Myterna som försvårar IT-säkerheten

Säkerhetsexperterna är överens. Den mänskliga faktorn är den största risken för att känslig eller affärskritisk information ska hamna i fel händer. Användarna slarvar alltför ofta med lösenorden. Hackare kan enklare än någonsin ta reda på lösenord och göra intrång utan att lämna spår. Det orsakar enorma kostnader för individer, företag och samhälle.

Placeholder

Säkerhetsexperterna är överens. Den mänskliga faktorn är den största risken för att känslig eller affärskritisk information ska hamna i fel händer. Användarna slarvar alltför ofta med lösenorden. Hackare kan enklare än någonsin ta reda på lösenord och göra intrång utan att lämna spår. Det orsakar enorma kostnader för individer, företag och samhälle.

Dagens IT-ansvariga måste snabbt hitta nya lösningar som skyddar information och affärsapplikationer från obehörig insyn, och erbjuder kvalificerad IT-säkerhet i en alltmer flexibel och mobil värld. Lösningarna ska inte bara fungera för inloggning till dator och kritiska system. De måste också fungera för inloggning till molnbaserade system och appar på mobiler och läsplattor. De måste också vara snabba och enkla att använda.

Komplexiteten gör att IT-säkerheten ofta blir eftersatt, eftersom man uppfattar det som för krångligt och dyrt att införa fullgod IT-säkerhet.

Men i dag finns alla möjligheter att finna en kvalificerad lösning som samtidigt tillgodoser organisationens krav på förbättrad säkerhet och produktivitet och medarbetarnas önskan om användarvänlighet och flexibilitet. Den moderna lösningen är att ersätta traditionella lösenord med individuellt utfärdade certifikat. På så sätt behöver användaren bara hålla reda på en PIN-kod och en bärare som administreras från ett och samma ställe för alla målsystem.


10 myter om säker inloggning

Övergången till certifikatsbaserad IT-säkerhet innebär ett nytt förhållningssätt, och som med alla paradigmskiften väcker det frågor.

Här några av de vanligaste funderingarna vi möter kring certifikatbaserad säkerhet.

1. Det är dyrt att införa.
Traditionell lösenordshantering är inte gratis. Enligt oberoende rapporter kostar administrationen av lösenord svenska företag 1 500 – 3 000 kr per medarbetare och år. En väl implementerad certifikatsbaserad lösning med minskade administrativa kostnader som följd kan återbetala hela investeringen på ett till två år. Lägg därtill återkommande vinster i form av mindre administration, en ökad personlig effektivitet och värdet av att ha bra IT-säkerhet.

2. Det är krångligt att installera och underhålla.
Tveksamheten man kan känna inför att införa certifikatbaserad säkerhet liknar att välja att fortsätta elda med olja eftersom man inte kan något om bergvärme. Men man behöver inte göra allting själv. Det finns kvalificerad hjälp att få för att välja rätt lösning och för att planera, installera och underhålla den. Stöd i att ta fram genomtänkta utgivningsrutiner och en utbildad helpdesk gör övergången smidigare. Anlita en kompetent leverantör och kräv att lösningen fungerar innan du betalar.

3. Våra medarbetare har tillräckligt med lösenord, kort, nycklar och dosor.
De vill inte ha mer att hålla reda på.
Slutanvändarens behov ser olika ut och organisationen kan utifrån det välja att lagra certifikatet i olika typer av enheter som mobil, dator, YubiKey, i datorn (Virtual smart card) eller på ett traditionellt smartkort. Smartkorten är ofta multifunktionskort. Ett och samma kort kan användas för singelinloggning i IT-systemen, inpassering i dörrar, som identitetshandling, i tidomat, för streckkoder med mera. Smartkort ger medarbetarna färre saker att hålla reda på, inte fler.

Ladda ner och läs om alla myter här

4. Våra användare kan inte hantera smartkort. De kommer tappa, glömma eller lämna kvar sina kort i kortläsaren.
Så sent som på 80-talet hade vi bankböcker. Sen gick vi över till betalkort och PIN-kod. I dag lämnar ingen sitt hem utan kortet i plånboken. Och ytterst sällan lämnar vi kvar det i betalningsterminaler. I dag är certifikaten mjuka eller hårda och det finns olika certifikatbärare för olika behov.

5. Det kommer inte att fungera för våra medarbetare som reser mycket och måste kunna nå webbmailen från mobilen eller surfplattan.
Nya metoder att försörja mobila appar med stöd för certifikatbaserad inloggning utvecklas hela tiden. I dag är det enkelt att förse själva mobilen med ett certifikat via ett MDM (mobile device management) system. Man ställer in mobilen på att autentisera sig med certifikatet istället för användarnamn och lösenord. En policy för informationssäkerhet som uttrycker organisationens krav på IT-säkerhet avgör lösningen.

6. PKI och smarta kort blir för avancerat och tungrott för oss att administrera.
Ett modernt manageringssystem kan knyta samman och anpassa utgivningsflödet för vald certifikatbärare och användarkonton efter varje organisations unika behov. Ett användarvänligt gränssnitt förenklar och effektiviserar utgivningen och hanteringen av certifikat och bärare.

7. Vi kan inte administrera certifikatbärarna fysiskt. Vår organisation är spridd över många platser, flera utan säkerhetsadministratör.
Vi arbetar med organisationer som är spridda över hundratals orter och använder smarta kort för inloggning. Lösningen ligger i ett administrationsverktyg som tillåter distribuerad hantering av alla typer av certifikatbärare. Medarbetarna kan själva aktivera och sätta PIN-kod för sin enhet. Utbildade lokala korthandläggare hanterar reservenheter och upplåsningsrutiner. Genom lokal aktivering av enheten är det bara känd personal som vistas i systemen till skillnad från situationen där vem som helst kan ringa in till helpdesk och uppge att hon är en viss användare. Ett distribuerat system och decentraliserad administration ger därför normalt ett ökat lokalt ägarskap och förbättrad säkerhet.

8. Våra medarbetare behöver röra sig fritt runt arbetsplatsen och kunna logga in på olika datorer. Det blir för tidskrävande.
En smart lösning erbjuder en rad funktioner som vi av erfarenhet vet i stället förenklar vardagen och uppskattas av mobila medarbetare. En enda inloggning ger tillgång till alla system och applikationer man behöver. Genom att dra ur smartkortet säkerställer användaren att sessionen avslutas och informationen säkras mot obehörigt intrång. Du kan också bygga lösningar som tillåter förflyttning av sessionen till en annan arbetsstation där arbetet direkt kan återupptas. När smartkortet sätts in på nytt och PIN-koden anges startar automatiskt de applikationer och tjänster som medarbetaren senast använde.

9. Vår IT-miljö är så komplex att lösningen knappast kommer gå att integrera.
IT-säkerhetsmetoden PKI (Public Key Infrastructure) är öppen och globalt standardiserad. Microsoft, Citrix, Intel, VM Ware och alla kända plattformar, applikationer, brandväggar med mera har redan i dag stöd för certifikatbaserad inloggning genom standardgränssnitt.

10. Våra system är så gamla att de bara fungerar med lösenord.
Det finns fortfarande äldre system och applikationer som av olika skäl inte kan ges stöd för SAML-baserade (Security Assertion Markup Language) federationslösningar eller certifikat. Ett alternativ är att använda en dedikerad mjukvara för singelinloggning. Applikationen fyller i mycket komplexa lösenord och byter lösenord regelbundet helt transparent för slutanvändaren.

Läs också, hur du skapar en säker IT-miljö.

Dela denna artikel

Relaterat