Så arbetar jag med IT-säkerhet för företag utan att göra det krångligt

När man hör ordet IT-säkerhet tänker många direkt på attacker, avancerade verktyg och svåra tekniska ord. Jag förstår det. Säkerhet kan lätt låta större och krångligare än det behöver vara.

Men för mig börjar bra IT-säkerhet mycket enklare än så.

Det börjar med ordning, tydlighet och bra vanor.

Jag tycker inte att säkerhet ska kännas som något mystiskt vid sidan av allt annat. Jag tycker att det ska vara en naturlig del av hur man arbetar med datorer, nätverk, användare och system varje dag. När det görs rätt blir det inte onödigt tungt. Det blir snarare lugnare, tydligare och tryggare för verksamheten.

Jag börjar med att förstå vad som faktiskt behöver skyddas

Det första jag vill veta är inte vilka säkerhetsverktyg kunden redan har. Det första jag vill veta är vad som är viktigast att skydda.

Vilka system är mest kritiska? Vilken information är känslig? Vad skulle ställa till mest problem om det blev otillgängligt, felaktigt eller hamnade i orätta händer? Hur arbetar personalen? Hur ser inloggningar, fjärrarbete och lagring ut idag?

Det här steget är viktigt, för säkerhet ska inte bygga på gissningar. Om man vet vad som är viktigast blir det också lättare att lägga rätt nivå på skyddet.

Alla företag behöver inte samma sak. Men alla behöver tänka igenom vad som faktiskt är viktigt på riktigt.

Jag börjar ofta med grunden, inte med det mest avancerade

Det finns mycket inom IT-säkerhet som är tekniskt avancerat. Men i många miljöer ligger de största förbättringarna i ganska grundläggande saker.

Det kan handla om:

att gamla konton stängs av

att användare inte har mer behörighet än de behöver

att datorer och servrar hålls uppdaterade

att backup verkligen fungerar

att inloggningar skyddas bättre

att nätverket är tydligare uppdelat

att det finns ordning i dokumentationen

Jag tycker om att börja där, för det ger ofta verklig effekt direkt. Det är inte alltid det mest spektakulära arbetet, men det är ofta det mest värdefulla.

Jag vill göra säkerhet begriplig

En sak jag tycker är viktig är att säkerhetsarbete ska gå att förstå.

Jag vill inte bara säga att något måste göras. Jag vill kunna förklara varför. Om ett företag ska börja använda tvåfaktorsinloggning vill jag att de ska förstå vad det skyddar mot. Om jag föreslår bättre behörighetsstyrning vill jag att de ska förstå varför det minskar risk. Om jag vill stänga gamla konton eller ändra rutiner vill jag att det ska kännas rimligt, inte bara som ännu en teknisk regel.

När människor förstår varför något görs blir det också lättare att få det att fungera i vardagen.

Jag ser över konton, behörigheter och åtkomst

Många säkerhetsproblem börjar inte med avancerade attacker. De börjar med för bred åtkomst, gamla konton eller otydliga rättigheter.

Därför ser jag gärna över:

vilka konton som finns

vilka som fortfarande används

vem som har administratörsrättigheter

vilka mappar, system och tjänster olika roller ska komma åt

Jag tycker om tydliga rättigheter. En användare ska kunna göra sitt jobb, men inte ha mer åtkomst än det kräver. Det gör miljön både säkrare och lättare att förstå.

Jag försöker också skilja på vanliga användarkonton och administrativa konton. Det ger bättre kontroll och minskar risken att fel konto används i fel situation.

Jag gillar säkerhet som inte stör mer än den hjälper

Bra säkerhet ska skydda verksamheten, men den ska också fungera i vardagen. Jag försöker därför hitta lösningar som ger tydligt skydd utan att göra arbetet onödigt tungt.

Tvåfaktorsinloggning är ett bra exempel. Det innebär en extra kontroll vid inloggning, men den lilla extra sekunden är oftast väl värd det. Särskilt när det gäller e-post, fjärråtkomst, Microsoft 365, VPN och konton med högre behörighet.

För mig är det viktigt att säkerhetsåtgärder känns rimliga. Annars finns det alltid en risk att de börjar kringgås i praktiken.

Jag tänker på säkerhet i nätverket också

IT-säkerhet handlar inte bara om lösenord och konton. Det handlar också om hur nätverket är uppbyggt.

Jag vill inte att allt ska ligga i samma nät om det går att undvika. Det är ofta klokt att dela upp miljön så att till exempel klientdatorer, servrar, skrivare, gäster och administrativa system inte blandas mer än nödvändigt.

Det gör att ett problem i en del av nätverket inte automatiskt påverkar allt annat. Det gör också att det blir enklare att styra trafik, upptäcka avvikelser och felsöka.

Brandväggen är också viktig här. Jag vill att den ska vara genomtänkt, inte bara finnas. Det ska vara tydligt vad som är öppet, varför det är öppet och vem som faktiskt behöver åtkomst.

Backup är också säkerhet

Jag tycker att backup ibland glöms bort i säkerhetssamtal, trots att det är en av de viktigaste delarna.

Om något går fel behöver man kunna komma tillbaka. Det kan vara ett misstag, en trasig disk, ett ransomware-angrepp eller bara mänsklig stress i fel stund. Oavsett vad som händer är backup en del av tryggheten.

För mig räcker det inte att säga att backup finns. Jag vill gärna veta:

vad som backas upp

hur ofta det sker

var backupen lagras

hur länge den sparas

om återställning faktiskt har testats

Det sista är viktigt. En backup som aldrig har testats är inte riktigt bevisad ännu.

Jag tycker om att förebygga i stället för att bara reagera

Säkerhetsarbete blir mycket bättre när det inte bara börjar efter en incident. Jag vill hellre arbeta förebyggande.

Det kan betyda att jag ser över loggar, följer upp varningar, håller miljön uppdaterad, ser till att gamla lösningar fasas ut, gör mindre förbättringar innan något blivit akut och följer upp sådant som känns otydligt.

Målet är inte att skapa oro. Målet är att skapa lugn.

Jag vill att kunden ska känna att säkerhet inte bara är något man tänker på när något redan har hänt. Det ska vara en naturlig del av ett välskött IT-arbete.

Jag tycker att personalen är en viktig del av säkerheten

Tekniken är viktig, men människor är också en stor del av säkerheten.

Det betyder inte att jag tycker att man ska skuldbelägga användare. Tvärtom. Jag tycker att man ska hjälpa människor att göra rätt på ett enkelt sätt. Om personalen vet hur ett bluffmejl kan se ut, varför vissa länkar är riskabla och vad de ska göra om något känns fel, då blir hela verksamheten starkare.

Bra säkerhet handlar därför också om tydlig kommunikation. Inte långa föreläsningar som ingen minns, utan raka råd som går att använda i vardagen.

Jag vill att det ska finnas en plan om något händer

Hur bra man än arbetar går det inte att lova att inget någonsin händer. Därför tycker jag att det är viktigt att det finns en plan.

Vem kontaktar man om något verkar fel? Vad gör man om ett konto verkar kapat? Hur hanteras en dator som beter sig märkligt? Vad återställs först om något allvarligt händer?

Det behöver inte vara komplicerat. Men det behöver vara tydligt.

När det finns en plan blir det lättare att agera lugnt och rätt om något väl inträffar.

Dokumentation gör säkerhetsarbetet starkare

Jag återkommer ofta till dokumentation, för jag tycker att det är en viktig del av kvaliteten även här.

Jag vill att det ska gå att förstå vilka system som finns, hur åtkomst fungerar, vilka säkerhetsåtgärder som är på plats, hur backup ser ut och vad som behöver följas upp. Det gör miljön mindre sårbar och enklare att arbeta vidare med.

Säkerhet blir mycket bättre när den inte bara sitter i huvudet på en person.

Mitt mål är att göra säkerhet tydlig, lugn och användbar

När jag arbetar med IT-säkerhet vill jag inte göra det större än det behöver vara. Jag vill göra det tydligt, praktiskt och användbart.

Jag vill hjälpa företag att få bättre ordning, säkrare arbetssätt och starkare skydd utan att allt känns onödigt komplicerat. För mig är det ett bra tecken när kunden känner att säkerheten har blivit bättre samtidigt som vardagen känns lugnare.

Det är så jag vill arbeta med IT-säkerhet för företag.

Inte genom att göra det krångligt, utan genom att göra det genomtänkt.