Säkerhet i hybrida arbetsmiljöer:
Är din organisation förberedd för nya risker?

Fram till 2020 kunde IT-teamen ta hjälp av personlig interaktion med anställda för att lösa problem, och det var i regel en nödvändig del av processen. Om anställda arbetade utanför kontoret kunde medarbetarna oftast få snabb och säker åtkomst till interna system via ett VPN-nätverk. När pandemin slog till förändrades arbetsvanorna helt och med detta även IT-landskapet. Avdelningarna fick plötsligt anpassa sig till en rad nya och helt oväntade säkerhetsutmaningar.

Ur ett praktiskt perspektiv blev åtkomsten plötsligt en stor utmaning. Även om hybrid- och distansarbete inte är något nytt var VPN-åtkomst avsett för ett fåtal personer som arbetade hemifrån, och inte för ett läge där hela personalstyrkan arbetar utanför kontoret. Den plötsliga och ihållande ökningen av antalet användare som ville ansluta ledde till överbelastning och högt tryck på VPN-nätverkets huvudcentral.

Samtidigt kunde man inte längre träffas personligen för problemlösning, vilket gjorde det svårt att bekräfta identiteten på den person som IT-arbetarna kommunicerade med. Det ledde till en dramatisk ökning av antalet attacker genom social manipulering där cyberbrottslingar utgav sig för att vara medarbetare. I sin rapport för 2021 uppgav Verizon att just den här typen av attack var den vanligaste intrångsattacken.

Ett annat problem var den större sannolikheten för skugg-IT bland distansarbetarna. Om hälften av medarbetarna arbetar hemifrån blir det svårare att förhindra att personalen använder sina privata enheter och program istället för dem som godkänts av organisationen, helt enkelt för att de är mer bekanta med dem. Officiella program för BYOD (Bring Your Own Device) på kontoret är formaliserade och ställer krav på att anställda följer specifika användningsvillkor. Men sådana rutiner är svårare att upprätthålla för hemarbetare som kanske inte förstår att kontorets regler gäller även i hemmet.

Dessa problem är inte på väg att försvinna. Det plötsliga införandet av distansarbete har utvecklats till ett permanent ramverk för hybridarbete. Det är därför avgörande att även IT-teamen anpassar sig och hanterar varje ny arbetsmiljö både separat och som helhet för att säkerställa flexibel och smidig säkerhet.

I vår senaste undersökning uppgav 77 % av IT-beslutsfattarna att de anställda slutar följa gällande säkerhetsrutiner när de arbetar utanför kontoret, även om organisationen redan har en officiell policy för hybridarbete. Om IT-team ska ha full kontroll över säkerheten är det ytterst viktigt att man ställer upp mycket specifika policyer för arbetsrelaterade beteenden utanför kontoret, från enhetssäkerhet till programhämtningar, och från hur man ansluter till nätverk till hur man bortskaffar utskrivna dokument med dokumentförstörare. Detta är inte något som bör lämnas till varje medarbetares omdöme.

Forskning visar att anställda kan missförstå var reglerna gäller och varför det är viktigt att följa dem. Det bästa sättet att informera om dem är genom obligatoriska webbseminarier där man betonar medarbetarnas eget ansvar när de arbetar utanför kontoret. Oavsett om anställda får fortbildning eller inte är de sårbara för skadliga attacker, så organisationen bör överväga att investera i lämplig utbildning för att förhindra att de anställda drabbas av bedrägerier som nätfiske.

Coworking-utrymmen blir allt vanligare. Det är ett flexibelt och billigare alternativ till egna utrymmen. Men vid valet av coworking-utrymme är det oerhört viktigt att noga granska villkor och policyer för säkerhet, och inte bara ta hänsyn till kostnad och faciliteter. Många organisationer tror kanske att coworking utrymmen ansvarar för säkerheten i deras lokaler, men av det finstilta kan det framgå att detta inte är något de tar ansvar för.

Ställ frågor för att säkerställa att de gemensamma arbetsplatserna uppfyller samma säkerhetsnivåer och förväntningar som företagets egna policyer: Hur är den fysiska säkerheten? Kan vem som helst bara gå in? Vilka villkor gäller för dataförlust eller dataintrång? Vem anses vara ansvarig om detta inträffar? Vad finns det för säkerhetspolicyer när det gäller utskrift? Kan vem som helst komma åt dokument?

Det är viktigt att de anställda förstår säkerhetshoten i samband med arbete på språng. Vem som helst kan till exempel koppla upp sig på ett delat Wi-Fi-nätverk på ett café, så för att upprätthålla säkerheten är det viktigt att anställda endast får åtkomst till företagsdokument via VPN. Det är även lätt hänt att medarbetarna exponerar information fysiskt för andra, genom att lämna sin bärbara dator för att ta en kaffe eller helt enkelt sitta framför någon på tåget. Om medarbetarna brukar resa i arbetet bör IT-ansvariga åtminstone överväga enkla lösningar som sekretessfilter för enheter.

Organisationer bör även inse att ingen är perfekt – det är inget ovanligt att tappa bort telefonen eller råka glömma datorn på tåget. Med detta i åtanke är försiktighetsåtgärder en god idé. Överväg att införa BitLocker innan en användare kan få åtkomst till operativsystemet, krypterade hårddiskar och möjligheten att skicka en signal till en mobil enhet och rensa den för att förhindra att någon får åtkomst till företagsinformation.

Organisationer över hela världen har tvingats införa distansarbete och hybridarbete snabbare än de hade förväntat sig. Det har gjort att IT-teamen har fått jobba otroligt hårt bara för att hålla igång verksamheten på distans. Nu när situationen har lugnat sig bör säkerheten vara i fokus. Med tanke på alla nya potentiella källor till säkerhetshot på en utspridd arbetsplats skulle alla organisationer ha fördel av att granska säkerhetsprotokoll och -policyer. Med så stora förändringar av de anställdas arbetsliv är det särskilt viktigt att förstå att medarbetarna kanske inte är medvetna om hur detta bör påverka säkerhetsrutinerna eller förstår hur deras eget beteende behöver förändras. Med denna kunskap på plats, kombinerat med noggrann personalutbildning, kan organisationen få ut mesta möjliga av hybridarbete utan att äventyra säkerheten.