Sådan lægger du grunden til virksomhedens IT-sikkerhedsarbejde

IT-sikkerhedstruslerne bliver stadig flere i takt med, at de cyberkriminelle bliver mere professionelle. I dag er spørgsmålet ikke om din virksomhed bliver ramt, men snarere hvornår den bliver ramt. Samtidig er adgangen til IT-sikkerhed blevet demokratiseret i og med, at billige og lettilgængelige cloud-tjenester er blevet tilgængelige. Vi guider dig til både teknologien og principperne bag et moderne IT-sikkerhedssetup.

Selvfølgelig ønsker ingen at blive ramt af hacking. Men alle forstår måske ikke helt alvoren i, hvad det indebærer, eller hvilke følger et hacker-angreb kan få. Det mest åbenlyse er, at nogen lykkes med at trænge ind og stjæle virksomhedens data. De kan sidenhen sælges til konkurrenter, bruges til afpresning, lækkes til medier, postes på forskellige internetfora, krypteres eller slettes fra virksomhedens server. Dette kan skade virksomheden på en række forskellige måder – ikke bare økonomisk. En virksomhed, der rammes af et hacker-angreb, risikerer at skade sit renommé hos sine kunder og partnere, og den kan desuden få sværere ved at ansætte nye medarbejdere i fremtiden. At forsøge at skjule eller mørklægge et databrud er ikke nogen god idé, især ikke eftersom de nye GDPR-regler kræver, at virksomheder, der rammes at hacker-angreb, giver besked både til deres kunder og til Datatilsynet.

… men IT-sikkerhed handler ikke kun om hacker-angreb

Det findes andre ting, der kan bevirke, at virksomheden rammes af IT-relateret tab af arbejdsfortjeneste eller tab af data, for eksempel strømsvigt, brand, vandskader, naturkatastrofer, tyveri, mistede enheder og meget andet. En velfungerende IT-sikkerhedspolicy med tilhørende infrastruktur letter alle disse og mange andre situationer. Et effektivt system til backup og disaster recovery hjælper for eksempel også, når data skal migreres til nye systemer, eller når det virksomhedens datacenter skal lægges i skyen.

Forberedelser

Kategorisér data

Den vigtigste del af et IT-sikkerhedsarbejde er at skabe overblik over det, som IT-sikkerhedssystemet er tænkt til at beskytte - nemlig virksomhedens data. Hvor mange data har virksomheden? Hvor mange af dem er forretningskritiske? Hvad indebærer det, hvis disse data havner i forkerte hænder? Hvilke forskellige beskyttelses- og adgangsniveauer har vi brug for til vores data? Alle behøver sandsynligvis ikke have samme adgang til alt, og nogle data kan for eksempel kræve to-faktor-autentificering for at kunne redigeres.

Det er vigtigt at huske på, at det ikke kun er virksomhedens data, der håndteres på virksomhedens enheder, men sandsynligvis også hundredvis eller måske tusindevis af private fotos, filer, dokumenter og videoer – også selvom virksomheden har en policy, er forbyder privat brug af virksomhedens enheder.

Analysér trusselsbilledet

Næste skridt er at finde ud af, hvordan trusselsbilledet ser ud. Hvor stor sandsynlighed er der for, at en bestemt hændelse opstår? Forskellige virksomheder har forskellige IT-sikkerhedsbehov. Prioritér de scenarier, der er mest kritiske for netop din virksomhed. Eksempel: Hvis størsteparten af medarbejderne befinder sig ude i marken i deres arbejdstid, så bør der være fokus på at sikre deres mobile enheder - i stedet for at fyre alt sit krudt af på avancerede firewalls til kontoret.

Detektér og håndtér angreb

For mange er billedet af et hacker-angreb en krypteret harddisk og en besked, der opfordrer offeret til at indbetale et beløb på en Bitcoin-konto. Den type af såkaldte ransomware-angreb er ganske vist stigende, men mange angreb er betydeligt mere diskrete end som så.

I dagligdagen bemærker virksomheden nogle gange ikke, at de er blevet hacket, før deres data ligger frit tilgængelige lige til at downloade på for eksempel en fildelingstjeneste. Detektering af indtrængen er derfor en af de vigtigste dele i IT-sikkerhedsarbejdet.

Etablér et normalt niveau

Hacking indebærer som regel, at en udenforstående på en eller anden måde har taget kontrol over en medarbejders konto og påbegyndt en ikke-tilladt handling – for eksempel kopiering af følsomme data. Her gælder det om at have systemerne på plads, der vil opdage denne type af aktivitet og slå alarm eller træffe passende foranstaltninger. Men for at kunne gøre det, skal der foreligge et klart billede af, hvad der er normal adfærd for den pågældende bruger, og hvordan trafikken på virksomhedens netværk foregår, når der ikke foregår ikke-tilladt aktivitet.

Det her er utrolig svært at gøre manuelt, især fordi mere og mere af trafikken på vores net er krypteret. Men nutidens IT-sikkerhedssystemer kan ved hjælpe af kunstig intelligens skabe et billede af hvad, der er normalt og derefter slå alarm, når afvigelser opdages.

Når indtrængen er en realitet

I dag er det ikke et spørgsmål, om virksomheden bliver ramt af angreb men snarere hvornår. Derfor handler det om at have klare retningslinjer for hvad, der skal gøres, når angrebet er en realitet. Det vigtigste er at forsøge at begrænse og isolere angrebet. Det gør du bedst ved at klippe forbindelsen mellem den inficerede enhed og resten af virksomhedens netværk. Hvis du får en indikation af, at en bruger opfører sig mærkeligt, bør du blokere brugerens konto, indtil du finder ud af, hvad den afvigende adfærd skyldes.

Vælg den rigtige infrastruktur

Cloud-baserede løsninger vs. egen løsning

IT-sikkerhed er i dag et spørgsmål, der i princippet vedrører alle størrelser af virksomheder. Men for mindre og mellemstore virksomheder bliver det at have en egen IT-sikkerhedsafdeling med infrastruktur, der skal vedligeholdes, og eksperter, der skal ansættes og uddannes, en unødvendig stor omkostning. Så i dag vælger langt de fleste at købe IT-sikkerhed ”as a service”. På samme måde som virksomheder i dag betaler en fast månedlig afgift til for eksempel cloud-lagring og applikationer, så er firewall, antivirus, beskyttelse mod hacker-angreb og et sikkert netværk også noget, man kan abonnere på og skalere op og ned efter behov.

Arbejd sikkert på farten

I dag arbejder vi mere og mere mobilt og udenfor kontorets fire vægge. Vi sidder på caféer, i tog og lufthavne, og vi har brug for adgang til hurtigt og pålideligt internet. Men det betyder ikke, at vi skal gå på kompromis med sikkerheden. Selvom flere og flere apps og websites i dag bruger https-protokollen for krypteret trafik, så kan offentlige WiFi-netværk ikke anbefales, når du arbejder mobilt. I stedet bør du benytte mobildata og helst suppleret af en VPN-opkobling.

Rigtige rutiner for stjålne enheder

Det er også vigtigt, at virksomheder har procedurer på plads for, hvordan stjålne og tabte mobile enheder skal håndteres. Hvis du mister din computer, telefon eller tablet, eller får den stjålet, må det ikke være muligt for en udenforstående person at åbne den. Password-beskyttelse og harddiskkryptering skal naturligvis være aktiveret, men enheden skal stadig kunne spores og slettes pr. distance, så alle følsomme data forsvinder fra enheden.

Moderne smartphones har indbyggede systemer til dette, og de findes også i alle moderne MDM-værktøjer (Mobile Device Management). Ved hjælp af MDM-værktøjer kan du nemt opdatere operativsystemer, lokalisere enheder, installere apps og tildele forskellige rettigheder. Bliver en telefon stjålet, kan indholdet hurtigt slettes og harddisken krypteres – alt sammen fra et centralt sted. I MDM-værktøjet kan du også sørge for, at enheden sikkerhedskopieres ofte, så medarbejderen kan få en ny enhed, gendanne data og fortsætte med at arbejde.

Glem ikke IoT-gadgets

Det er ikke bare computere, telefoner og tablets, der udgør sikkerhedsrisici for virksomhedens netværk. I dag findes der en række såkaldte IoT-produkter (Internet of Things), som alle er koblet op på virksomhedens netværk og dermed udgør en potentiel vej ind for en hacker. Derfor gælder det om, at online printere, lamper, kaffemaskiner, paneler til mødebookning og andet online udstyr overholder virksomhedens sikkerhedskrav og for eksempel understøtter sikkerhedsopdateringer og ikke lagrer og sender passwords i klartekst.

Processer og rutiner for medarbejderne

Medarbejderne ofte svageste led

Nutidens IT-sikkerhedssystem er på mange måder så avanceret, at hvis virksomheden har et system, der passer til branchestandarden, så er et frontalangreb mod for eksempel virksomhedens firewall stort set formålsløs. I stedet er det svageste led som regel den enkelte medarbejder.

Langt størstedelen af al indtrængen begynder i dag med en form for phishing-angreb enten via mail eller via sociale medier. Medarbejderen narres til at besøge en hjemmeside eller klikke på et link i en mail, der udgiver sig for at være noget, den ikke er. Derfor er det vigtigt, at medarbejderne er bevidste om den aktuelle IT-sikkerhedssituation, og hvordan et angreb rent faktisk foregår. Med en øget forståelse følger som regel også en øget accept og overholdelse af virksomhedens regler og rutiner for IT-sikkerhed.

Sådan håndterer du passwords

Der tales meget om vigtigheden af at udarbejde policys for sikre passwords, men at kræve, at brugerne skal have lange passwords med mange forskellige tegn og i øvrigt ændre dem regelmæssigt, kan have den modsatte effekt.

Lange passwords, der består af en blanding af bogstaver, tal og tegn, kan være svære at huske og kan resultere i, at brugeren gemmer dem på usikre måder for eksempel i en ukrypteret tekstfil på computeren eller på en Post-It-seddel på skrivebordet. Hvis brugerne ved, at de aldrig bør anvende samme password flere steder, vil regelmæssig udskiftning af password ikke øge sikkerheden nævneværdigt.

Et alternativ til lange password, der både er mere sikkert og nemmere for brugerne, er at benytte to-faktor-autentificering ved hjælp af en mobil enhed eller en USB-nøgle.

Undgå Shadow IT

Virksomheden kan investere i lige så mange smarte og sikre tjenester, den vil. Men de vil ikke tjene noget formål, hvis ikke medarbejderne benytter dem. Hvis virksomhedens godkendte system til for eksempel fildeling opleves som besværligt at bruge, kan det i værste fald ende med, at medarbejderne bruger alternative tjenester for at gøre deres hverdag lettere – et fænomen, der kaldes for Shadow IT. Det kan medføre en lang række risici; den mest åbenlyse er naturligvis, at den alternative tjeneste ikke opfylder virksomhedens sikkerhedskrav, men hvad, mange måske ikke tænker på, er, at nogle tjenester kræver ejerskab over det materiale, der uploades.

At følsomme (eller nogen overhovedet) af virksomhedens data ikke længere er virksomhedens ejendom, er naturligvis foruroligende. En tredje risiko ved Shadow IT er, at virksomhedens data lagres på en måde, der bryder med virksomhedens aftaler med sine kunder. Nogle data, der måske ikke må lagres udenfor landets grænser, havner på servere over hele verden, når man bruger en kommerciel cloud-tjeneste.

24 januar 2020

Så meget koster et datatyveri – og sådan beskytter du dig selv

22 millioner kroner. Så meget koster et datatyveri i gennemsnit ifølge den seneste undersøgelse fra Ponemon Institute. Risikoen for at blive udsat for det er større end nogensinde, men du kan minimere risikoen kraftigt med den rigtige beskyttelse.

Shadow IT – hvad går det ud på?

Shadow IT er navnet på de IT-projekter, som håndteres uden for virksomhedens IT-afdeling, eller uden at IT-afdelingen ved, hvad der sker. Læs mere om risiciene ved Shadow IT og de foranstaltninger, IT-afdelingen bør foretage for at beskytte sig.

Årsagerne til ukendte IT-fejltagelser

Patientsamtaler lægges ud på nettet, og udenlandske aktører fik adgang til vigtige styresystemer. Det er bare to af de seneste store sikkerhedsbrud. Bag mange af dem spiller den menneskelige faktor en rolle.

Er det ikke tid til at få styr på virksomhedens mobiler?

Sikkerhed er altid et emne i fokus. Spørgsmålet er, om det nogensinde har været så aktuelt, som det er nu. I denne artikel ser vi på mobilsikkerhed, og hvordan du frigør mere tid til arbejde med et helhedsoverblik over virksomhedens mobiltelefoni.

Cyber crime koster mere end naturkatastrofer

Den voldsomt stigende cyberkriminalitet koster mennesker, organisationer og samfundet enorme summer hvert år. Undersøgelser viser, at nordiske virksomheder ofte mangler det grundlæggende forsvar mod angreb.

Dustins backup til Office 365 beskytter dine data i skyen

Mange af vores kunder har migreret til skyen og er skiftet til Office 365. Ligesom da du havde din egen server, skal du supplere med en god backupløsning, der beskytter dine data, både mod brugerfejl og eksterne trusler.