Sånn øker du sikkerheten i en SaaS løsning

Med enkle midler kan du øke sikkerheten i en Internet-applikasjon. Følgende råd og tips gjelder for TimeLog Project - men også for andre SaaS løsninger - og de fleste rådene gjelder generelt for IT-systemer.

1. Lag en sikkerhetspolitikk
Lag klare retningslinjer for bruk av Saas-løsninger og for hvordan sikkerhet skal håndteres. Kommuniser sikkerhetspolitikken ut til alle ansatte - og bruk energi på å forklare hvorfor dere har denne politikken. Klar kommunikasjon er særlig viktig hvis dere har en stram sikkerhetspolitikk - ellers kan den bli oppfattet som sjikane av de ansatte, og derfor vil de motarbeide sikkerhetspolitikken.

Utform sikkerhetspolitikken så enkelt som mulig og unngå lange tekniske forklaringer. Den viktigste egenskapen en sikkerhetspolitikk kan ha er at den kan kommuniseres ut til medarbeiderne. Derfor er en enkel og forståelig politikk et mye bedre kompromiss enn en kompleks og teknisk politikk.

2. Få kontroll på passord
Alt for mange brukere har usikre passord. Lag derfor regler for passord i sikkerhetspolitikken.

I TimeLog Projects systemadministrasjon kan man lage regler for hvilke passord som tillates. Sørg for at de mest simple passordene ikke kan brukes (få anslag, samme passord som brukernavn osv.), og at det blir stilt krav til lenge og variasjon i passordet.

Dessuten bruker mange medarbeidere samme passord privat og på jobb. Forklar i sikkerhetspolitikken at dette ikke er ønskelig. 

3. Opplys og still krav til medarbeiderne
De fleste sikkerhetfeil oppstår på grunn av slurv - og ikke av ond vilje eller p.g.a desiderte angrep mot firmaet. Passord blir skrevet opp på gule lapper rundt om skjermen, medarbeiderne besøker "usikre" hjemmesider, de klikker på lenker i søppelpost osv. Dette gir økt risiko for sikkerhetsproblemer. Derfor er det avgjørende å opplyse de ansatte om hvordan de sikkert bruker både PC og nettleser.

4. Deaktivér tidligere ansattes adgang
Tidligere ansatte kan være kilde til sikkerhetsproblemer. Derfor er det viktig å deaktivere tidligere ansattes adgang til alle IT-systemer. Dette bør gjøres siste arbeidsdag hos firmaet.

5. Unngå ”master”-passord
Det er ikke lurt å gi det samme passordet til alle ansatte når man implementerer nye IT-systemer, eller å ha et generelt passord som brukes av alle i firmaet. Enda verre er det å ha et fast system for hvordan nye passord dannes.

6. Ha kontroll på antivirus og spam filter
Kjør alltid med oppdatert antivirus på alle maskiner, og sujekk mail for spam. Dette fjerner de fleste uønskede e-postene.

7. Kjør kun med kryptert adgang
Man kan opprette forbindelse til TimeLog Project på både en kryptert (https) og ikke-kryptert (http) forbindelse. I systemadministrasjonen kan du deaktivere ikke-kryptert adgang. Som standard kjører TimeLog Project kryptert, men man kan ha forskjellige grunner til å åpne for en ikke-kryptert adgang. Bruk en kryptert adgang til TimeLog med mindre spesielle behov i firmaeet gjør at dette ikke er mulig.

Så enkelt er det - og følger firmaet disse rådene vil man kunne unngå langt de fleste sikkerhetsproblemer.