Skydda din information! Den uppmaningen har vi både gett och själva hört oräkneliga gånger. Sätt ett säkert lösenord! Använd olika lösenord! Förvara din dator och din smartphone på ett säkert sätt! Och så fortsätter det med idel uppmaningar om hur vi ska skydda det vi klassar som värdefullt.

Men räcker det med uppmaningar och diverse säkerhetsinställningar på enheterna? Jag är tämligen säker på att det inte gör det. Inte i dag med den växande byod-trenden i ett it-klimat där vi ju redan har tillgång till vår information i en uppsjö av olika enheter. Vi kan också krasst konstatera att vad vi än gör för att skydda oss så tycks skurkarna finna sätt att bryta sig in ändå.

Jag tror att det handlar om att alltför många organisationer har fel fokus vad gäller säkerheten. Som vanligt drar jag paralleller till verkligheten. Om du vill skydda din egendom mot inbrott kanske du installerar det senaste larmet från ett välkänt larmföretag. Kanske har du också ett kassaskåp där du förvarar det du är allra mest rädd om. Men tänk om tjuvarna vet hur ditt larm fungerar och kan stänga av det, eller vet hur de ska ta sig förbi det obemärkta? Dessutom kanske de är tillräckligt många som bryter sig in samtidigt och orkar bära iväg ditt kassaskåp och arbeta på det i lugn och ro någon annanstans. Eller för all del, du kanske var så stressad att du glömde låsa dörren när du gick hemifrån. Fast det spelar ju mindre roll om du dessutom förvarar en extranyckel under dörrmattan på farstubron, för det har du ju alltid gjort och det har ju gått bra hittills.

"Vi måste bli bättre på att styra vem som ska ha tillgång till vad, samt hur och när."

Jag tror att det viktiga i framtiden blir att på ett betydligt mer noggrant sätt klassificera vilken information eller vilka tjänster som är mest kritiska, och lägga resurserna på att skydda dem, i stället för på enheterna som bär omkring dem.

Det är en utveckling som vi bara sett början på med dlp (data loss prevention), cmf (content management framework), ipc (identity and policy control) och allt vad detta innebär. Det fiffiga, men ibland kluriga, är att det går att applicera på så många nivåer i it-infrastrukturen. Från nätverksnivå, där trafiken analyseras i realtid, via regler för lagring och behörighetsstyrning av slutanvändarna och hela vägen ner på enskild filnivå.

Okonstlat uttryckt ska det enligt mig i en ideal värld inte spela så stor roll om en laptop eller smartphone hamnar i orätta händer. Informationen som den innehåller ska vara skräddarsytt skyddad. Kanske går den inte kopiera, att läsa i ett oskyddat nätverk eller bifogas i e-post. Kanske blir filer oläsliga efter en viss tid. Kanske ska den inte ens få lagras eller hämtas i vissa enheter.

Det handlar om värdering och analys, och det är något de flesta organisationer kommer få brottas med. Säkerligen ett omfattande arbete för många, men framförallt en stor förändring i tänket kring it-säkerhet. Vi måste bli bättre på att styra vem som ska ha tillgång till vad, samt hur och när de ska ha det.

Leverantörer som kan erbjuda den här typen av lösningar i ett enkelt och säkert gränssnitt kommer skratta vid bokslutet.

Det är den här vägen, och inte starkare antimalware-motorer, brandväggar och strikta policyer som användarna ändå frångår, som kommer leda till en säkrare it-miljö.

Listan

Sekt: Stämningen vid öppnandet av Apple Store i Täby var inget annat än jäkligt obehaglig.

Icke-fråga: På vilket sätt skakas samhället i sina grundvalar av att domstol.se ligger nere i två timmar?

Viktigare: Hur pass väl skyddade mot attacker är svenska industrier och anläggningar?