Sikkerhed i den hybride arbejdsæra:
Er jeres organisation forberedt på nye risici?

Indtil 2020 gjorde den personlige interaktion med medarbejderne det nemmere for IT-teams at løse problemer, og processen var faktisk typisk baseret på den. Hvis medarbejderne arbejdede uden for kontoret, gav infrastrukturen medarbejderne mulighed for at få adgang til interne systemer via et VPN, og det var typisk hurtigt og sikkert. Da pandemien ramte, blev arbejdsvanerne fuldstændig forandret og med dem også IT-landskabet. Afdelinger var pludselig nødt til at tilpasse sig en række nye sikkerhedsudfordringer, som de ikke havde forventet.

Fra et praktisk synspunkt blev adgang pludselig en stor udfordring. Selv om hybrid- og fjernarbejde ikke er et nyt fænomen, var VPN-adgang beregnet til et lille antal personer, der arbejder hjemmefra, og ikke designet til at klare, at alle arbejder uden for kontoret. Den pludselige og vedvarende stigning i brugere, der ønskede at oprette forbindelse til VPN, medførte overdreven tilmelding, og det overbelastede VPN-headenden.

Derudover kunne problemløsning ikke længere udføres personligt, hvilket skabte problemer med at validere identiteten af den person, IT kommunikerede med. Dette førte til en stigning i social engineering-angreb, hvor cyberkriminelle efterlignede identiteten af legitime kilder. Verizon angav faktisk denne slags angreb som de mest almindelige ondsindede angreb i deres 2021-rapport.

Et andet problem var den større sandsynlighed for skygge-IT blandt en ekstern arbejdsstyrke. Hvis halvdelen af arbejdsstyrken er hjemme, bliver det sværere at forhindre medarbejdere i at bruge deres hjemmeenheder og programmer i stedet for dem, der er godkendt af deres organisation, blot fordi de er vant til det. Officielle BYOD-programmer (Bring Your Own Device) på kontoret er formaliseret og kræver, at medarbejderne følger specifikke vilkår for anvendelse. Men det er sværere at opretholde disse fremgangsmåder hos hjemmearbejdere, der ofte opfatter kontorpolitikker som ikke-gældende i hjemmemiljøerne.

Disse bekymringer forsvinder ikke. Den pludselige indførelse af fjernarbejde har udviklet sig til en permanent ramme for hybridarbejde. Det er derfor vigtigt, at IT-teams også tilpasser sig, og at de tilgår hvert nyt arbejdsmiljø individuelt og som helhed for at sikre en fleksibel og agil sikkerhedsreaktion.

Ifølge vores seneste undersøgelse siger 77 % af IT-beslutningstagerne, at medarbejderne holder op med at følge sikkerhedsprocedurerne, når de ikke er på stedet, selvom organisationer allerede har en officiel hybrid arbejdspolitik. Hvis IT-teams skal have fuld kontrol over sikkerheden, er det vigtigt at opstille meget specifikke politikker for arbejdsadfærd uden for kontoret, fra enhedssikkerhed til programdownloads; fra tilslutning til netværk til sikker bortskaffelse af printdokumenter med makulatorer – det bør ikke bare være op til medarbejderens egen vurdering.

Undersøgelser viser, at medarbejderne kan misforstå, hvor reglerne gælder, og hvorfor det er vigtigt, er den bedste måde at levere disse på via obligatoriske webinarer, som understreger det ansvar medarbejderne har, når de arbejder fra hvor som helst. Uanset om de har modtaget træning eller ej, er medarbejderne stadig sårbare over for forsætlige ondsindede angreb, og derfor bør jeres organisation overveje at investere i ordentlig uddannelse og sikkerhedstræning for at forhindre medarbejdere i at blive udsat for svindel som phishing.

Antallet af kontorfællesskaber og fællesarealer vokser som et fleksibelt og billigere alternativ til det ejede rum. Det er dog vigtigt at være meget opmærksom på sikkerhedspolitikkerne og vilkår og betingelser ud over blot omkostnings- og facilitetsperspektivet, når I finder et kontorfællesskab. Mange organisationer tror måske, at kontorfællesskaber er ansvarlige for sikkerheden på deres område, men virkeligheden er, at stedet kan have skrevet med småt, at de ikke har noget ansvar.

Stil spørgsmål for at sikre, at kontorfællesskaber opfylder de samme sikkerhedsniveauer og -forventninger som jeres egen virksomheds politikker: Hvordan er deres fysiske sikkerhed? Kan nogen bare gå ind? Hvad er vilkårene for datatab eller -brud? Hvem anses for at være ansvarlig, hvis de opstår? Hvad er sikkerhedspolitikkerne med hensyn til print? Kan nogen få adgang til dokumenter?

Det er vigtigt, at medarbejderne forstår de sikkerhedstrusler, der er forbundet med at arbejde på farten. Delt Wi-Fi i kaffebarer kan f.eks. tilgås af alle, så det er vigtigt, at medarbejderne kun får adgang til virksomhedens dokumenter via VPN for at opretholde sikkerheden. Derudover kan det være nemt for medarbejderne fysisk at eksponere oplysninger for andre ved at forlade deres bærbare computer for at hente en kop kaffe eller blot sidde foran en person i et tog. Hvis jeres arbejdsstyrke typisk rejser i forretningsøjemed, bør IT-beslutningstagere som det mindste overveje enkle løsninger, f.eks. skærmfiltre til enheder.

Organisationer bør også forstå, at folk ikke er perfekte – det er bestemt ikke ualmindeligt at miste en virksomhedstelefon eller efterlade en bærbar computer på toget. Med dette i tankerne er forholdsregler en god idé. Overvej at introducere BitLocker, før en bruger kan få adgang til operativsystemet, krypterede harddiske og muligheden for at sende et signal til en mobil enhed og slette det for at forhindre nogen i at få adgang til virksomhedsoplysninger.

Organisationer over hele verden har været nødt til at implementere fjernarbejde og hybridarbejde hurtigere, end de havde forventet. Derfor har IT-teams været nødt til at arbejde utroligt hårdt blot for at sikre, at virksomheden kunne fortsætte med at køre eksternt. Nu, hvor støvet lægger sig, bør sikkerheden være et topfokus. Med så mange nye potentielle sikkerhedstrusselskilder i et distribueret arbejdsmiljø vil alle organisationer drage fordel af at gennemgå sikkerhedsprotokoller og -politikker. Især med så mange forandringer, der påvirker medarbejdernes arbejdsliv, er det vigtigt at forstå, at de måske ikke er klar over, hvordan det vil påvirke sikkerhedspraksis eller forstå, hvordan deres egen adfærd må ændres. Med den viden, der er på plads, samt streng medarbejderuddannelse kan jeres organisation få mest muligt ud af hybridarbejde uden at udsætte jeres sikkerhed for fare.