<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=244692402885131&amp;ev=PageView&amp;noscript=1">

Derfor bør du jevnlig teste bedriftens IT-sikkerhet

Chris Dale 11. mai 2020


Alle IT-systemer og løsninger for IT-sikkerhet trenger vedlikehold for å fungere optimalt. Dette vedlikeholdet er ikke noe IT-sikkerhetsselskapet, IT-sjefen eller helpdesk sitter med alene, det er en kontinuerlig jobb som alle ansatte har et ansvar for. 

Oppgavene for vedlikeholdet varierer ut fra hvilken stilling man har i bedriften, og for de aller fleste handler det om å kjenne til og følge opp bedriftens policyer for IT-sikkerhet. Ofte innebærer dette å sørge for at brukernavn og passord holder det nivået de skal, at programvare er oppdatert, og å rapportere mistenkelige eller uvanlige hendelser så raskt som mulig. På ledelsesnivå er disse oppgavene gjerne mer omfattende, av den enkle grunn at bedriftsledelsen som oftest har andre tilganger, og er mer i direkte kontakt med bedriftens verdier og hemmeligheter. 

Alles innsats er like viktig for helheten: Dersom noen unnlater å oppdatere programvare fordi det passer dårlig at maskinen man jobber på må restarte, kan det få konsekvenser for hele bedriften. Skaden og kostnaden ved å invitere kriminelle inn i bedriftens systemer er like store enten det er resepsjonisten, mellomlederen eller daglig leder som er ansvarlig.

Dersom alle ansatte gjør sin del for å opprettholde IT-sikkerheten, unngår man gjerne å gå i de mest innlysende fellene de cyberkriminelle har satt ut. Likevel er det på langt nær nok for å sikre seg mot cyberangrep. Realiteten er nemlig at ingen kan sikre seg helt, et 100 prosent tett digitalt forsvar eksisterer ikke. Nettopp derfor er det viktig å teste det forsvarsverket man har.

 

Feilfrie systemer finnes ikke

Ingen IT-systemer er feilfrie, av den enkle grunn at det de forsvarer oss mot, er i kontinuerlig endring. Selv om det er mulig å sette opp bedriftens IT-sikkerhetssystemer uten å ha noen særlige kvalifikasjoner, betyr ikke det at ferdigpakken man kan installere med få klikk faktisk gir den sikkerheten bedriften trenger. 

Det er ikke vanskelig å finne eksempler på systemer og løsninger som er direkte svake. Prosessen med å sette opp et digitalt forsvarsverk har mange ledd, og flere av dem er manuelle. En liten svakhet i selve systemet, fra leverandøren eller i installeringen, blir raskt til følgefeil, som utgjør svakheter det er svært vanskelig for noen uten riktig kompetanse å detektere. Både systemiske og menneskelige feil er noe man må ta høyde for, og dette er et argument for at IT-sikkerheten må testes jevnlig.

 

Kartlegg svakheter og trusler

Noe av det viktigste for å kartlegge egen IT-sikkerhet, dreier seg om innsikt i og oversikt over egne verdier. Hva er det i din bedrift som er interessant og attraktivt for andre aktører? Vet du ikke hvor bedriftens største verdier befinner seg, hvilke verdier bedriften faktisk eksponerer, vet du heller ikke hvor du bør rette forsvaret ditt. Hvem er det som er interessert i komme innenfor de digitale murene dine? Er det konkurrerende bedrifter, hackingteam som prøver å stjele ideene dine, andre aktører som ønsker innsikten, oppskriftene, forskningsresultatene eller informasjonen du har liggende? 

Hvis du vet hvem som prøver å komme inn, er det lettere å vite hvilke uvedkommende man skal lete etter inne i systemene dine. Et IT-sikkerhetsselskap med erfaring vil også kunne ha en idé om hvordan ulike aktører opererer, og kan dermed teste hvordan systemene dine håndterer nettopp et slikt angrep. 

Mange bedrifter investerer store summer i digitalt forsvar, men fordi de ikke har oversikt over hvem som vil inn og hva de er ute etter, ender de opp med å implementere forsvaret på feil sted. Det blir som å kjøpe en dyr fotballkeeper og så sette vedkommende til å spille midtbane: Feilslått, kostbart, og med et i praksis helt åpent fotballmål.
Det finnes mange grep bedriften din kan ta for å være best mulig rustet mot fryktede phisingangrep. I denne artikkelen gir vi deg gode tips for å unngå å gå i phishing-fella.

 

Profesjonelle testere

Det er svært vanskelig å oppdage sårbarheter i IT-systemer. Dette er et eget fagfelt, og er ikke noe det er hensiktsmessig at ufaglærte skal drive med på egen hånd. Ved å innlede et samarbeid med en profesjonell aktør, et IT-sikkerhetsselskap, får du kompetente spesialister med bred erfaring på dette feltet. 

Selve testingen kan gjøres på ulike måter, men det er i hovedsak penetrasjonstesting som er aktuelt her. Ved å innlede et samarbeid med et IT-sikkerhetsselskap, som tar i bruk kunnskap og verktøy, og la dem få innsikt i alt av systemer, kan de se hva som ikke fungerer optimalt. En slik aktør kan deretter komme med forslag til hvordan svakheter og angrepsflater bør fikses og omorganiseres, slik at bedriften er godt forberedt.

Her kan du lese mer om penetrasjonstesting.

 

Mange bedrifter er redde for at IT-ekspertene kommer inn og peker ut syndebukker eller henger ut ansatte som ikke har forstått hvordan de skal bruke en passordmanager, og kvier seg derfor for å hente inn denne ekspertisen. Denne bekymringen er undøvendig: Hensikten med testingen er å kartlegge hvor utfordringene og svakhetene ligger. Hvem som har gjort eller ikke gjort hva, er uviktig. Fokuset ligger på hvordan hele bedriften sammen kan sørge for å unngå at de samme svakhetene er der neste gang systemet testes. 

En profesjonell aktør innen iT-sikkerhet vil være opptatt av et langsiktig samarbeid der de er inne og tester med jevne mellomrom, og der du kan velge blant ulike løsninger for oppfølging og videre assistanse. 

 

last ned sjekkliste



NO|EN