HjemHvordan vet du at bedriftens IT-sikkerhet er god nok?

Share on social media

Hvordan vet du at bedriftens IT-sikkerhet er god nok?

Den digitale utviklingen i samfunnet har ikke bare økt virksomheters effektivitet og skapt nye forretningsmuligheter. Den har også medført mange risikoer som bedriftsledelsen bør være bevisst på. Når systemer, kommunikasjoner og dokumenter digitaliseres, må organisasjoner og bedrifter ha en IT-sikkerhet som kan holde stand mot cyberangrep. Dessuten blir denne typen angrep stadig mer sofistikerte. I denne artikkelen kommer vi til å behandle spørsmålet om hvordan du som IT-ansvarlig eller medlem i ledergruppen kan vurdere om deres IT-sikkerhet er god nok.

Hva innebærer et sikkert IT-miljø i dag?

Tidligere kunne de fleste bedrifter og virksomheter stole på at brannmurer, rett antivirusprogram og andre grunnleggende vern var nok til å forhindre angrep utenfra. Men trusselbildet endrer seg hele tiden, og det er en stor utfordring å ligge et skritt foran de som vil tjene penger på å stjele bedriftsdata. 

Både den svenske Myndigheten för samhällsskydd och beredskap (MSB) og verdensledende firmaer innen cybersikkerhet anbefaler at man arbeider systematisk med IT-sikkerhet. Dette for å ha den beredskapen som kreves når man utsettes for et cyberangrep. For spørsmålet er ikke om et cyberangrep vil finne sted, det er snarere når.

Nedenfor viser vi tre viktige deler i deres systematiske sikkerhetsarbeid. Men først skal vi svare på spørsmålet om hvordan dere kan vite at virksomheten har god nok sikkerhet.

Slik vet dere at bedriften har god nok IT-sikkerhet

Ved å arbeide systematisk med saken kommer dere til å få et tydeligere bilde av hva dere har i dag og hva dere virkelig behøver. Dessuten slipper dere å bruke penger på det dere ikke behøver. Med de rette tiltakene for nettopp deres miljø vil dere kunne minimere risikoene for skader når et angrep finner sted.

  1. Begynn med en informasjonskartlegging

Vi anbefaler at dere utfører en analyse av hvordan deres sikkerhetsnivå ser ut i dag. Da vil dere kunne se hvilke små eller store steg dere må ta for å øke sikkerheten. En måte er å utføre en sikkerhetsanalyse som gir dere mulighet til å reagere raskt med relativt små tiltak. Deretter kan dere fortsette å arbeide strategisk med IT-sikkerheten.

Sikkerhetsanalysen støtter det systematiske arbeidet med sikkerhet og gir dere mulighet til å planlegge og prioritere blant tiltakene.

En sikkerhets- eller sårbarhetsanalyse som dere bestiller av en IT-partner, består vanligvis av en inventering, intervjuer og andre tekniske tester for å se hvordan virksomheten takler et angrep utenfra. Deretter bør dere få en tydelig rapport med prioriterte tiltak, slik at du som bedriftens ansvarlige kan ta fatt på det systematiske sikkerhetsarbeidet.

  1. Penetrasjonstest eller ikke?

Mange cybersikkerhetsfirmaer tilbyr såkalte penetrasjonstester. En slik test innebærer et simulert IT-angrep mot dere og kan gi et mer komplett resultat enn en sikkerhets- eller sårbarhetsanalyse. I en penetrasjonstest fokuserer man på å teste hvordan sikkerheten kan stå imot et angrep utenfra. En sikkerhetsanalyse kan derimot beskrives som en mer overgripende analyse av virksomhetens sårbarhet som leder til prioriteringer for å arbeide systematisk med hele sikkerhetsspekteret.

Er du usikker på hva som passer for dere? Rådfør deg med deres IT-partner for å være sikker på at dere får det dere forventer.

Hva skal sikkerhetsanalysen vise?

Når dere undersøker bedriftens sikkerhetsnivå, finnes det flere deler som dere bør se over og utføre en sikkerhetsanalyse for. Her tar vi opp tre deler: server og klienter, nettverk og kommunikasjon samt brukersikkerhet for å beskytte bedriftens informasjon.

  1. Server og klienter

Mange av de vanligste cybertruslene er rettet mot brukerne og de klientene som anvendes i virksomheten. En sikkerhetsanalyse bør vise eventuelle mangler som finnes hos server og klienter, f.eks. utilstrekkelig beskyttelse mot virus, operativsystemer som ikke støttes, phishing og brukere som har større tilgang enn det de behøver. Hvordan fungerer deres håndtering av klienter og servere og gjøres det på en sikker måte?

Virksomhetens datamaskiner og andre enheter bør være beskyttet med grunnleggende sikkerhet som antivirusprogram og brannmur. Dessuten må enhetene få de regelmessige sikkerhetsoppdateringene som produsenten sender ut. Det arbeidet blir enklere hvis dere har et enhetlig oppsett av datamaskiner i bedriften med nyeste versjon av operativsystemet. Dette er ofte tilfellet hvis dere kjøper inn deres klienter som tjeneste.

En viktig del av beskyttelsen for klientene er passordhåndtering og multifaktorautentisering (MFA) eller tofaktorautentisering. Det kan du lese mer om i denne artikkelen. 

  1. Nettverk og design

Glem ikke å undersøke sikkerhetsmangler i nettverket, f.eks. brannmurens funksjoner, hvordan deres trådløse nettverk er beskyttet og at dere bruker sikre VPN-løsninger når noen arbeider hjemmefra eller på distanse. I dag finnes det flere ulike løsninger for å teste nettverk, brannmurer og internett-tilgang. Her er det bra å ha en partner som har god kjennskap til deres miljø, for da kan dere få det helhetsperspektivet som er viktig innen sikkerhet.

  1. Brukersikkerhet og beskyttelse mot svindel

I tillegg til de faktorene vi har nevnt ovenfor, er det viktig å arbeide proaktivt med å utdanne brukerne i å håndtere trusler. Bedriftens data eller informasjon er nemlig verdifull valuta for cyberkriminelle i dag. Hvis bedriften skulle blir rammet av et angrep, hvor lenge kan dere da klare dere hvis informasjonen og dataene blir låst?

Det kan gi en god effekt å arbeide aktivt med brukersikkerhet for å beskytte seg mot svindel fordi denne typen trusler blir vanligere. I tillegg til å utdanne medarbeiderne kreves det ofte flere andre typer sikkerhetsløsninger for å kunne stoppe eller begrense skadene av et innbrudd når det allerede har funnet sted. Vi anbefaler at dere sjekker hvor godt beskyttet dere er mot svindel og hvor bevisste medarbeiderne er i det forebyggende arbeidet.

En sikkerhetsanalyse eller sårbarhetsanalyse er altså en god start på det systematiske IT-sikkerhetsarbeidet. En god analyse gir en god strategi. Ved å arbeide med prioriterte områder får dere mulighet til å sikre deres miljø med relativt små innsatser, og deretter kan dere fortsette med det systematiske arbeidet med stadige forbedringer.

Vil du vite mer om sikkerhetssituasjonen i dag og hva du skal prioritere? Bestill en sikkerhetsanalyse fra Nordlo.

Bestill en sikkerhetsanalyse her 

Vill du komma i kontakt med oss? 

Vi älskar dialoger och utmaningar. Kontakta oss så hjälper vi dig!