Outsourcing är ett vanligt sätt att förbättra den tekniska plattformen och få tillgång till expertis för IT-behov i alla branscher. Det hjälper också till att sänka kostnaderna. Men eftersom det finns vissa säkerhetsrisker kopplade till outsourcing, finns det några viktiga saker att tänka på.
Säker supply chain
Eftersom företag inom IT allt oftare förlitar sig på extern programvara och tjänsteleverantörer, blir leveranskedjans motståndskraft kritisk. Leveranskedjan kan många gånger bilda komplexa nätverk av sammankopplade system och produkter på flera nivåer, där olika systemleverantörer är länkade till flera kunder och även till varandra. En attack mot bara ett av dessa system kan ha en direkt förgrening till ett stort antal företag. Om man tar i beaktande att många företag och IT-leverantörer idag är internationella, sprids effekterna från att vara en lokal och begränsad incident till att bli global på ett ögonblick.
All programvara, oavsett om det är ett operativsystem eller en affärsapplikation, kräver uppdateringar för att implementera nya funktioner, åtgärda fel eller korrigera kritiska sårbarheter. Dessa uppdateringar laddas ner från leverantören eller från någon annan betrodd extern part via internet. I vissa fall också via bärbara medier för att minska risken för att informationen manipuleras av en extern hotaktör. Vid nerladdning av programvaruuppdateringar är det god säkerhetspraxis att endast använda betrodda källor och verifiera integriteten i uppdateringarna genom att kontrollera för varje nedladdat paket att programvarans checksumma överensstämmer med checksumman som leverantören informerat om.
Men vad händer om någon manipulerar paketet genom att injicera annan programkod, som en bakdörr, ransomware eller annat skadligt innehåll i paketet, antingen hos programvaruleverantören eller i ett mellanled mellan leverantör och slutkund? För företag som använder eller tillhandahåller ett sådant programvarupaket till sina kunder verkar programvarupaketets integritet vara OK och innehållet pålitligt.
Viktiga steg för säker outsourcing
När man använder sig av underleverantörer måste man ha med säkerhetskraven som en given del i avtalet. För vet du hur framtidssäkrad den lösning du väljer att investera i faktiskt är? Vems är ansvaret om din lösning om några år blir hackad? Vems är egentligen det digitala ansvaret?
Det första steget är att se till att din organisation är i ordning, vilket inkluderar kontroll av din säkerhetspolicy. Policyn bör innehålla dataklassificering som hanterar data av olika klassificeringsgrad och den bör också innehålla tydliga processer och riktlinjer.
Att välja rätt outsourcing-leverantör är naturligtvis mycket viktigt. Välj en leverantör som har och följer en strikt säkerhetspolicy och som har säkerhetsregler som skyddar data mot kopiering till bärbara enheter eller till andra aktörer i ”molnet”. Se även till att din leverantör följer dina integritets- och immateriella rättigheter. För att garantera att din informationssäkerhetslösning är framtidsförsäkrad är det därför viktigt att du säkerställer att din leverantör har ett arbetssätt som innebär att de tar sig an åtagandet att fortsätta vara digitalt ansvariga. Tillhandahåller de säkerhetsuppdateringar under hela produktens/tjänstens livslängd? Gör de regelbundna hot- och säkerhetsanalyser? Kan de ge dig en framtidsförsäkring? Det här är viktiga frågor som du bör ställa till din leverantör.
Det är också bättre att välja en leverantör som använder sig av strikt separering mellan kunder eftersom det kommer att hjälpa till att skydda din data. Andra saker att kontrollera är om din leverantör har ett bra anseende i branschen? Utbildar de medarbetarna i hur de ska hantera och skydda känslig information? Har de ett systematiskt tillvägagångssätt? Kan de ge dig bevis på det?
För att säkerställa fortsatt säker outsourcing måste du utföra regelbundna applikations- /databassäkerhetsrevisioner, nätverkssäkerhetsrevisioner och kontrollera att förebyggande tekniker används hela tiden (du behöver bevis för att de har använts).
Outsourcing av VPN-administration
En aspekt som ofta förbises vid outsourcing är risken att låta en leverantör hantera personlig information eller annan känslig information.
En VPN-anslutning (Virtual Private Network) används ofta för att säkerställa att ingen kan avlyssna information som skickas över det öpnna nätverket. VPN-enheterna skyddar information och säkerställer integritet genom användning av kryptografiska funktioner i kombination med tunnelprotokoll.
Men många administrationslösningar för VPN har brister i sekretess och konfidentialitet. De personer som administrerar VPN-enheter har ofta indirekt tillgång till känslig information. Det betyder att oavsett var IT-systemet hanteras kan obehöriga människor medvetet eller omedvetet få tillgång till känslig information.
Three Domain Separation
Lös problemet genom att begränsa eller helt förhindra att administratören får åtkomst till information. Istället för att bara förlita sig på NDA: s och avtal kan du undvika risk ”genom design” och förhindra att tredje part kan ha tillgång till information som de inte är behöriga att hantera.
Advenicas patenterade lösning, Three Domain Separation, symboliserar ett paradigmskifte inom VPN-administration. Det är den enda teknologin som eliminerar hotet för att känslig information ska avslöjas av en VPN-administratör eller en så kallad Managed Security Service Provider (MSSP). Det är en banbrytande innovation som förhindrar IT-administratörer från att komma åt känslig information.
Vill du läsa mer om Three Domain Separation? Besök produktsidan eller ladda ner vårt Whitepaper #01 SecuriVPN – Three Domain Separation!
Är du intresserad av mer information om säker fjärråtkomst via RDP? Det hittar du här!
