Ta kontroll.
Se hvordan dere kan redusere blindsonene i databruken.
Ta kontroll.
Se hvordan dere kan redusere blindsonene i databruken.
God tilgangsstyring er ikke nok hvis virksomheten mangler innsikt i hvilke sensitive data den har, hvor de ligger, og hvordan de faktisk brukes. Det er her mange av de største blindsonene i moderne sikkerhetsarbeid oppstår.
Det er lett å tenke at sikkerhet først og fremst handler om å kontrollere hvem som slipper inn. Men risikoen stopper ikke ved innloggingen. I mange virksomheter begynner den virkelige usikkerheten først etter at tilgang allerede er gitt.
– Det hjelper ikke å ha kontroll på tilgang hvis du ikke har kontroll på det du har tilgang til, sier André Wister, kunderådgiver i SoftwareOne.
Mange virksomheter har tatt tak i tilgangsstyring, men langt færre har tilsvarende kontroll på selve datalaget: Hvilke sensitive data de har, hvor de ligger, eller hvordan de beveger seg mellom systemer, brukere og plattformer.
Når virksomheten ikke forstår sine egne data
En viktig del av utfordringen handler om klassifisering av data – merke data ut fra hvor sensitive eller forretningskritiske de er. Uten en slik grunnstruktur blir det vanskelig å skille mellom hva som kan lagres og deles fritt, og hva som krever sterkere kontroll.
– Hvis man ikke har en basis for dokument- eller datakategorisering, er det helt umulig å finne dette igjen, sier Wister.
Det er nettopp dette Guardium er laget for å adressere. Guardium er en portefølje som blant annet omfatter Discovery & Classify, Data Protection og Cryptography Manager. Til sammen gir dette virksomheter bedre oversikt over hvor sensitive data finnes, hvordan de er klassifisert og hvordan de beskyttes.
– Du må først vite hvor du har dine forskjellige data. Du kan ikke beskytte dem før du vet hvor de er, sier Emmar Hoel, Senior IT Specialist i IBM.
I praksis skjer dette ved at løsningen skanner datakilder, finner informasjon om hvor sensitive data ligger og analyserer dem ut fra kriterier virksomheten selv har definert. Det kan for eksempel være mønstre som gjør det mulig å kjenne igjen personnummer, kredittkortdata eller andre typer sensitiv informasjon.
Det holder ikke å stole på at brukeren husker alt
Mange virksomheter er fortsatt for avhengige av at ansatte selv skal vite hvilke regler som gjelder for lagring og deling av dokumenter. I praksis er det en sårbar modell.
– Man kan ikke forvente at alle ansatte skal kjenne alle policyer på alle dokumenter. Da må man ha verktøy som overstyrer det brukeren gjør, sier Wister.
Med Guardium går du fra oversikt til kontroll. Når virksomheten først vet hvilke data som er viktige og hvor de ligger, kan den også legge på regler for hvordan disse dataene skal brukes, flyttes og beskyttes. Guardium kan både logge aktivitet, varsle om avvik og stoppe handlinger som bryter med policy.
– Guardium Data Protection gjør policyene operative, sier Hoel.
Innsikt i databruk er like viktig som oversikt
Det er et viktig skille mellom å vite hvor data finnes, og å ha kontroll på hvordan de brukes.
Her er Guardium utviklet for å gi innsikt i hva som faktisk skjer etter at tilgang er gitt. Det gjelder ikke bare menneskelige brukere, men også maskinelle kontoer, integrasjoner og automatiserte prosesser som opererer med gyldig tilgang.
– Du kan hindre at uvedkommende prøver å gjøre noe de ikke skal gjøre i databasene. Guardium håndterer og stopper dette, sier Hoel.
Det gjør produktet relevant i en tid der ikke bare ansatte, men også applikasjoner, AI-agenter og andre automatiserte mekanismer får tilgang til forretningskritiske data. Selv når tilgangen i utgangspunktet er legitim, trenger virksomheten kontroll på hva som faktisk skjer i bunnen av databasen.
Compliance blir tungt når oversikten er svak
Dette er også en viktig grunn til at compliance oppleves så krevende for mange. Compliance handler om å kunne etterleve regulatoriske krav og interne retningslinjer, men også om å kunne dokumentere at man faktisk gjør det.
– Har man ikke helt kontroll, blir man usikker, og da blir det fort tungt å jobbe med compliance, sier Wister.
Når virksomheten ikke vet nok om dataene sine, blir også revisjon og dokumentasjon mer tungrodd. Man må lete manuelt, gjøre vurderinger i etterkant og håpe at oversikten er god nok. Det skaper både usikkerhet og merarbeid.
Et av Guardiums sterke kort er at løsningen kommer med ferdige rapporter og dashbord som gir oversikt over status til enhver tid. Hoel trekker frem støtte for rammeverk og krav som GDPR, DORA og NIS, og muligheten til å hente ut dokumentasjon fortløpende i stedet for å bygge alt manuelt når revisjonen nærmer seg.
– Revisjon er ofte noe virksomhetene finner både tidskrevende og komplekst. Guardium gir et grunnlag som kan brukes inn i mye av det som ellers tar tid, sier Hoel.”
Relevansen blir enda større i hybride miljøer
For mange norske virksomheter er ikke spørsmålet om data ligger i sky eller lokalt, men hvordan de håndteres på tvers av begge deler.
Her er Guardium særlig relevant fordi løsningen er leverandøruavhengig og bygget for å fungere på tvers av databaser, skytjenester og hybride oppsett. Poenget er ikke bare å se hvert enkelt system isolert, men å gi virksomheten en samlet oversikt over hvor de viktigste dataene finnes, hvordan de brukes og hvor risikoen er størst.
– Uansett hvor du er i reisen din, må data beskyttes, sier Hoel.
Bedre kontroll gir også bedre flyt
Bedre kontroll på data handler ikke bare om å redusere risiko. Det kan også gjøre virksomheten mer effektiv. Når data er bedre klassifisert, bedre strukturert og lettere å forstå, blir det enklere å finne riktig informasjon, raskere å utvikle nye løsninger og lettere å redusere duplisering og unødvendig lagring.
For mange virksomheter er det naturlige første steget å finne ut hvordan sensitive data faktisk brukes i dag. Hvor ligger de? Hvordan er de kategorisert? Hvem har tilgang? Og hvor er sporbarheten svak?
Uten slik innsikt blir det vanskelig å redusere blindsonene i datalaget.
Author
