”Den største fejl inden for it-sikkerhed er at vente med at sikre, til vi kan sikre alt 100 %. Måske rammer vi lige nu kun 98 %, men så har vi trods alt de 98 % sikret, og må tage de sidste 2 % senere. Alternativet er 0 % – fordi du aldrig kom i gang!”
Ordene stammer fra Morten Thomsen. Han arbejder som konsulent hos APENTO, er Microsoft Cloud Security Architect og specialist i sikkerhed.
”Vi ser desværre alt for tit, at folk vil op at ramme de 100 % på regler, features eller politikker, før de slår noget som helst til – det gælder hele vejen fra Conditional Access (CA) til Attack Surface Reduction (ASR) og alt derimellem. 8 ud af 10 gange bliver resultatet så bare, at der ikke sker noget som helst.”
”Det er mit vigtigste budskab for tiden, når jeg kommer ud til kunderne: Få nu sikret det, du kan! Secure the masses! Lad være med at lade dig stoppe af, at du måske ikke kan sikre alt og alle 100 %. Mangler du at sikre 2 % rundt i hjørnerne, så ved du jo præcis, hvad der mangler – og det er jo sjældent den samme maskine eller bruger, der skal undtages fra alt, så du får et usikkert miljø,” siger Morten.
Uvidenhed om sikkerhedsregler kan lukke en virksomhed
Morten forstår sådan set godt, at mange afholder sig fra at pille for meget ved de mange forskellige regler og features. Som fx ASR-eksemplet, han nævnte tidligere.
”Lige præcis ASR-regler er ofte noget, vi ser halte ude i virksomhederne. Hvis du ikke holder tungen lige i munden, kan du lukke en virksomhed med dem. Det kan fx være, hvis man begynder at blokere ældre applikationer, man anser som usikre – men som gerne skal køre, fordi de styrer en produktionsmaskine. Eller hvis prislister i et regneark henter data fra et andet regneark, som indeholder macroer, der ikke er godkendt,” uddyber Morten.
”Den nemmeste måde at sige det på er, at hvis du ikke gør dit forarbejde godt nok og har den rigtige tilgang, kommer man sjældent i mål.”
APENTOs tilgang til sikkerhed flytter bjerge hos kunderne
Hvad er så ifølge Morten den rigtige tilgang til it-sikkerhed?
”Vores tilgang hos APENTO er, at vi hellere vil slå de 98 % til og så mangle de 2 %, i stedet for at mangle de 100 %! Vi ser den tilgang flytter bjerge hos vores kunder, og de kommer i land med projekter, de allerede havde puttet i graven,” siger Morten.
APENTOs framework for sikkerhed tager afsæt i at skille alt det fra hinanden, som Microsoft stiller til rådighed. Og så udvikler Morten og hans kolleger APENTO best practices for, hvordan de sætter sikkerhed op på en E5 sikkerhedslicens, og policies der sætter alt, så de ret hurtigt kan løbe afsted med en kunde.
”Det er jo ikke sådan, at vi udvikler 1000 ting op mod Microsoft. Vi er bare de bedste til at udnytte det, som Microsoft allerede har udviklet,” konstaterer Morten nøgternt.
”Vi ved fx, at vi ikke kan ramme alle Microsofts anbefalinger i én regel, så ville vi aldrig få det ud at leve. Normalt sætter folk en politik op fx med alle 16 ASR-regler – vi har splittet det op, så der er 16 regler. Og ja, det er mange regler, men ingen kan slå samtlige 16 regler til i én politik. Derfor deler vi det op.”
Vi ser ting andre ikke forstår
Det er lige præcis i tankegangen om, hvordan man driver it-sikkerhed, at APENTO skiller sig ud fra andre konsulenthuse, fortæller Morten.
”Du skal erkende og forstå, at 100 % ikke er det sublime. Du får aldrig 100 % sikkerhed. Jeg stræber efter at vide, at kunderne er dækket, når jeg tager derfra, og har en personlig stolthed i det, jeg laver. Det er APENTOs tankegang om it-sikkerhed, jeg er mest stolt af. Vi ser ting, andre ikke forstår,” fastslår Morten.
”Vi har 20-50 ekstra settings, der sikrer miljøet, så det er i en bedre condition, end da vi startede. Vi får rullet noget ud, der rammer alt og alle uden at støje. Er der den mindste smule støj, så undtager vi bare den maskine fra reglen. Så er der 98 andre regler, den bliver ramt af. Kunden er glad, vi har ikke støjet – og vi ved, vi har en opfølgningsopgave, fx kontakte en leverandør for at få skrevet en applikation om eller få hjælp til opsætning, for at komme i mål. Det er stærkt, det her!”
Vil være den bedste til sikkerhed
”For os er det nemt, fordi vi ikke laver andet. Det er ikke nemt for den konsulent, der både skal være ekspert i sikkerhed og Teams og Office 365,” erkender Morten.
”Jeg laver kun sikkerhed og siger nej til andre opgaver, fordi jeg så skal lave noget, jeg ikke finder interessant. Jeg vil gerne være den bedste til sikkerhed, og det bliver jeg ved at lave sikkerhed hver eneste dag,” fortæller Morten.
Mine kolleger er de dygtigste på deres område
”Mine kolleger er de dygtigste på deres område, og de vil også hver især være den bedste til det, de laver. Vi er 4-5 stykker, der laver sikkerhed. Vi er specialister og freelancere alle sammen, men det betyder ikke, at vi konkurrerer indbyrdes, tværtimod.”
”Der er en grund til, at vi er hos APENTO. APENTO er Microsoft Elite Partner, og rigtig mange er MVP’er og sidder med i Microsofts product teams og NDA-møder. Man bliver kun den bedste, hvis man deler sin viden med andre og trykprøver den,” siger Morten.
”Vi arbejder tæt sammen og sparrer rigtig meget med hinanden. Det har jo fx resulteret i udviklingen af vores APENTO framework og best practices, hvor APENTOs kunder får summen af vores samlede viden. Når vi får nye kolleger, har de også vores framework at læne sig op ad og bliver lynhurtigt en del af vores team – hos APENTO vil vi hinanden, og vi vil have hinanden til at se godt ud,” afrunder Morten.