Tjekliste til bedre sikkerhed i 2019

Tjekliste til bedre sikkerhed i 2019

Der gættes konstant på, hvordan it-sikkerheden vil udvikle sig i 2019, men hos Combitech anbefaler de i stedet at kigge på, hvad vi gjorde i 2018 og forsøge at gøre det endnu bedre i år

Af Lars Bennetzen

For at undgå spådomme og gætværk, ønsker Combitech at kigge lidt indad, og derved se på, hvordan vi kan gøre it-sikkerheden endnu bedre i 2019. De har udviklet fem punkter som de mener, kan bringe sikkerheden helt i top.

Skjulte værdier

Struktur er kedelig - men nem at arbejde med. Og når vi taler om it-sikkerhed, skal det være nemt at arbejde med. Hvornår har du sidst kigget indad og analyseret og beskrevet alle processer, arbejdsgange, politikker og værdier i virksomheden? Har du klassificeret virksomhedens værdier, så du ved, hvor kritiske de er for virksomhedes omsætning eller renommé. Hvis man ikke ved, hvad der er kritisk, ved man ikke, hvad man skal beskytte. Det er jo ikke sikkert, du behøver at ligge på samme sikkerhedskrav som den finansielle sektor. En analyse kan fortælle dig, hvor du bør sætte ind og med hvilke tiltag. På den måde kommer dit sikkerhedsniveau til at matcher det trusselsbillede, din virksomhed reelt står overfor. Når du har en sådan analyse på plads, bliver det straks nemmere at iværksætte en struktureret sikkerhedsindsats.

Test, test og test igen

Kom din virksomhed igennem 2018 uden angreb og it-sikkerhedsbrud? Det var da dejligt. Men ved du positivt, at I ikke er blevet ramt, fordi I har testet det, eller har du bare ikke mærket nogle konsekvenser af et brud. Måske er I blevet hacket uden at vide det. Den eneste måde at finde ud af det på er ved at teste. Penetrationstest, redteam-test – der findes mange forskellige typer af tests. Det handler grundlæggende om at teste sit aktuelle sikkerhedsniveau og på baggrund af testresultatet opdatere jeres beredskab.

Effektivisér din overvågning

100 procent sikker bliver man aldrig i vores nuværende digitale verden. Alle kan hackes. Selvom it-systemerne er sikret, medarbejderne er opmærksomme på trusler, døren er dirkefri og hegnet ingen huller har, så vil der hele tiden opstå nye trusler. Derfor er tredje trin på sikkerhedsstigen at overvåge din virksomhed. Hold hele tiden øje med ting, der afviger fra normalen. Sørg derfor for at få iværksat en effektiv overvågning, der sikrer, at et eventuelt brud bliver opdaget hurtigt. Tid er en afgørende faktor for, hvor omfattende et sikkerhedsbrud bliver. Hvis man kan nedbringe tiden, fra et angreb sker, til det opdages, til timer i stedet for dage, så er man nået langt. Kun erfaring kan fortælle dig præcis hvad, hvor og hvordan, du skal overvåge for at skabe en vandtæt detection-løsning. Overvej om du har den erfaring internt, eller om det er netop her, du har brug for en ekstern ekspert-løsning.

Tætte samarbejder

Jo tættere samarbejde du har med dine leverandører, jo større sikkerhedsrisiko udgør de for din virksomhed. Det lyder meget negativt. Men det er absolut ikke meningen. Det handler jo netop om, at alle parter får et positivt udbytte ud af samarbejdet. Derfor er det vigtigt, at alle ligger på samme sikkerhedsniveau. Det er relativt nemt, hvis vi taler om dine underleverandører. Her opstiller du alle de krav, som du har behov for, at dine leverandører overholder, hvis de vil have adgang til din virksomhed og dens systemer. Hvis din virksomhed derimod indgår i ligestillede partnerskaber med flere, forskellige virksomheder om for eksempel at realisere et fælles projekt, et såkaldt økosystem, kan det være lidt mere udfordrende. Alle møder hinanden på forskellige sikkerhedsniveauer. Det handler om at tage det bedste fra alle verdner, og mødes på et realistisk og funktionsdygtigt niveau.

Den menneskelige faktor

Vi har i flere år haft fokus på, at mange it-sikkerhedsbrud skyldes vores medarbejdere. Awareness-træning er derfor på agendaen i mange virksomheder. Men hvis awareness-træningen skal være effektiv og ikke bare et forløb, man gennemgår, men hurtigt glemmer igen, så skal træningen baseres på den enkelte medarbejders adfærd. Awareness-programmer bør individualiseres, så sikkerheden tilpasses den enkelte medarbejders måde at arbejde på. Arbejder medarbejderen tit i det offentlige rum? Er medarbejderen meget aktiv på de sociale medier? Hvilken jobfunktion har medarbejderen? Har vedkommende et meget udadvendt job med daglig kontakt til mange mennesker? Er han/hun af natur mistroisk eller tillidsfuld? Der er tusinde ting, der adskiller os og vores måde arbejde på, og som gør os til mere eller mindre lette ofre. Den individuelle tilpasning er derfor utrolig vigtig, hvis awareness-træningen skal have en effekt.

- lb