Sikkerhet i en verden av hybridarbeid:
Er organisasjonen din forberedt på nye risikoer?

Frem til 2020, da ansatte hovedsakelig jobbet fra kontorer, var det enklere for IT-ansvarlige å løse problemer, og prosessen var faktisk ofte avhengig av de måtte være tilstede. Hvis ansatte jobbet utenfor kontoret, ga infrastrukturen de ansatte tilgang til interne systemer via et VPN-nettverk, og dette var vanligvis raskt og sikkert. Da pandemien kom, ble arbeidsvaner fullstendig endret, og dermed ble også IT-landskapet endret. Avdelinger måtte plutselig tilpasse seg en rekke nye uforutsette sikkerhetsutfordringer.

Fra et praktisk ståsted ble tilstrekkelig tilgang plutselig en stor utfordring. Selv om hybrid- og eksternarbeid ikke er et nytt fenomen, var VPN-tilgang ment for et lite antall personer som jobbet hjemmefra, og var ikke utformet til å håndtere at alle jobbet utenfor kontoret. Den plutselige og vedvarende økningen i brukere som ønsket å koble seg til, forårsaket overtegning og belastet VPN-hovedsentralen.

Samtidig kunne ikke problemer lenger løses ansikt til ansikt, noe som skapte utfordringer med å validere identiteten til personen IT-ansvarlige kommuniserte med. Dette førte til en økning i angrep fra sosial medier, der nettkriminelle utga seg for å være noen andre til legitime kilder. I følge Verizon var angrep som dette det mest vanlige datasikkerhetsbruddet i rapporten deres for 2021.

Et annet problem var den økte sannsynlighet for shadow-IT blant en ekstern arbeidsstyrke. Hvis halvparten av arbeidsstyrken jobber hjemmefra, blir det vanskeligere å forhindre at ansatte bruker private enheter og programmer i stedet for de som er godkjent av organisasjonen, rett og slett fordi de ikke er like godt kjent med dem. Offisielle BYOD-programmer (bruk av private enheter) på kontoret er formalisert og krever at ansatte følger bestemte bruksvilkår. Men det er vanskeligere å vedlikeholde denne praksisen med hjemmekontorbrukere som ofte har en oppfatning av at retningslinjer for kontoret ikke gjelder for hjemmemiljøer.

Disse bekymringene forsvinner ikke. Den plutselige bruken av eksternarbeid har utviklet seg til et permanent rammeverk for hybridarbeid. Det er derfor helt avgjørende at IT-ansvarlige også tilpasser seg, og at de tilnærmer seg de forskjellige arbeidsmiljøene - både hver for seg. men også helhetlig for å sikre en fleksibel og smidig sikkerhetsrespons.

Ifølge våre nyere undersøkelser sier 77 % av beslutningstakere innen IT at ansatte slutter å følge sikkerhetsprosedyrer når de befinner seg utenfor kontoret, selv om organisasjoner allerede benytter offisielle retningslinjer for hybridarbeid. Hvis IT-ansvarlige skal ha full kontroll over sikkerheten, er det avgjørende å definere spesifikke retningslinjer for arbeidsmetoder utenfor kontoret, fra enhetssikkerhet til programnedlastinger, og fra tilkobling til nettverk til hvordan man sikkert kan destruere utskrevede dokumenter – dette bør ikke bare overlates til den ansattes vurdering.

Fordi forskning viser at ansatte kan misforstå hvilke regler som gjelder i forskjellige situasjoner og hvorfor det er viktig, er den beste måten å informere om dette gjennom obligatoriske webinarer som understreker ansvaret de ansatte har uansett hvor de jobber fra. Uansett om de har opplæring eller ikke, er de ansatte fortsatt sårbare for overlagte, ondsinnede angrep. Det kan være lurt for organisasjonen å vurdere og investere i riktig utdanning og sikkerhetsopplæring for å forhindre at ansatte blir utsatt for svindelforsøk, som for eksempel phishing.

Samarbeid og felles kontorløsninger er i vinden som et fleksibelt og mer rimelig alternativ til eid plass. Det er imidlertid viktig å følge nøye med på sikkerhetspolicyer, samt vilkår og betingelser når man vurderer en felles kontorløsning, utover bare kostnads- og fasilitetsperspektivet. Mange organisasjoner tror kanskje at utleier av den felles kontorløsningen er ansvarlige for sikkerheten på arbeidsplassen, men det kan hende at lokalet har skrevet i liten skrift at de ikke er lovpålagt ansvar.

Still spørsmål for å sikre at felles kontorløsninger oppfyller de samme sikkerhetsnivåene og -forventningene for bedriftens egne retningslinjer: Hvordan er den fysiske sikkerheten deres? Kan hvem som helst bare gå inn? Hvilke vilkår gjelder for sikkerhetsbrudd eller tap av data? Hvem regnes som ansvarlig hvis det oppstår? Hva er i sikkerhetspolicyen med hensyn til utskrift? Kan hvem som helst få tilgang til dokumenter?

Det er viktig at ansatte forstår sikkerhetstruslene som er knyttet til å arbeide på farten. Alle kan for eksempel få tilgang til delt Wi-Fi i kaffebarer, så det er avgjørende at de ansatte får kun tilgang til bedriftsdokumenter via VPN for å opprettholde sikkerheten. I tillegg kan det være lett for ansatte å fysisk eksponere informasjon til andre, ved å gå fra datamaskinen for å hente en kaffe eller simpelthen ved å sitte foran noen på et tog. Hvis arbeidsstyrken din vanligvis reiser i jobben, bør beslutningstakere i IT-avdelingen i det minste vurdere enkle løsninger, for eksempel skjermfilter som beskytter andre mot å se skjermen.

Organisasjoner bør også ha forståelse for at folk ikke er perfekte – det er absolutt ikke uvanlig å miste en telefon eller å legge igjen en bærbar PC på toget. Med tanke på dette er det en god ide å ha noen forhåndsregler. Vurder å begynne å bruke BitLocker før en bruker kan få tilgang til operativsystemet, krypterte harddisker og muligheten til å sende et signal til en mobilenhet for slette innhold for å hindre at noen får tilgang til bedriftsinformasjon.

Organisasjoner over hele verden har måttet innføre tilpasninger for eksternarbeid og hybridarbeid raskere enn de hadde forventet. Som et resultat har IT-team måtte jobbe utrolig hardt bare for å sikre at virksomheten kan fortsette å kjøre eksternt. Nå som ting stabiliserer seg bør sikkerhet være et stort fokus. Med så mange nye potensielle kilder til sikkerhetstrusler i et distribuert arbeidsområde, vil alle organisasjoner dra nytte av å gjennomgå sikkerhetsprotokoller og -policyer. Med så betydningsfulle endringer er det spesielt viktig å forstå at ansatte ikke nødvendigvis er klar over hvordan det bør påvirke deres egen sikkerhetspraksis eller forstår hvordan adferden deres må endres. Med kunnskapen og opplæring av ansatte, kan organisasjonen din få mest mulig ut av hybridarbeid uten å risikere sikkerheten.