oppkjøp, selge ut deler av virksomheten og så videre. Han forklarer:
God IAM gjør at for eksempel nyansatte raskt og sikkert får tilgang til de systemene og løsningene de trenger for å få gjort jobben sin. Det gjelder også partnere og innleide. IAM kan sikre at de bare får tilgang til tjenestene og informasjonen de trenger i et begrenset tidsrom. Riktige IAM-prosesser gjør virksomheten både mer produktiv og ivaretar IT-sikkerheten.
Rieber understreker at gode IAM-løsninger ikke minst er viktig under selskapsoppkjøp og fusjonsprosesser eller ved utskilling av deler av virksomheten (carve-out). IAM sikrer at nyansatte raskt får tilgang til sentrale forretningssystemer, tjenester og samhandlingsløsninger, mens ansatte som ikke lenger er en del av selskapet, mister sine tilganger.
IT-krim er verdens tredje største økonomi
Ifølge World Economic Forum er cyberkriminalitet verdens tredje største økonomi og omsetter for 5,2 billioner dollar årlig. Det tilsvarer om lag 52.000 milliarder kroner. Bare USA og Kina har større økonomi. Japans økonomi, nummer fire på denne listen, er verdt 4,4 billioner dollar. Cyberkriminalitet lønner seg med andre ord, samtidig som risikoen er liten for de kriminelle. Det er vanskelig å etterforske og straffe de kriminelle hackerne, blant annet fordi kriminaliteten er fragmentert. Det er ofte mange ulike aktører involvert i et cyberangrep og de sitter langt unna bedriftene de rammer.
Den digitale globaliseringen de siste tiårene har ved første øyekast medført mange fellesnevnere på tvers av sikkerhetsdomenet. Trusselaktører opererer globalt og kan ramme virksomheter hvor som helst. Zero day-sårbarheter spres som ild i tørt gress over hele kloden. Programvare og oppskrifter for inntrenging deles i globale nettforum sammen med påloggingsinformasjon, og så videre. I tillegg fører kriger og politiske konflikter til cybertrusler fra land som vil ramme fienden.
Skal virksomheten lykkes med en IT-strategi som gjennomsyrer hele organisasjonen, må IT-sikkerhetssjefen gå foran med et godt eksempel. Det er også viktig å av og til ta hensyn til individuelle forskjeller. Prøver du å tvinge alle inn i samme mal med tungvinte løsninger, ender det ofte opp med at folk finner snarveier og slik kan utsette virksomheten for en uakseptabel sikkerhetsrisiko, understreker Rieber.