Företag har blivit mer effektiva tack vare molnteknik. Verksamheten är mer skalbar och medarbetarna kan vara produktiva var som helst och på vilken enhet som helst. Men allt eftersom olika affärsenheter stressar sig igenom den digitala transformationen, glömmer de kvar säkerheten. Denna låter de vara kvar i lokalt placerad hårdvara. Detta är inte nödvändigtvis ett bra beslut.

Detta är ett gästinlägg från säkerhetsföretaget Lookout.

Precis som andra delar av organisationen kan även säkerheten dra nytta av molnet. Det går faktiskt hävda att molnet nu är ett krav för en god säkerhet. Detta beror på att data sprids över otaliga applikationer – både på plats och i molnet – och internet tar därför över som det nya företagsnätverket.

För att säkerställa att känsliga data är säkra samtidigt som produktiviteten inte störs, måste du kunna fatta smarta Zero Trust-beslut som tar hänsyn till både den fluktuerande risknivån för användare och enheter, såväl som datakänslighetsnivån. Ett sätt som företag försöker nå detta är genom att leta efter heltäckande plattformar.

Molnet vände ut och in på säkerhetskraven.

Tidigare fokuserade säkerheten ofta på att låsa ner allt – appar, data och användare måste alla hålla sig inom företagets eget område och endast hanterade enheter var tillåtna. Det handlade också om att distribuera olika verktyg som löste ett specifikt problem.

Men när allt flyttas till molnet och användarna arbetar var som helst förlorar du inte bara synlighet och kontroll utan utmaningarna blir dessutom mer komplexa. Detta innebär att det blir ohållbart att ha olika team som arbetar i silon. Speciellt eftersom cybersäkerhet fortsatt har en brist på arbetskraft. Lösningen är att effektivisera verksamheten, inte att utöka den.

Produktiviteten var i fokus när pandemin tvingade alla att arbeta hemifrån. Verksamheterna prioriterade då fjärråtkomstverktyg som virtuella privata nätverk (VPN) med påskruvade säkerhetsverktyg som hävdade att de upprätthåller Zero Trust. Men problemet är att dessa produkter endast utför säkerhetskontroller vid tidpunkten för åtkomst.

Vad händer om ett användarkonto har äventyrats av en nätfiskeattack och börjar ladda ner känslig data? Vad händer om en kritisk sårbarhet i en enhets operativsystem upptäcktes? Utmaningen är att risknivåerna för användare och enheter förändras hela tiden.

För att säkerställa ett effektivt distansarbete samtidigt som du skyddar känsliga data, måste säkerheten vara funktionell och ihopkopplad. Till exempel ger dataförlustförebyggande (DLP) djupa insikter om vilken typ av data du äger, men administreras i allmänhet inte av samma personer som molntjänsterna. Zero trust kräver att alla dina säkerhetsverktyg fungerar tillsammans, för att säkerställa att informationen om åtkomsten är detaljerad och dynamisk. Därför vänder sig företag till molnlevererade lösningar.

Vad du ska leta efter i en molnsäkerhetsplattform

Inom molnlevererad säkerhet finns det två komponenter att hålla utkik efter: Överblick i fråga om risknivå och innehållet. För att säkerställa att en verksamhet på ett säkert sätt realiserar sin fulla potential samtidigt som distansarbete möjliggörs måste de ha en förståelse för några nyckelbegrepp när de väljer molnplattformar:

1. Medvetenhet om risknivåer. Du behöver en kontinuerlig medvetenhet om risknivån för dina enheter och användare, eftersom dessa förändras hela tiden. Genom att ta hänsyn till förändringar kan verksamheter säkerställa att åtkomst ges och tas bort på ett löpande sätt.

2. Medvetenhet om data. Ta hänsyn till känslighetsnivån för den data som någon söker åtkomst till. Riskbaserad åtkomst minskar hot relaterade till användare och enheter. Men för att säkerställa att åtkomstbeslut fattas effektivt bör du också referera till själva data.

3. Granulära åtgärder. Datamedvetenheten måste även omfatta nyanserad policytillämpning för att säkerställa att produktiviteten inte hindras. Beslut om Zero Trust bör inte vara binära. Granulära åtgärder som att begränsa nedladdningar är avgörande för att säkerställa att alla risker minskas och att data alltid är skyddad.

4. Proaktiv kryptering. Dataskyddet måste också sträcka sig utanför din inflytandesfär. Överväg proaktiva krypteringstekniker för att säkerställa att de mest känsliga uppgifterna endast kan nås av auktoriserade användare, även om de skickas runt offline.

Hur kommer du igång med din säkerhets digitala transformation?

Alla funktioner ovan låter säkert bra i teorin. Men att implementera dem är en annan historia. Historiskt sett hade organisationer dedikerade team för olika funktioner: informationssäkerhet, nätverkssäkerhet etc. Några av de vanliga utmaningarna med detta tillvägagångssätt är:

1. Företagssäkerhet saknar ofta en ”vision:” Olika avdelningar rör sig i olika takt inom stora verksamheter, vilket kan göra det svårt att ta fram en kombinerad vision eller färdplan för säkerhetsutbyggnaden. Säljteam och marknadsföringsteam, till exempel, flyttar ofta till molnplattformar mycket tidigare än ekonomi-, HR- eller ingenjörsteam.

2. Säkerheten är reaktiv: IT-team kan bli överbelastade av att stödja äldre lösningar samtidigt som de behöver hantera nya lösningar. För att klara detta behöver man hitta en bra lösning för att kicka igång digitala säkerhetstransformationer.

3. Säkerhet har ett kontroll-först-tänkesätt: Att säkra arbetskraften som arbetar hemifrån och molnteknik kräver ett ”produktivitet-först”-tänkesätt. Säkerhetsfunktionerna idag i organisationer används istället som ”säkerhet först” eller ”kontroll först”. Att säga ”nej” är därmed inte längre ett alternativ för IT-team.

4. Molnapplikationer förändrar mycket för företagen. Det är en brant inlärningskurva under de inledande faserna av det digitala säkerhetstransformationsprojektet. Säkerhetsteamen måste, innan de lär sig om de molnlevererade säkerhetskontrollerna, också lära sig molntjänsterna och applikationerna innan de effektivt kan säkra dem.

Så eftersom data och användare numera finns överallt måste verksamheter sammanfattningsvis ompröva hur säkerheten levereras. Molnprodukter krävs och du måste se till att de har alla telemetri- och policytillämpningsfunktioner som behövs för att effektivt upprätthålla Zero Trust. Kort sagt, det är inte bara var din säkerhet levereras ifrån, utan hur de olika delarna fungerar med varandra.