Mobilitet: 5 steg mot rätt säkerhet
Hem REPORTAGE Mobilitet: 5 steg mot rätt säkerhet

Mobilitet: 5 steg mot rätt säkerhet

Publicerat av: Redaktionen
Per Hellqvist, Symantec.

Per Hellqvist, Symantec.

Argumentet mot mobilitet är inte ovanligt: det är osäkert! Din roll är naturligtvis att förklara att det inte stämmer – under förutsättning?att man vidtar rimliga mått och steg. Säkerhetsgurun Per Hellqvist guidar.

Han ler och nickar. Kanske hörs också en suck. Per Hellqvist, snarast legendarisk säkerhetsexpert på Symantec, bekräftar det vi misstänker. Att mobilen ännu inte riktigt fått samma status i företags it-system som övriga enheter.

– Många ser fortfarande mobilen som en telefon bara. Och det är långt ifrån alla som ens har pinkoden aktiverad, säger han.

Det finns en hel del att göra, med andra ord. Exakt vad man ska göra är beroende av vilken nivå av säkerhet företaget behöver och inte minst vilket ?operativsystem det handlar om. Android är avsevärt mer utsatt än Ios, hävdar han.

– Det finns mycket elak kod på Android-sidan som helt enkelt inte finns för Iphones, säger han.

Men sker det inte en förändring där?

– Det dyker ju upp elak kod för Iphone, men de kommer inte förbi Apples kontroll som är minst sagt rigorös – om inte telefonen är jailbreakad förstås. Apples säkerhetsmodell i Ios fungerar väldigt bra, säger han.

Android har en modell som också är väldigt bra. På papperet. I verkligheten finns det dock en hel del kvar att önska, påpekar han.

– Det handlar framför allt om kontrollen av apparna som läggs ut. Google har ett krav på att alla appar ska vara signerade. Och det är ju jättebra. Det är bara det att man godkänner egensignerade appar så där faller ju alltihop …

Per Hellqvist talar om fem områden du och kunden måste ha koll på för att skapa och upprätthålla en bra säkerhet kring mobilitet.

1. Enheten

Det första handlar om enheten, på branschlingo device management. I huvudsak går det ut på att skapa och lägga på policies för enheterna, vad de får och inte får göra, enkelt sett.

– Telefonen måste exempelvis uppfylla vissa kriterier för att få ansluta till företagets e-post, man måste ha pinkoden aktiverad och telefonen får inte ansluta till Icloud … Lite sådana saker.

Fast det är lite ”klånkigt”, säger han. Det är liksom allt eller inget och det gör att det är svårt att ta hänsyn till användarens privata användning. Det är ingen vidare framkomlig väg att förbjuda medarbetaren att komma åt sina ”egna grejer”.

2. App-kontroll

Nästa område, applikationshantering, ger lite finkornigare kontroll. Det handlar om att kontrollera vilka appar man får och inte får installera. Det kan vara typer av appar såväl som specifika appar. Och det kan lika gärna vara sådana som du måste ha – ur arbetets synvinkel, och sådana du inte får ha.
Per Hellqvist lyfter gärna Symantecs eget koncept, kallat app wrapping, här.

– Det innebär att du lägger på ytterligare policylager på apparna. Det kan vi göra utan att påverka koden så att de fungerar som de är designade att göra, men vi kan exempelvis säga att från den här appen får man inte klippa och klistra data. Eller att man måste lägga på en tvåfaktors autentisering för att komma åt den.

3. Elak kod

Det tredje området, kontroll av elak eller olämplig kod, är kanske den mest uppenbara. Men det handlar om mer än att bara hitta sådan kod som stjäl eller förstör data med hjälp av klassiska antivirusprogram. Och Per Hellqvist påpekar att de nödvändiga åtgärderna inom det här området är beroende av vilket operativsystem det handlar om. Ios är som sagt inte alls lika utsatt som Android.

Utöver kontroll av direkt skadlig kod bör man också hålla utkik efter appar som gör ”mer än de borde”, som Per Hellqvist uttrycker det.

– Mycket av den olämpliga kod som finns i Android-miljöer är inte trojaner i sig utan handlar om reklamdelarna i dem.
– Vissa av de lite mindre aktörerna som tillhandahåller [reklamfunktioner] tar sig [lite väl stora] friheter på telefonen. De kanske tar lokationsdata eller annan typ av information … sen använder man det i reklamsyfte. Det är inte alltid önskvärt och som användare vet man inte alltid om det.

Här finns det verktyg som fortlöpande skannar en stor mängd appar för att kunna varna eller hindra användare från att installera dem.

Det finns ytterligare aspekter och Per Hellqvist pekar också på en Symantec-specifik funktion eller tjänst som kallas Insight och som innebär att telefonen talar om för tjänsten när en ny app har installerats. Insight-tjänsten kollar enkelt sett i en gigantisk databas för att se om appen verkar ok eller misstänkt, utifrån ett stort antal parametrar.

4. Information

Så långt är säkerhet inte vansinnigt komplicerat. Men när Per Hellqvist kommer till det fjärde området, innehållshantering, kompliceras saker och ting rejält. Enkelt sett handlar det om att bestämma vilken typ av information som får finnas på olika enheter. I ett företag med 20 anställda är det sällan särskilt komplicerat, men för större organisationer är det här inget man sätter på fredagsfikat.

– Jag har ett jättebra örhänge som jag kör på föreläsningar. Jag ber publiken att skriva upp det här på en lapp och sätta upp på kontoret: ”Vem får ha vilken information på vilken enhet?”

– Där har du det grundläggande säkerhetstänket för mobilen, säger Per Hellqvist och utvecklar det sedan en aning:
Vilken roll i organisationen har personen och vilken typ av information behöver den personen tillgång till? Handlar det om information som är öppen, känslig eller hemlig? Är det e-post eller tillgång till system? Och vilken enhet vill personen ha informationen på och hur kan vi skydda den?

Frågorna är enkla. Vägen till svaren desto snårigare. Att överhuvudtaget veta vilken information som är kritisk och känslig, och var den finns och vilka som har tillgång till den, är den ständiga knäckfrågan för majoriteten av företag.

– Vilka är våra guldägg och var finns de?

Per Hellqvist påpekar att mycket av säkerhetsarbetet handlar om att man måste utbilda personalen att förstå och inse vad de gör. Det kan vara allt ifrån typen av information de hanterar till ett allmänt säkerhetstänk.

5. Autentisering

Användarna står också i centrum i det femte området som handlar om autentisering. – Det handlar både om att veta att du är du när du loggar in och tar del av informationen, och om att kunna vara säker på att ingen lyssnar och förändrar informationen när den överförs mellan enheter.

Vilka lösningar som krävs beror på en mängd faktorer, främst vilken typ av information som ska göras tillgänglig. Man pratar allt mer om så kallad tvåfaktors autentisering och det kan exempelvis skapas genom att användaren får en kod via sms. Det finns också en variant där koder skapas var 30:e sekund i en kreditkortsstor ”dosa” som användaren kan ha med sig i plånboken.

Vem hos kunden måste jag som partner prata med kring det här?

– Det måste börja i ledningen, som allt säkerhetsarbete. Och de måste förstå affärsvärdet av mobiliteten. Både fördelarna och eventuella nackdelar. Vad får det här för följder och konsekvenser?

– Sen ska det tolkas av de övriga avdelningarna nedåt i organisationen. Så att it-avdelningen ska veta vad de behöver göra för att företaget ska kunna gå den här vägen.

Svårt att övertyga kunden om att de ska satsa på säkerhet och se det som ett sätt att skapa nya möjligheter för affären? Försök med Per Hellqvists liknelse med bilar.

– Vi har bromsar på bilar för att kunna köra fort. Så länge man kör i krypfart behövs inga bromsar, då är det bara att öppna dörren och sätt ned foten när man behöver stanna.

Relaterade Artiklar

Vi använder cookies och andra identifierare för att förbättra din upplevelse. Detta gör att vi kan säkerställa din åtkomst, analysera ditt besök på vår webbplats. Det hjälper oss att erbjuda dig ett personligt anpassat innehåll och smidig åtkomst till användbar information. Klicka på ”Jag godkänner” för att acceptera vår användning av cookies och andra identifierare eller klicka ”Mer information” för att justera dina val. Jag Godkänner Mer Information >>

-
00:00
00:00
Update Required Flash plugin
-
00:00
00:00