Blogg

Investeringar inom it- och informationssäkerhet

Mängden av ämnen och undergrupper inom it-, informations- och cybersäkerhet gör begreppet säkerhet svårt att sätta fingret på. Det finns praktiska, teoretiska, strategiska perspektiv för distinkta eller överlappande delar. Det gör att tydlighet är a och o när det kommer till diskussionen om säkerhet. Detta samtidigt som det ofta finns intern konsensus om att säkerhet antingen är onödigt, dyrt eller ett hinder. Samtidigt som cyberbedragare och -tjuvar blir allt mer sofistikerade.

Det allra mest attraktiva hade varit att på ett definitivt sätt säga att ett intrång kostar X och en säkerhetslösning kostar Y, och om Y är lägre än X så är lösningen fördelaktig. Men det är ju inte så enkelt. Kostnader och konsekvenser är svåra att förutse, och det krävs erfarenhet och kunskap för att balansera risker mot investeringar.

Så hur grundas ett bra organisationsskydd? Först och främst, glöm allt som har med enkla eller universella lösningar att göra. Det är snarare en beslutsfattares önskedröm än faktisk realitet att en enda knapp kan innebära hög och omslutande it- och informationssäkerhet. Och av den anledningen så bör vissa områden prioriteras högre än andra. De områdena kan vara utgångspunkten för bättre säkerhetsinsikter eller för att utvärdera säkerhetsinvesteringar. I andra halven av den här artikeln presenterar EdgeGuide de säkerhetsområden som vi rekommenderar bör ha prioritet. Men först så presenteras ett antal forskningsartiklar som på olika sätt diskuterar ämnet säkerhetsinvesteringar. Men först, visste du att:

  • 9/10 organisationer har utsatts för minst ett lyckat cyberanfall, enligt CyberEdge.
  • Mängden cyberbrott ökade med 600 % under Covid-19-pandemin, anger Business Insider.
  • 33 % misslyckas på nätfisketest. Nästan alla organisationer försöker öka medveten om nätfiske, men bara en liten del av personalen får möjlighet att öva, uppger Cloudwards.

Metoder och motiveringar för säkerhetsinvesteringar

Innan några artiklar presenteras så är det på sin plats att presentera några begrepp. De flesta diskuteras i artiklarna nedan, men är i allmänhet bra att ha kännedom om. Framför allt för de som arbetar inom området it- och informationssäkerhet.

Ordlista

ROSI – Return on Security Investment

Ett av de viktigare uttrycken är ROSI. Det är en förkortning som grundas i ROI – Return on Investment. Bokstaven S står här för ”security”, vilket alltså formar Return on Security Investment. Att kalkylera ROSI görs på något olika sätt beroende på vilken källa som används. Men många ser liknande ut, och ett exempel är

(Direktkostnaden av ett anfall * Riskdämpningsfaktorn från säkerhetslösningen) – Säkerhetsbudgeten / Säkerhetsbudgeten

Det som skapar problem i nästan alla fall är definitionen av den sänkta risken; vad ska inkluderas där? Som direkta kostnader kan det också vara svårt att avgöra vad som ska inkluderas, och indirekta kostnader är svåra att räkna på men finns ju också där. Det kanske svåraste är kvantifieringen av både hot och konsekvenser. Det är nog en bidragande faktor till varför det inte finns någon konsensus om säkerhetskalkylering. ROSI är ett centralt begrepp för flera av artiklarna nedan.

CIA-triaden – Confidentiality, Integrity, Availability

Ett annat mycket viktigt koncept är den så kallade CIA-triaden. De tre delarna är Confidentiality (konfidentialitet), Integrity (integritet) samt Availability (tillgänglighet). De tre delarna av triaden kan användas på olika sätt vid olika typer av analyser; de kan ställas mot varandra för att illustrera huruvida data har rätt nivå av skydd internt, de kan användas för att kategorisera olika typer av cyberanfall och i förlängningen olika skyddsåtgärder, eller som rangordningssystem för att visa prioritetsordningen av tillgångar. Gemensamt är att kategorierna konfidentialitet, integritet samt tillgänglighet är relevanta för olika delar inom it- och cybersäkerhet, även om appliceringsområdena inte alltid är samma.

KPI – Key Performance Indicator

Ett för många välbekant begrepp som nämns av nedan presenterade artklar är KPI. KPI står för Key Performance Indicator, och kan anses synonymt till ordet mätvärde. KPI:er är de punkter eller värden som någon eller någots prestation utvärderas från. Ett exempel kan vara kundnöjdhet för kundtjänstmedarbetare, eller andelen förhindrade intrång för en brandvägg.

CISO – Chief Information Security Officer

En annat välkänd och erkänd förkortning är CISO. Personen som är utsedd till Chief Information Security Officer är, som framgår av namnet, den högst ansvarige för informationssäkerhet i organisationen, vilket ofta innebär budgetmässigt och strategiskt beslutsfattande. Beroende på organisationens storlek så kan titeln skilja sig åt. Vanliga benämningar som ofta innebär motsvarande ansvarsområden är dock säkerhetsdirektör, säkerhetschef, informationssäkerhetschef eller, som i fallet med CISO, verkställande informationssäkerhetschef. Och beroende på bland annat hierarki och storlek så kan personen antingen själv ansvara för informationssäkerheten, leda ett team eller en hel avdelning. Inflytandet av CISO:n skiljer sig ofta från ett ställe till ett annat – men vanligen finns tyvärr viss tveksamhet till att låta den säkerhetsansvarige ha en plats vid styrelsebordet.

SOC – Security Operations Center

Säkerhetsteamet som bekämpar intrång i realtid är vad som förkortas SOC eller SecOps. Deras uppgift är att snabbt upptäcka, prioritera och åtgärda it-intrång. SOC:en är det reaktiva it-försvaret som svarar på incidenter och letar efter aktiva intrång. Vid större incidenter så kommunicerar SOC med Governance och andra strategiska team för att utvärdera om förändringar i arkitektur eller policyer behövs. Det förebyggande arbetet sker dock inte av SOC utan snarare av exempelvis Governance, men båda teamen behöver vara medvetna om svagheter, incidenter och trender.

Artikel: Observationer från djupintervjuer

I en fallstudie från en forskargrupp baserad i Tyskland så intervjuades beslutsfattande eller specialiserade bolagsanställda om respektive bolags it-säkerhet, eller om deras rådgivning angående kunders it-säkerhet. Frågorna och svaren grupperades i fem teman:

Påverkansgrad av yttre faktorer på it-säkerhetsinvesteringar

Det absolut viktigaste som påverkar informationssäkerhetsinvesteringar är nya eller ändrade lagar som påverkar vad organisationer måste göra. I artikeln anges att bolag ofta slutar med att se över it-/informationssäkerhet så länge det lagligt krävda finns etablerat. Med synen på informationssäkerhet som ett hinder och ett nödvändigt ont så återbesöks ämnet sällan – om inte lagen så kräver. Som sekundära beslutspelare kommer branschstandard och landsstandard, alltså att göra som andra gör i landet/branschen. Märkbara skillnader i öppenheten för investeringar kunde noteras i organisationer som utsatts för intrång, och att det inom dessa fanns ett mycket tydligare perspektiv om att prioritera säkerhet.

Underliggande beslutsprocessers påverkan på it-säkerhetsinvesteringar

Den vanligaste grunden till beslut om informationssäkerhetssatsningar anges vara traditionella processer, till exempel en CISO eller genom workshopar. Dessutom så är den vanligaste investeringen traditionella medel för säkerhet, så som brandväggar och antivirusprogram. Men efter en investering så noteras det vara svårt att följa kostnaden och påverkan, delvis på grund av otydligheten mellan it-/informationssäkerhetsansvariga och it/informationsansvariga – att skilja på en it-säkerhetsbudget och en it-budget anges vara praktiskt taget omöjligt. På senare tid så har it-/informationssäkerhet blivit ett erkänt nödvändigt område, med antingen ansvariga personer eller hela avdelningar som ansvarar för säkerheten. Trots det så rapporterades starka tvivel mot att betrakta CISO:n som en naturlig del av ledningen. Troligen på grund av perspektivet att säkerhet är ett hinder för affärprocesser.

Befintliga säkerhetsprocesser och deras påverkan på affärsprocesser

Den största rapporterade anledningen till att inte göra nya investeringar, trots ökat skydd, är det generella motståndet och oviljan att förändra nuvarande processer. Det verkar inte finnas en organisk tillväxt av investeringar eller intresse för ökad säkerhet, vilket gör att investeringar baseras i lagkrav och industristandarde. Även CISO:er uppges vara tveksamma till nya säkerhetsåtgärder på grund av det förväntade motståndet. Det finns därför en negativ direkt association om säkerhetsprocessers påverkan på övriga affärsprocesser. Dessutom noterades att den högst ansvarige, CISO:n, ofta ansvarar för både översikt/utvärdering samt inköp/investering – vilket skapar en potentiell intressekonflikt.

Mätvärden och utvärderingsprocesser för att mäta organisationsprestanda

Gemensamt i alla intervjuer var att det saknades utvärderingsprocesser, vilket baserades i tidsåtgången samt komplexiteten för att utvärdera förändringarna efter en investering. Detta trots att det kan finnas externa påtryckningar för löpande utvärdering, exempelvis från myndighetskontroller eller för att uppenbara it-brister uppdagas. Löpande registrering av mätvärden betraktades som svåra att analysera i praktiken, och det är därför vanligt att de inte registreras överhuvudtaget.

Utbildningsstrategier parallellt med säkerhetsinvesteringar

Konsensus för utbildningsinitiativ var i varje fall vara reaktivt, aldrig proaktivt. Orsaken till det konstaterades vara att ämnet it-/informationssäkerhet anses som obekvämt. Bland annat anges att anställda glömmer innehåll från workshops och utbildningar och att nya anställda kommer till organisationen. Därför implementeras säkerhetsstrategier utan att återbesökas, och utan någon medföljande utbildningsstrategi. När incidenter sker så menas utbildning vara en skyddsåtgärd som vissa organisationer tar, men någon långsiktig uppföljning eller ändring i policyer/rutiner genomförs sällan, om alls.

Artikel: Beslutskategorier för säkerhetsinvesteringar

I en artikel publicerad av en annan tysk forskargrupp analyserades de tre vanligaste huvudanledningarna till att organisationer gjorde it- och informationssäkerhetsinvesteringar. Gruppen gjorde en artikelanalys där de analyserade akademiska publikationer. I det slutgiltiga artikelurvalet  analyserades 58 artiklar som publicerats mellan 1992 och 2021. Resultatet från analysen var att bolag ofta fattar beslut till säkerhetsinvesteringar med med grund i minst en av tre kategorier. Kategorierna är risk och avkastning, beteende (med fokus på ryktesgrundad vägledning) samt spelteori.

Risk och avkastning

Den första och största kategorin kallas risk och avkastning, som noterades förekomma i över hälften av alla it-säkerhetsinvesteringar. I den här kategorin är ROSI och andra uträkningar vanligt förekommande, eftersom målet är att få en konkret siffra som reflekterar vad säkerhetslösningen sparar/kostar.

För att identifiera kostnader och risker så används hypotetiska scenarier samt potentiella incidenter för att ta fram utveckla kostnadsexempel på vad intrång, läckor och åtgärder hade kunnat kosta. Genom att använda realistiska siffror från hypotetiska incidenter så blir det enklare att jämföra kostnaden av åtgärderna mot kostnaden av ett skydd. Många dimensioner behöver vägas in i dessa kalkyler, bland annat vilka delar av it-infrastrukturen som skyddas och i vilken grad olika incidenter blir mindre kostsamma av en investering. Men även mer diffusa aspekter så som den uppskattade hotbilden behöver beaktas för att bli verklighetstrogen.

Hela 59 % använde sig av den här metoden för utvärdera nya investeringar. Oftast så användes ett av två perspektiv, antingen ROSI eller Gordon och Loeb-modellen. Läs mer om respektive modell nedan.

Ryktesgrundad vägledning

Grunden till den här kategorin är att beslutsfattares beteenden påverkar investeringen. Det innebär att nyckelpersoner kan få en investering att genomföras eller avstyras till stor del själv. Enligt kategorin så söker sig dessa beslutsfattare till att se vad andra har gjort. Om en områdesexpert eller chef på ett omtalat bolag redan har fattat ett motsvarande beslut så blir det lätt att motivera samma sak. Kunskap och erfarenhet blir därför en hörnsten i hur säkerhetsorganisationen formas, beroende på hur djup insikt beslutsfattaren har.

De viktiga spelarnas rykten är en central del av den här kategorin. Om en rådgivare har sämre rykte på grund av misslyckade beslut eller avsaknad av beslutsfattande så kommer den personens råd anses väga mindre tungt. På samma sätt, om en person fattar bra beslut som leder till lyckade utfall så kommer den personens vägledning väga mycket tyngre. Den uppenbara svagheten med det här perspektivet är att beslutet till stor del formas av personers subjektiva åsikter och erfarenheter. Exempelvis så riskerar beslutsfattare att utsätta organisationen för större risker när det finns sådana trender på marknaden – beslut påverkas alltså bland annat av industristandarder och begränsningar i budget eller annat.

Spelteori

Den tredje kategorin av motiveringar för säkerhetsinvesteringar är spelteori. Spelteori innefattar bland annat de matematiska modeller som förklarar optimalt beslutsfattande bland rationella entiteter. Det finns en stor mängd underteorier och många applikationsområden. För just ämnet it- och informationssäkerhet så handlar diskussionen ofta om huruvida separat eller centraliserad it-miljö är säkrare. Men spelteori är också applicerbart på hur säkerhetsbudgeten spenderas. Eftersom det räcker med ett säkerhetshål för att riskera hela organisationens data behövs åtminstone ett grundläggande skydd för alla delar som det finns en hotbild mot. Spelteorin kommer då in eftersom det optimala beslutet behöver fattas med begränsade medel.

Framför allt för moderbolag och företag som förvärvar så är det ett viktigt att besluta om centraliserad eller decentraliserad it. En decentraliserad strategi gör att de enskilda delarna riskerar att överspendera på it-säkerhet medan en centraliserad strategi gör att de migrerade bolagen riskerar att till större grad ignorera eller nedprioritera säkerheten. En leveranskedja som involverar flera bolag med delad kundinformation är en relaterad riskfaktor, eftersom säkerheten bara är lika stark som den svagaste länken.

Artikel: KPI:er och mätetal för cybersäkerhet

Ett attraktivt perspektiv är att hitta tydligt definierade mätetal för att på så vis kunna påvisa huruvida en investering är lönsam. Problemet är dock att inga sådana mätetal finns med bred konsensus, vilket är delvis underbyggt av att organisationer har olika behov och förutsättningar. I en förstudie från en forskargrupp i Storbritannien föreslogs ett set med 6 KPI:er, i ett försök att definiera några universella mätetal för cybersäkerhet.

I artikeln så finns ett stort fokus på kritisk infrastruktur (till exempel elnät och sjukhus-it), och skyddet av den. Men enligt författarna så menas teorin kunna appliceras på alla typer av it- och informationssäkerhet. De övergripande kategorierna för KPI:er som föreslogs är:

  1. Misslyckade cyberanfall.
  2. Brister och hot.
  3. Skyddade tillgångar.
  4. Mänsklig och processbaserad kapacitet.
  5. Övervakningskapacitet och -effektivitet.
  6. Incidentövervakning.

Varje av ovan kategorier delas av författarna vidare in i 3–5 undergrupper med smalare definitioner, i ett försök att skapa tydliga och relevanta mätetal. För att hålla källorna flexibla och tillgängliga samt välgrundade så använde artikelförfattarna nationella cybersäkerhetsprogram från olika myndighetskällor. I artikeln nämns bland annat Storbritanniens National Cyber Security Strategy, Finlands Cyber Security Strategy och Australiens Cyber Security Strategy. Författarna menar att det i alla dessa säkerhetsprogram finns gemensamma drag, och delar som kan utvinnas och omformas för att passa KPI:erna som presenterades i artikeln.

Artikel: Bayesiansk statistik för ROSI-uträkning

Ett team vid Pakistanska National University of Sciences and Technology baserade sitt ROSI-perspektiv i matematiska formler med olika sannolikhetsantaganden. Metoden de presenterar baseras kortfattat på följande steg:

  1. Identifiera värdet på respektive tillgång. Identifiera alla kritiska it-tillgångar (servrar, applikationer, enheter, och så vidare). Använd sedan CIA-triadens tre delar (konfidentialitet, integritet och tillgänglighet) som grund till en rankning från 1 till 5 för varje tillgång. Då får varje tillgång ett värde på mellan 3 och 15. Detta värde ska sedan multipliceras med värdet på tillgången.
  2. Identifiera hoten. Identifiera vilka hot som finns, vad hotet riktas mot, hur ett anfall skulle genomföras, samt genom vilka åtgärder som hotet kan motverkas. Författarna ger exemplet att injektioner av SQL-kod kan förekomma via inloggningsfält, och att förbättrad datavalidering är ett sätt att motverka hotet.
  3. Kalkylera sannolikheten. Använd det Bayesianska teoremet för att kalkylera sannolikhetsgraden för olika utfall, utifrån sannolikhetsuppskattningar för de olika delarna som identifierats i del 2.
  4. Kalkylera påverkansgraden. En ekvation kan sedan användas för att räkna ut händelsens påverkansgrad, där sannolikhetsgraden multipliceras med värdet på tillgången samt återställnings-/reparationskostnader. Påverkansgraden multipliceras sedan med anfallssannolikheten, vilket rapporteras resultera i den årliga kostnaden av det hotet. Detta upprepas sedan för alla tillämpliga hottyper för alla tillämpliga tillgångar.
  5. Kartlägg lösningens kostnad. Nästa steg är att kartlägga kostnaderna för skyddande åtgärder. Implementationskostnad, installationskostnad, utbildningskostnad samt underhållskostnad adderas. För att ROSI-kalkylen ska gå plus så behöver först och främst åtgärderna sänka sannolikheten för anfall, vilket räknas ut genom att göra sannolikhetskalkylen i steg 3 igen, fast utifrån en implementerad säkerhetslösning. Sedan så behöver den summerade kostnaden av åtgärden resultera i en lägre årskostnad än kostnaden utan skyddet. Den slutliga ROSI-slutsatsen baseras alltså på jämförelsen av årskostnader mellan kostnaden från ett hot samt skyddsåtgärderna för samma hot.

En central del för den här metodiken är kunskap om Bayes teorem, eftersom det annars blir väldigt teoretiskt och svårt att direkt applicera insikterna. En stark rekommendation för de som vill använda den här typen av kalkyl är att besöka artikeln och analysera ekvationerna närmare.

Artikel: Gordon och Loeb-modellen

I en artikel från 2002 så noterade forskarna Gordon och Loeb att en magisk siffra är 37. De räknade nämligen ut att kostnaden för it-säkerhetsinvesteringar inte borde överskrida 37 % av den uppskattade förlusten.

Enligt ett exempel från Wikipedia så har bolag X data värt 1 000 000 kr. Med 15 % risk att bli utsatta för ett anfall och 80 % sannolikhet att anfallet lyckas så blir uträkningen 1 000 000 x 0.15 x 0.8 = 120 000. Den uppskattade förlusten är således 120 000, där Gordon och Loeb menar att investeringskostnaden inte ska överstiga 37 %; 120 000 x 0.37 = 44 000.

För en övergripande inblick, se Wikipedia-sidan för modellen. För en djupare analys av Gordon och Loeb-modellen, läs den här artikeln där originalförfattarna utvärderar modellen 14 år efter dess första publicering.

Sammanfattning och artikelrekommendationer

Sammanfattningsvis så kan det konstateras att det ämnet säkerhet ofta inte får det utrymme som behövs för att göra organisationen säker. Några anledningar verkar vara vanligare än andra när det kommer till att (inte) göra it-/informationssäkerhetsinvesteringar:

  • Internt motstånd hindrar säkerhet. Att det finns en bred motvilja för förändrade arbetsprocesser är ingen nyhet. I kombination med förändringsmotståndet så tycks det även finnas en kultur om att varken ämnet säkerhet eller CISO:n har någon självklar plats vid ledningsbordet. Det gör det ännu svårare att motivera investeringar och att föra säkerhetsstrategiska diskussioner med övriga beslutsfattare.
  • Säkerhet är bara en kostnad. Oftast betraktas informationssäkerhet bara från kostnadsperspektivet, samt att det är en begränsande faktor för övriga verksamheten. I praktiken blir det i princip att sätta upp det skydd som krävs enligt lag, men inte mycket mer. Övriga fördelar – kontroll på skugg-it, översikt över it-policyer, bättre säkerhetsförståelse – tas sällan med i beräkningen.
  • Kostnaden för säkerhet är svår att mäta. Som grund för att motivera säkerhetsinvesteringar så behövs prognoser och kalkyler som visar att investeringen lönar sig. Problemet är svårigheten; vad ska analyseras, vad kommer förändras, hur ska relevanta siffror definieras, vad kostar ett lyckat intrång?
  • Bränt bolag skyr elden. Övertygelsen om att investera i säkerhet ökar markant när lyckade intrång sker. En förstahandsupplevelse om hur förödande och kostsamma cyberanfall kan vara ger insikter som är mer övertygande än andra källor. Att prova sig fram med låg säkerhet kan vara en bra metod när det inte finns så stora risker, men om intrång gör att känslig information kapas eller att driften stoppas så springer kostnaderna snabbt iväg.

Borde det vara på det sättet? Knappast. Stegen för bättre säkerhet tampas alltid med bedragares steg att stjäla eller förstöra. För ju bättre säkerheten blir, desto bättre blir också skurkarna. Det innebär att organisationer som redan ligger efter med säkerheten över tid lider större och större större risk att utsättas för lyckade intrång. För att se fler exempel på forskning om it- och informationssäkerhet, se exempelvis någon av nedan artiklar:

  • Den här artikeln från 2021 tar upp motsvarande ämnen som ovan artiklar; ROI, ROSI och ett förslag om en standardiserad process för att utvärdera säkerhetslösningar.
  • En artikel från 2022 presenterar att lagkrav kräver vad som måste efterlevas, men inte hur. Författarna tar upp att nystiftade lagar även borde inkludera hur krav ska mötas.
  • 2020 publicerades en artikel som presenterar skillnader i medvetenhet om informationssäkerhet för enskilda individer. De jämför respondenter från 4 länder och analyserar likheter och skillnader, samt vilka implikationer som finns.
  • Den här artikeln från 2022 tar upp den drastiska ökningen av Internet-of-Things (IoT) och att tydliga risker finns associerade med det. Författarna föreslår att säkerhetslösningar bör baseras i artificell intelligens och maskininlärning.

EdgeGuides prioriteringar för it- och informationssäkerhet

De flesta tycker nog att informations- och it-säkerhet är viktigt. Allt eftersom tillvaron digitaliseras öppnas nya anfallsytor som kanske traditionellt sett inte varit utsatta för digitala hot som intrång och kapningar. Medvetenhet och diskussion om dessa är helt avgörande för att kunna, i bästa fall, vara snäppet före cyberbovarna. Och även om det vore bekvämt med en perfekt säkerhetslösningar så är det sällan så enkelt. Men det finns ändå några huvudområden som vi på EdgeGuide argumenterar har tyngre prioritet än andra. Det är som en utgångspunkt för de som funderar på att förbättra sin it-säkerhet utan att riktigt veta vad som är bäst att sätta tänderna i först.

Prioritera identitetshanteringen och -autentiseringen

Det första området handlar om identiteter; att användare kan på ett effektivt men säkert sätt autentisera sig för att komma in i organisationens interna system. Den kanske viktigaste och numera allra vanligaste delen för identitetsautentisering är Azure Active Directory, eller Azure AD.

Azure AD är en registertjänst från Microsoft som hanterar digitala identiteter, vare sig det gäller personer, applikationer, enheter eller organisationer. En vanlig association till identitet är ett namn. Och visst är namnet viktigt, men ännu viktigare är åtgärderna som användaren kan utföra, det vill säga vilka behörigheter och vilken åtkomst som finns knutet till namnet.

Identitet kan beskrivas som den digitala representationen av en användare. Och processen att hantera behörigheter, anslutningar och verktyg är fullt möjlig att sköta på mindre bolag med få anställda med begränsat antal system. Komplexiteten ökar dock snabbt ju fler identiteter som måste hanteras. Microsoft förespråkar en strukturerad livscykel för identitetshantering i ett övergripande register.

Microsofts livscykel för identitetshantering

Det första steget som Microsoft definierar i sin identitetslivscykel är att identifiera vilka auktoritära datakällor som finns. Exempelvis så kan ett hr-system betraktas som auktoritärt för namn och avdelning. Exchange Online, eller någon annan mejlserver, kan anses vara huvudkällan för e-post.

Steg två är att ansluta de auktoritära källorna i ett eller flera register, så som Azure AD. Jämför sedan registerna och ta bort eventuella överflödiga uppgifter/användare. Användarprofiler tillhörande före detta anställda kan finnas kvar på vissa ställen, och då behöver de tas bort.

Steg tre är att hitta sätt för register och de auktoritära källorna att kommunicera med registerlösa system. Det inkluderar att hitta databaser för de olika typerna av digitala profiler som annars inte har någon centraliserad lagringsplats, samt att etablera regler för när identiteter inte längre ska finnas kvar.

Sista steget är att ansluta register för att kommunicera sinsemellan. Då kommer identitetslistor kontinuerligt uppdateras med information från olika system, enligt vilka system som har prioritet över andra.

I praktiken så kan ovan steg användas för de vanliga processerna som gäller anställda. Anställdas identitetshantering brukar delas in i tre kategorier som är:

  • Ansluter. När en person börjar omfattas av identitetspolicyerna som skapats, exempelvis genom att fått anställning, att ha blivit kund, medlem eller leverantör, eller något annat. Om inte någon digital identitet finns så behöver den skapas.
  • Flyttar. När en identitetsprofil förändras. Exempel är att personen har omplacerats från en avdelning till en annan inom organisationen. När det händer så behöver den digitala identiteten uppdateras för att innefatta de korrekta rättigheterna och behörigheterna.
  • Lämnar. När en person inte längre vill eller ska omfattas av den digitala identiteten. Det kan gälla avslutade anställningar, utlöpta kontrakt och så vidare. När det här sker så måste register radera eller arkivera information enligt relevant lagstiftning och praxis.

Provisionering

Frågan om behörighetshantering har nära anknytning till ämnet provisionering. Provisionering är den automatiska processen då understående system skapar identitetsprofiler för att de skapats i ett överstående system. Ett exempel är att en nyanställd lagts in i hr-systemet och att Azure AD (som hämtar listan över anställda från hr-systemet) då skapar en ny identitet för att AD-listan ska matcha hr-listan.

Bild hämtad från Microsoft.

Deprovisionering är motsvarande process som ovan, fast handlar om att ta bort identiteter när de inte längre finns i ett överstående system. För att systemen ska ha uppdaterade listor så måste de synkroniseras.

Provisionering via Azure AD

I Azure AD så finns tre huvudkategorier av provisionering. Det är att hämta identitetslistor från ett hr-system, att skicka identitetslistor till applikationer, samt att skicka identitetslistor mellan Active Directory och Azure Active Directory.

En lämplig uppsättning innebär alltså först att en ny användaridentitet skapas i hr-systemet – till exempel vid en nyanställning. Den informationen kommer då att skickas till Azure AD (och AD om tillämpligt). Azure AD kommer sedan, beroende på inställningar så som titel och avdelning, att uppdatera applikationslistor med den nya identiteten för att personen ska få tillgång till de system och applikationer som behövs. Om personen slutar och tas bort från hr-systemet så kommer Azure AD att blockera tillgången för den identiteten till applikationerna.

Prioritera klient- och enhetssäkerheten

En annan hörnsten i säkerhetspusslet är klientsäkerheten samt enhetshanteringen. Det syftar alltså till de åtgärder som finns för att kontrollera, styra, autentisera och säkra de enheter som de anställda använder. Eftersom åtkomsten till organisationsdata inte bara kommer från ett kontorsspecifikt nätverk så blir i princip varje telefon, dator och surfplatta potentiella ingångar till organisationens system och dokument.

Flera underdimensioner behöver övervägas till följd av den expanderande sfären över vad som är arbetsplatser. Delvis så behöver kontrollmöjligheterna som organisationen har över enheter övervägas; att enheter kan låsas eller återställas på distans om till exempel en dator skulle bli stulen eller borttappad. Även vilka applikationer, lokala filer och webbplatser som enheterna kan nyttja är potentiellt relevant att begränsa, så att inte medvetna eller omedvetna handlingar gör att enheten infekteras eller kapas. Högst relevant är även skugg-it, på engelska shadow IT, vilket innebär nyttjandet av andra system eller applikationer än de som köpts in. Skugg-it är ett stort problem som minskar översikten och kontrollen som it-avdelningen har. Det begränsar också de skyddsåtgärder som finns att ta till, samt att det ger icke upphandlade tjänster tillgång till organisationsdata.

Microsofts Endpoint-verktyg

För att komma i gång med ändpunktssäkerhet så är Microsoft Intune den vanligaste utgångspunkten. Intune ingår i Microsofts applikationssvit Enterprise Mobility + Security, läs mer här. I Intune så registreras ändpunktsenheter som kan kopplas till Azure AD, vilket på så sätt ger möjlighet att kontrollera vilken identitet/enhet som har vilken åtkomst. Från Intune-listan över användare och enheter kan sedan policyer sättas upp som styr vad som ska gälla för enheten/användaren gällande exempelvis autentisering, kryptering, vilka applikationer som kan användas/installeras och mer.

Image that shows the levels of app management data security

Bild hämtad från Microsoft.

Intune fungerar med både organisationsägda enheter samt personliga enheter som används i arbetssyfte. När organisationen äger enheter så kan Intune styra allt som sker. Men om det är en personlig enhet så går det att från Intune i stället aktivera vissa kompletterande autentiseringsåtgärder när försök att nå organisationsdata görs från enheten. Andra applikationsrelaterade åtgärder kan också aktiveras, så som att ange i vilken utsträckning som mejl eller filer kan hanteras lokalt på enheten.

För organisationer som exempelvis inte har enterprise-licenser så erbjuder Microsoft även verktyget som kallas Microsoft Defender for Endpoint. Det är en klientsäkerhetslösning som inte är lika flexibel eller omfattande som Microsoft Endpoint Manager (som är verktyget som används i kombination med Intune), men som ändå möjliggör enhetsskydd via brandväggar, antivirus och incidentåtgärder.

När enheter finns i Intune så är det mest effektiva att aktivera policyer på gruppbasis. Då blir det enhetligt och enkelt att ange åtgärder när användare kopplade till enheterna tillkommer eller ska tas bort.

Prioritera insiderhot

Hot från insidan handlar inte bara om personer som vill sabotera för organisationen, även om det kan vara en spontan association. Tvärtom så är det vanligaste faktiskt att riskfyllda beteenden grundas från en god avsikt. Men det betraktas fortfarande som ett hot från insidan – vare sig om utgångspunkten är illvillig eller ej. En artikel länkad av Microsoft rapporterar att 84 % av insiderhotexperter upplevt över 5 icke-illvilliga säkerhetsincidenter, och 69 % rapporterade att ha upplevt över 5 incidenter med uppsåt. Dessutom uppgav över 10 % av respondenterna att de stött på fler än 100 av respektive incidenttyp.

Ett exempel på en risk utan uppsåt är medarbetare som sparar sina arbetsrelaterade dokument på privata hårddiskar eller i privat molnlagring. Avsikten kan vara att säkerhetskopiera informationen för att inte förlora den, eller kanske för att förenkla åtkomsten och lättare kunna arbeta på resande fot. Tanken kan som sagt vara god, men frågan är vad som händer när den personen byter jobb. Eller att organisationsdata inte längre omfattas av den säkerhet som är etablerad internt, vilket gör att dokumenten lättare kan kapas eller infekteras. Eller då den privata lagringsenheten tappas bort eller blir stulen. Poängen är att det är en risk för organisationen, och att rutiner måste finnas för att förhindra den typen av handlingar.

Risker med uppsåt kan syfta till handlingar med avsikten att direkt eller indirekt skada organisationen. Det gäller därför att på rimliga sätt begränsa möjligheten att kunna skicka till exempel känsliga dokument, så att det inte hindrar dagliga arbetet men ändå så att det hindrar illvilliga handlingar. Utan begränsningar så kan följderna bli kostsamma, exempelvis genom dataläckage, brusten sekretess, bristande efterlevnad, bedrägerier och utpressning.

Säkra bolagsinformation med Microsoft-verktyg

Microsoft Purview och Microsoft Sentinel är två säkerhetsplattformar som Microsoft tillhandahåller. Där finns övervakande funktioner som kartlägger bland annat misstänkt aktivitet för olika användare. Det kan dels bidra med en indikation mot vilka användare som är mer benägna att genomföra riskfyllda åtgärder, men även för att genomföra åtgärder. Det finns här tydliga kopplingar till enhetssäkerheten som diskuterades ovan eftersom både åtgärder och syften överlappar.

Microsoft Purview Insider Risk Management

Som en del av Microsofts compliance-plattform Purview så finns delen som kallas Insider Risk Management, vilket ofta förkortas IRM – även utanför Microsoft-kontexten. I övriga Microsoft Purview, som tidigare gick under namnet Compliance Center, så finns en mängd möjligheter att försäkra organisationens och de anställdas efterlevnad. Det går att sätta upp policyer om dataklassificering, datalagring och mer. Och som en nära anknuten del finns alltså även Insider Risk Management-verktyget som fokuserar på hot inifrån organisationen. Bilden nedan visar strategin för hur insiderhot bemöts och åtgärdas.

Bild hämtad från Microsoft.

I Microsoft Purview Insider Risk Management-plattformen så hanteras alltså olika hot genom att definiera risker samt hur de identifieras. Sedan kan de anställda följas över tid, för just de identifierade punkterna. Aviseringar kan sättas upp för mer allvarliga risker och när det är nödvändigt så eskaleras incidenter eller beteenden.

När en incident eller misstanke eskaleras så prioriteras de först i triage-fasen. De med högst prioritet utreds då i en specialgrupp där ärendespecifika avdelningar också kan vara med, till exempel hr eller säkerhetsavdelningen. Beroende på vad utredningen kommer fram till så kan sedan olika typer av åtgärder krävas.

User and Entity Behavior Analytics (UEBA) i Microsoft Sentinel

UEBA har i flera år varit ett etablerat koncept. Bland annat Gartner har skrivit om UEBA-lösningar, men har sedan 2021 övergått till förkortningen IRM. Microsoft använder både UEBA och IRM, men båda syftar till samma sak – alltså översikts- och analysverktyg som hjälper till att upptäcka insiderhot baserat på interna användares mönster och beteenden.

I Microsoft Sentinel, som förut hette Azure Sentinel, finns specialiserad metodik som behandlar användardata för att identifiera hot inom organisationen. Microsoft Sentinels UEBA-arkitektur presenteras på bilden här under.

Bild hämtad från Microsoft.

Sentinels UEBA-lösning samlar alltså in data från alla anslutna källor, filtrerar alla data och mappar sedan informationen till respektive användare. Användarprofilerna analyseras sedan utifrån anfallsmönster som finns i kunskapsdatabasen MITRE ATT&CK. Läs mer om MITRE ATT&CK på den officiella sidan här. Det blir därför en tydlig tratt där enbart de incidenter som uppvisar avvikande eller misstänkt beteende behöver utvärderas närmare, vilket även korreleras med kända mönster vid intrång och anfall.

Slutsats och sammanfattning

Så vilka slutsatser finns att dra efter allt detta? Ja, som förhoppningsvis blivit tydligt i den här artikeln så finns det många perspektiv, många risker och många intressen. Det kan vara svårt att hitta trådar att börja dra i, men väntan utsätter bara organisationen för risk.

Låt ROSI uppmuntra förändring

En ROSI-kalkyl är kanske svår att genomföra på ett pricksäkert sätt. Men se det som en trigger för att göra en investering, och följ hur investeringen står sig över tid. Säkerhet är värt mycket – om inte annat bara för tryggheten det ger. En vanlig fälla är att fastna i vad säkerhetslösningar begränsar och vad de kostar (jämfört med vad de sparar). Många som råkat ut för kostsamma anfall har den hårda vägen lärt sig att säkerhet är en av de mest fundamentala stöttepelarna för en effektiv organisation.

Ett första steg kanske dock är att få den interna dialogen runt säkerhet att ändras. Att minska motståndet genom att involvera ledningen i diskussionen, och omvandla slutsatser till policyer för alla användare. Det handlar om att minska det abstrakta och begränsande runt säkerhet samt att visa på fördelarna som finns. Alla inblandade måste inse varför säkerhetslösningen är vad den är och gör vad den gör.

Lagstiftningens långsamma maskineri

Nya lagar kommer ofta som reaktioner på situationer eller incidenter. Därför kan lagkrav betraktas ligga ständigt ett steg efter, så att enbart hålla organisationens säkerhet i enlighet med lagkrav är antagligen en mindre säker metod.

Lagefterlevnad är ett minimum, men säkerhetsmässigt så är det knappast nog. Att däremot titta på branschstandarder och officiella, nationella strategier om cybersäkerhet kan vara ett sätt att få ett hum om åtgärder som är lämpliga.

Fokusera på användarna

I alla tre prioriteringar som EdgeGuide ger, men även i flera fall från forskningsartiklarna, så står användarna i fokus. På ett eller annat sätt. Utgå från vilka applikationer de har, vilka enheter de använder, vilka rutiner som finns.

  • Multifaktorautentisering borde vara en enkel sak att aktivera som inte påverkar många negativt. Dessutom gör det stor skillnad för organisationens säkerhet.
  • Att börja med Intune för att säkerställa att bara godkända programvaror används är ett annat steg. Det kan innebära ett stort projekt, men skyddet och kontrollen som ges är svår att matcha.
  • Dataklassificering är något som involverar användare, sprider medvetenhet samt ökar säkerheten. Det är något som många organisationer kan börja med utan att det kräver enorma investeringar.

Magnus Roos

Magnus är marknadsförare och content writer på EdgeGuide. Har du frågor eller kommentarer om något du läst? Skicka gärna ett mejl eller kontakta via LinkedIn.