Zero Trust implementeringer i Lolland Kommune
Lolland Kommune havde brug for en sikkerhedsarkitektur, der passede til deres strategi om at arbejde mere fleksibelt og mobilt med data.
I samarbejde med Globeteam har Lolland Kommune implementeret elementer fra Zero Trust-sikkerhedsparadigmet.
It-afdelingen har fået en række værktøjer til at styre brugerorganisationens adgang til data og systemer. Brugerne får hjælp til at undgå at kompromittere organisationens informationssikkerhed.
Lolland Kommune strammer sikkerhedsbardunerne med Zero Trust implementeringer
Som et led i en større digitaliseringsrejse skærper Lolland Kommune deres fokus på informationssikkerheden. Det skal være lettere for kommunen at styre sikkerheden på tværs af en mere og mere hybrid arbejdsplads. Og det skal være sværere for brugerne at gøre noget forkert, uanset hvor de er, hvem de er, hvilken enhed de bruger, og hvad de vil have adgang til.
I Lolland Kommune spiller digitalisering en større rolle end i mange andre kommuner. På allerøverste niveau arbejder man med en klar strategi for at være en digitalt visionær kommune.
“For os handler digitalisering selvfølgelig om at levere den service til borgerne, de forventer. Men det handler også om at skabe flere muligheder for, at borgerne eksempelvis kan blive mere selvhjulpne via selvbetjeningsløsninger. Dels for at vi kan spare ressourcer, og dels for at de kan få oplevelsen af, at kvaliteten af de offentlige ydelser løbende bliver hævet. Forudsætningen for at bruge flere data og mere teknologi er, at der er styr på sikkerheden,” siger Ditte Ploug, sektorchef i Lolland Kommune.
Brug for et fleksibelt sikkerhedskoncept
For at understøtte de digitale visioner og de matchende sikkerhedsudfordringer har Lolland Kommune valgt at arbejde med flere af komponenterne i Zero Trust-sikkerhedsparadigmet. Zero Trust går i al enkelhed ud på, at tilliden til en bruger, der forsøger at tilgå data eller et system, ikke er givet på forhånd. Tværtimod forventer man en sikkerhedskompromittering, og derfor slipper man kun de brugere og enheder ind, der kan valideres.
“Tendensen omkring den hybride arbejdsplads har prikket hul i den gamle perimetertankegang, hvor vi byggede en borg med en voldgrav rundt om. I dag skal vores brugere kunne tilgå data når som helst og hvor som helst. Vi har brug for sikkerhedsprincipper, der passer til den form for fleksibilitet, og der passer Zero Trust godt ind,” siger Thomas Rysgaard, teamleder i Lolland Kommunes digitaliseringsenhed.
Sparringspartnere og hardcore-teknikere
Lolland Kommune har valgt at arbejde tæt sammen med Globeteam om ikke bare implementering af Zero Trust-arkitekturen, men også om de overordnede it-visioner for kommunen.
"Globeteam har hjulpet os med sparring, rådgivning, licensgennemgang, workshops og implementering. I den ene yderlighed har de været med til at køre et adoption-spor, hvor vi gennem workshops og e-læring har forklaret organisationen, hvilke muligheder der ligger i Microsoft 365. I den anden yderlighed er Globeteam trådt ind i maskinrummet med hardcore tekniske kompetencer, der har fået løsningerne til at fungere.”
Opbygningen og efterlevelsen af regler
Han forklarer, at Globeteam blandt andet har hjulpet med at bygge et sikkerhedsfundament op omkring Azure AD Multi-Factor Authentication (MFA) og etableringen af Conditional Access-politikker. Det betyder på godt dansk, at Lolland Kommune fremover bedre kan holde styr på, hvem der forsøger at få adgang til hvad, fra hvilke enheder og under hvilke omstændigheder (blandt andet tid og sted). Med andre ord får kommunen et mere fintmasket net, der kan fange mistænkelig og uhensigtsmæssig brugeradfærd.
“Hvis der eksempelvis er nogen, der prøver at logge på en private tjeneste såsom Facebook med deres virksomhedsmailadresse, kan vi gøre dem opmærksom på, at det er en dårlig ide. Systemerne kan reagere proaktivt, hvis der er personfølsomme oplysninger i mail, chat og dokumenter, så brugerne gøres opmærksom på, at de er ved at sende disse oplysninger ud i verden. Det er den balance, vi gerne vil arbejde med, hvor vi ikke lægger brugerne i lænker rent sikkerhedsmæssigt, men kan påvirke til den gode databehandling,” siger Thomas Rysgaard.
Sikker brug af mobiler og apps
Som endnu et eksempel på de sikkerhedsmæssige opstramninger kommer Lolland Kommune også til at føre et skarpere opsyn med medarbejdernes mobile enheder. Ikke forstået på den måde, at medarbejderne ikke får lov til at bruge deres private enheder til arbejdsformål, for det gør de. Det er bare ikke alt, de får lov til.
“Vi lægger en MFA-proces ind, som betyder, at hvis de eksempelvis gerne vil læse deres mails på en privat enhed, skal de multifaktorvalidere sig selv for at få lov. Private apps kan godt ligge på enheden sammen med Office-apps. Men de kan eksempelvis ikke få lov til at kopiere noget fra Outlook og sætte det ind i en privat app, vi ikke har kontrol over. Der kan være visse brugere, der af forskellige årsager har brug for at overskride de begrænsninger, vi sætter op. Men så kommer vi til at bede dem om at begrunde deres behov for at overskride sikkerhedspolitikken, og så logger vi den begrundelse,” siger Thomas Rysgaard og slutter:
“Vi ser sådan på det, at vi ikke skal være en sikkerhedshammer, der kommer og dunker brugerne i hovedet hele tiden. Det kommer der ikke noget godt ud af. Vi skal være dem, der informerer medarbejderne, hvis de er i gang med at gøre noget forkert.”
Meget mere om Zero Trust:
Vil du vide mere om Zero Trust, kan du læse vores dybdegående artikler herunder:
- Skab en effektiv tilgang til sikkerhed med afsæt i Zero Trust
- Pragmatisk sikkerhed er første skridt på vej mod Zero Trust
- Skab overblik og styring af identiteter og rettigheder med Identitets- og adgangsstyring
- Zero Trust og mobile enheder
- Hvordan etablerer du en tilstrækkelig databeskyttelse?
Eller se vores webinar om Zero Trust og pragmatisk sikkerhed
Du kan også læse mere om vores temarække “Stay safe, start smart” her
Kan jeg hjælpe?
Vil du høre mere om, hvordan Globeteam kan hjælpe dig med en lignende løsning, så kontakt mig gerne på +45 3074 7474 eller pls@globeteam.com
Nyhedsbrev
Få vores nyhedsbrev
Hold dig opdateret på din virksomheds digitale muligheder med cases og faglige artikler