Har dere god IT-sikkerhet? Slik finner du det ut

Sigbjørn Sørensen | 6 minutter lesetid


Som følge av samfunns- og teknologiutviklingen blir IKT-risikobildet stadig mer komplekst. Angrepsflaten har vokst betydelig, truslene har blitt mer avanserte og sårbarhetene flere.

For å sikre verdier og leveranser må virksomheter og organisasjoner derfor sette sikring av sitt IKT-miljø høyest på dagsordenen.

Men det er utfordrende å ha en helhetlig oversikt over sårbarheter og trusler. Hva er de mest kritiske områdene du bør ta for deg, og hvordan skal din virksomhet ta første steg for å modne risikostyringen?

I dette innlegget får du gode tips til hvordan du kan ta kontroll på IT-sikkerheten for minst mulig eksponering og risiko.

 

harderegodit-sikkerhet

Kilde: NSM: Helhetlig IKT-risikobilde 2017

 

Helhetlig sikkerhetsstyring

IT-sikkerhet handler ikke først og fremst om teknologi eller produsenter, men om hva vi gjør før vi velger teknologi, hvordan teknologien brukes, og dessuten hva vi gjør med indikatorene som dataene som behandles genererer – slik at vi kontinuerlig kan lære og justere tiltak.For å forstå helheten i et angrep må man forstå nettverket. Vi ser nærmere på 5 sikringstiltak som må være på plass og sammenstilles for å ha det vi kaller helhetlig sikkerhetsstyring.

 

1. Kartlegging

Det er utfordrende for virksomheten å ha kontroll på hvor informasjon befinner seg til enhver tid. For eksempel når virksomheter benytter skytjenester, eller der informasjonen spres på enheter virksomheten ikke har kontroll på.

A) Kartlegg leveranser og verdikjederIdentifiser og kartlegg leveranser og tilhørende verdikjeder, funksjoner og ressurser som kan ha innvirkning på risiko og valg av sikringstiltak.

B) Kartlegg enheter og programvareAktivt spor og kartlegg alle maskinvareenheter, programvare og tjenester på nettverket for å skaffe oversikt over autoriserte (og uautoriserte enheter) og ha kontroll på gjeldende konfigurasjon.

C) Kartlegg brukere og behov for tilgangUtilsiktet tilgang til informasjon eller tjenester kan fås både gjennom bevisste og ubevisste handlinger. Dette kan påvirke verdikjeder og leveranser og påføre din virksomhet økonomiske tap.

 

2. Risiko og sårbarhetsanalyse (ROS)

For å beskytte alle elementene i det som utgjør din bedrifts data, må du skaffe deg oversikt over informasjonsmengden dere sitter på. Hvor befinner dataene seg, hvem har tilgang, og hvordan er helsen på dataene?Ved å gjennomføre en ROS-analyse (en generell analyse av risiko og sårbarhet i bedriften) får dere oversikt over hvilke data bedriften egentlig har, og hvordan bedriften skal forholde seg til disse.

 

3. Sårbarhetstesting

Sårbarhetstesting går ut på å finne kjente sårbarheter og sikkerhetshull i virksomhetens nettverk, infrastruktur eller applikasjoner og gir deg en oversikt over funnene.

Sårbarhetstester er ofte automatisert via verktøy som skanner etter kjente sårbarheter basert på databaser som referanse.

 

4. Penetrasjonstesting

Penetrasjonstesting forsøker å utnytte sårbarhetene som sårbarhetstesting avdekker, for å bekrefte eller avkrefte problemer, samt avdekke hvor stor risikoen for angrep er. Dette gir et godt bilde av hvilken forretningsrisiko som finnes i virksomheten, og gir deg mulighet til å rette opp i sårbarhetene før de blir utnyttet av trusselaktører.

 

5. Brannmurrevisjon/nettverksanalyse

Brannmurer krever kontinuerlig kontroll og oppdatering for å kunne gi optimal sikkerhet for din bedrift.

Det er dessverre ikke uvanlig at en nylig installert brannmur forblir statisk i forhold til regler og sikkerhetsinnstillinger. Dette kan få katastrofale konsekvenser for din virksomhet eller ansatte.

Selv om du har gjort alt rett i henhold til brannmur, kan du fortsatt ha ulike sårbarheter i ditt nettverk. Kanskje har du et uoppdaget sikkerhetshull som gjør at noen her og nå tapper deg for informasjon uten at du merker det.

En profesjonelt utført nettverksanalyse identifiserer mulige trusler og forretningsmessige utfordringer i nettet.

 

Konklusjon

Et komplekst trusselbilde stiller stadig høyere krav til god og helhetlig planlegging og styring av sikkerhetsarbeidet. Dette danner grunnlaget for å gjennomføre sikringstiltakpå en måte som er tilpasset akkurat din virksomhets risiko.

Å agere på en logghendelse i seg selv er bra, men å agere på flere sammensatte hendelser som har en direkte forretningsmessig konsekvens, har større verdi. Med rammeverket ovenfor sikrer dere at dere i riktig ende og med de mest grunnleggende stegene.

 

Gratis ebok: Offense must inform defense

 



NO|EN