Vad är säkerhetskontroller?

Säkerhetskontroller är ryggraden i varje robust säkerhetsstrategi och fungerar som de åtgärder organisationer inför för att skydda sina tillgångar – människor, egendom eller data – från en mängd säkerhetsrisker och hot. Dessa kontroller är noggrant utformade för att förebygga, upptäcka, motverka eller minimera effekten av säkerhetsincidenter på fysisk egendom, information, datorsystem eller andra värdefulla tillgångar. Genom att förstå och införa effektiva säkerhetskontroller kan organisationer skapa en förstärkt miljö som säkerställer verksamhetens trygghet och integritet.

Bree Fowler, senior skribent på CNET, ledde en paneldiskussion vid Bitwarden Open Source Security Summit 2024 mellan Schlomo Schapiro, chefsingenjör på Tektit Consulting, och Bjoern Sjut, vd för produktivitet och IT på Front Row. Samtalet utforskade aktuella trender och utmaningar inom säkerhetsresiliens och medarbetarnas användning. Det innehöll rekommendationer från båda experterna om hur den övergripande säkerheten kan förbättras genom strategiska och genomtänkta säkerhetskontroller.

Schapiro inledde samtalet med att understryka hotet från software-as-a-service-tekniker (SaaS).

”De flesta företag ignorerar eller underskattar helt hotet från sitt nuvarande SaaS-landskap”, sade Schapiro. ”De sätter i princip blind tillit till sina SaaS-leverantörer och ger upp hela ägarskapet över sin perimeter. Det är ett av de största misstagen företag gör. De låter sin perimeter bli ett tunt staket med många hål, som i slutändan är hål som hackare kan utnyttja. Som bransch måste vi komma ikapp verkligheten.”

Sjut lyfte också fram vikten av perimetrar och konstaterade att den stora övergången till molnapplikationer har gjort perimetrarna mer otydliga. Hans främsta oro låg dock i att människor är mycket mer mobila. ”Om vi inte vill utrusta alla med dedikerade, specifika enheter måste vi hantera utmaningarna i en BYOD-miljö (bring your own device). Tillsammans med dessa molnverktyg innebär det att vi får fler attackvektorer på enheterna och via applikationer.”

Även om BYOD-enheter kan innebära säkerhetsrisker kan organisationer stärka sitt försvar med verktyg som lösenordshanterare. Bitwarden erbjuder plattformsoberoende åtkomst för mobil-, webbläsar- och skrivbordsapplikationer, vilket möjliggör en miljö med obegränsat antal lösenord och enheter.

De flesta organisationer hanterar många rörliga delar för att stärka säkerheten. För att förhindra att viktiga saker faller mellan stolarna anser Shapiro att ”företag måste säkerställa att varje applikation som introduceras i deras stack använder federerad autentisering mot deras primära identitetsleverantör. Ett av de värsta scenarierna är att ha konton eller applikationer som inte är tillräckligt kartlagda och som förblir aktiva efter att en medarbetare har lämnat organisationen.”

Sjut betonar att säkerhet inte bör begränsas till ”en företagsfunktion. Som bransch bör vi alla förespråka inbyggd säkerhet så att vi inte hamnar i en situation där vi måste täppa till hål med många olika åtgärder.”

Säkerhetsexperter måste få alla bitar på plats och ta reda på vad som fungerar bäst för dem. Kontroller är avgörande för att minska affärsrisker och säkerställa säkerheten effektivt.

”Vi vill hitta rätt balans mellan säkerhet och produktivitet. Jag tror att ett misstag många företag gör är att sätta upp ett säkerhetsmål på agendan som kan hindra människor från att vara produktiva. Det gör dem mindre säkra på lång sikt eftersom medarbetarna bygger upp sin egen skugg-IT som ligger helt utanför företagets säkerhetskontroller. Enligt oss handlar det om balans, i kombination med ett riskbaserat angreppssätt.” – Bjoern Sjut

Om organisationer vill att deras säkerhetsavdelningar ska vara effektiva måste de omfamna och göra det möjligt för användarna att utföra sina jobb effektivt.

”Det är alltid viktigt att vara tillgänglig som IT-avdelning. Du vill skapa en miljö där användarens minsta motståndets väg inte kringgår din säkerhet.” – Schlomo Schapiro

Medarbetare som inte kan dela relevanta arbetsfiler med kunder eller teammedlemmar är mer benägna att kringgå säkerhetsprotokoll. Det enda sättet att skydda sig mot det är att se till att ”medarbetarna känner sig stöttade i sin produktivitet. Det handlar verkligen om samarbete och om att hitta rätt balans mellan produktivitet och säkerhet (Sjut).”

Lösenordshanterare kan hjälpa användare att balansera säkerhet och produktivitet. De erbjuder ett snabbt och effektivt sätt att skapa, hantera och skydda lösenord. Välrenommerade lösenordshanterare som Bitwarden innehåller även MFA-verktyg som användare kan använda för ett extra säkerhetslager, som den inbyggda Bitwarden Authenticator eller den fristående appen Bitwarden Authenticator.

Människor tenderar naturligt att undvika friktion, inklusive friktion som orsakas av säkerhetspolicyer. Fowler frågade Schapiro och Sjut hur de bäst motiverar medarbetare att undvika att kringgå bästa praxis för säkerhet.

”Min personliga rekommendation är att se era användare som medborgarutvecklare. Det är viktigt att göra det möjligt för era medarbetare att använda de system ni tillhandahåller. Det är viktigt att vara tillgänglig, sträcka ut en hjälpande hand och sätta användarnas möjligheter i första rummet.” – Schlomo Schapiro

Sjut noterade att det i många företag kan vara svårt för användare att ta reda på hur de ska få tillgång till ett verktyg de behöver. Detta är särskilt vanligt i medelstora företag, eftersom företaget kan vara tillräckligt stort för att tappa överblicken över alla tillgängliga verktyg men inte tillräckligt stort för att det ska finnas central översyn.

”Enligt min mening hanterar många företag sin IT på fel sätt. De hanterar den inte som en försvarare av status quo. De hanterar den mer som en serviceenhet som ska hålla igång verksamheten. Väldigt få IT-organisationer har som mål att göra människor mer produktiva.” – Bjoern Sjut

Schapiro betonade vikten av att ha kontroll över SaaS-gränser och ha en gedigen plan för att återställa säkerhetskopior – inklusive rutinmässiga testkörningar för att säkerställa att alla förstår sin roll. Organisationer måste fokusera på att skydda och underhålla kritiska system för att förhindra intrång och säkerställa att de förblir funktionella och säkra mot potentiella attacker.

Sjut sa att många företag, utöver säkerhetskopior, inte riktigt har en robust förståelse för identitet, även när det gäller personer de samarbetar med, till exempel frilansare.

”Mängden personliga Google-konton som används för att hantera Google Analytics-data är häpnadsväckande för mig”, sa Sjut. ”De flesta företag behöver hantera digitala identiteter. Min allmänna uppfattning är att det sällan finns någon som känner ansvar för digitala identiteter inom organisationen. Företag behöver förstå sin centrala identitetsleverantör, hur identiteterna fungerar och om de har kontroll över dem. Ju fler som loggar in i molnapplikationer på en privatägd enhet utan att arbetsgivaren förstår den identiteten, desto svårare blir det att begränsa skadorna.”

Säkerhetskontroller kan i stort delas in i tre huvudtyper: fysiska, tekniska och administrativa kontroller. Varje typ spelar en avgörande roll i att skapa ett heltäckande säkerhetsramverk. Genom att integrera dessa tre typer av kontroller kan organisationer skapa en försvarsstrategi i flera lager som hanterar olika säkerhetsaspekter.

• Fysiska kontroller omfattar åtgärder som passersystem, övervakningskameror och larmsystem.

• Tekniska kontroller omfattar verktyg och tekniker som lösenordshanterare, brandväggar, intrångsdetekteringssystem och kryptering.

• Administrativa kontroller omfattar policyer, rutiner och utbildningsprogram som är utformade för att hantera och styra en organisations övergripande säkerhetsnivå.

Tekniska säkerhetskontroller är avgörande för att skydda en organisations digitala tillgångar, inklusive datorsystem, nätverk och data. Dessa kontroller omfattar en rad tekniker och metoder som är utformade för att förebygga, upptäcka och hantera cyberhot, inklusive kryptering, brandväggar, åtkomstkontroller, antivirus och detektering av skadlig kod. De är oumbärliga för att skydda mot cyberhot som hackning, skadlig kod och ransomware samt för att säkerställa digitala tillgångars integritet och konfidentialitet.

Lösenordshanterare som Bitwarden erbjuder rapportering om lösenordshälsa, exponerade eller återanvända lösenord, svaga lösenord, osäkra webbplatser, inaktiva tvåstegsinloggningar och kända dataintrång.

Administrativa säkerhetskontroller är åtgärder som är utformade för att hantera och styra en organisations säkerhetsnivå genom policyer, rutiner och utbildning. Dessa kontroller är viktiga för att vägleda medarbetarnas beteende och säkerställa efterlevnad av säkerhetsstandarder. Administrativa säkerhetskontroller är avgörande för att skydda mot insiderhot, social ingenjörskonst och bristande efterlevnad samt för att säkerställa ett heltäckande arbetssätt för säkerhetshantering.

• Tydliga riktlinjer kring säkerhetspolicyer och rutiner hjälper medarbetare att förstå sina roller och sitt ansvar för att upprätthålla säkerheten, vilket säkerställer konsekvent tillämpning av säkerhetsåtgärder.

• Att utbilda medarbetare i bästa praxis för säkerhet och potentiella hot bidrar till att skapa en säkerhetsmedveten kultur och minskar risken för mänskliga misstag.

• Incidenthanteringsplaner gör det möjligt för organisationer att snabbt reagera på säkerhetsincidenter, minimera skador och säkerställa en samordnad respons.

• Att följa efterlevnads- och regelkrav, såsom HIPAA och PCI-DSS, säkerställer att organisationer uppfyller sina juridiska skyldigheter och skyddar känslig information.

• Att regelbundet identifiera och minska säkerhetsrisker hjälper organisationer att undvika potentiella hot och upprätthålla en robust säkerhetsnivå.

Säkerhetskontroller är oumbärliga åtgärder som organisationer måste implementera för att skydda sina tillgångar mot ett brett spektrum av säkerhetsrisker och hot. Att förstå de olika typerna av säkerhetskontroller – fysiska, tekniska och administrativa – och deras funktioner är avgörande för att utveckla en effektiv säkerhetsstrategi. Att dessutom vara medveten om områden som ofta förbises, såsom utbildning i säkerhetsmedvetenhet och fysiska säkerhetskontroller, kan hjälpa organisationer att hantera potentiella sårbarheter. Genom att anta ett heltäckande tillvägagångssätt som inkluderar en kombination av dessa kontroller kan organisationer säkerställa konfidentialitet, integritet och tillgänglighet för sin information och sina tillgångar, och därmed stärka sin övergripande säkerhetsresiliens.