Så säkrar du bäst hemarbetsplatsen

5. Stark autentisering

Autentisering som koncept svarade tidigare endast på frågorna ”Vem är du?” och ”Hur kan du bevisa att du är den du utger dig att vara?”. I distansarbetets tidevarv har en ny fråga tillkommit i samband med användarens autentisering: ”Arbetar du på sanktionerad utrustning?”

Att endast använda namn och lösenord för att öppna upp företagets nätverk bör i dag betraktas mer som identifiering snarare än autentisering. Vad som behövs är en så kallad stark autentisering, något som inte betraktas som enkelt kopierbart.

Engångsord enklast
Det enklaste och smidigaste sättet är att använda sms-engångslösenord som ytterligare autentiseringsmekanism för uppkoppling via vpn. Nästa steg är att varje användare får en dosa som genererar engångslösenord. Högst upp på säkerhetsstegen kan användaren ges ett smart kort som även kan användas för etablering av vpn-förbindelse.

Den nya frågan, huruvida användaren nyttjar sanktionerad utrustning, tillämpas genom en funktion som brukar kallas för hälsokontroll.

Håll koll på hälsan
Många olika typer av vpn-lösningar stödjer en sådan kontroll, där man konfigurerar vilka parametrar på klienten som ska undersökas i syfte att unikt identifiera användarens utrustning samt att kontrollera klientens ”hälsa”.

Hälsokontrollen kan också innebära att uppdateringsnivå och konfiguration av säkerhet besiktigas.

TechWorlds slutsats

Det är viktigt att inse att varje steg i den här artikeln för sig inte skapar den perfekta säkra hemarbetsplatsen. Vissa av stegen kompenserar osäkerheter som tidigare steg inte löser, och för att det tidigare steget ska vara vettigt i ett helhetsperspektiv.

Endast en samverkan av de olika stegen gör att lösningen kan betraktas som säker. Det är till exempel ingen idé att genomföra hälsokontroller om användaren är administratör på sin egen dator. De kontroller som genomförs måste vara simpla och egentligen inte granska så mycket, för annars är det stor risk att användaren inte släpps in. Naturligtvis kan man välja olika sätt för att lösa de olika säkerhetsproblemen och ha olika tillämpningsfilosofier. Det viktigaste är att ha klart för sig vilken hotbild man har, innan man plöjer ner alltför mycket pengar för att skydda information som kanske egentligen har lågt skyddsvärde.

En väl avvägd lösning skulle som ett exempel innehålla följande säkerhetsmekanismer:

- Användarna har usb-stickor med tvingande kryptering enligt fips 140-2 nivå 2. De är billigare än nivå 3och ger en bra säkerhet.

- Som hårddiskkryptering kan Bitlocker med tpm användas. Att administrera pin-upplåst tpm kräver en tredjepartsprogramvara för att det inte ska upplevas som för krångligt.

- Klienten är härdad enligt sslf och användaren har endast vanliga användarbehörigheter.

- Vpn-lösningen ger endast tillgång till det mest nödvändiga, och krypteringen är uppsatt med ömsesidig autentisering. Som autentiseringslösning används sms som extra faktor utöver namn och lösenord.

Den nämnda lösningen kräver investeringar i vpn-gateway, sms-lösning samt eget arbete, plus en och annan konsulttimme för att anpassa sslf-mallarna och få administrationen av hårddiskkrypteringen något så när strömlinjeformad. Men det kan det vara värt.