Fagblogg | NetSecurity

5 steg mot helhetlig sikkerhetsstyring

Skrevet av Sigbjørn Sørensen | 17. august 2020 06:15:00 Z

IT-sikkerhet handler ikke først og fremst om teknologi eller produsenter. Det avgjørende er hva vi gjør før vi velger teknologi, hvordan teknologien brukes, og hvordan vi forholder oss til indikasjonene dataene genererer. For å forstå helheten i et angrep må vi først forstå nettverket. I denne artikkelen ser nærmere på fem sikringstiltak som må etableres og sammenstilles for å få det vi kaller helhetlig sikkerhetsstyring.


1. Kartlegging

En utfordring for de fleste virksomheter er å ha kontroll på hvor informasjon til enhver tid befinner seg. Spesielt gjelder dette når informasjon lagres i skytjenester, eller når ansatte lagrer dokumenter og annet internt på egen enhet.

Her er det i hovedsak tre grep bedriften kan ta:

Kartlegge leveranser og tilhørende verdikjeder, funksjoner og ressurser som kan ha innvirkning på risiko og valg av sikringstiltak: Hvor er de lokalisert?

Kartlegge enheter og programvare. Dette gjelder alle maskinvareenheter, programvare og tjenester på nettverket. På denne måten får du en oversikt over autoriserte og uautoriserte enheter, og kontroll på gjeldende konfigurasjoner.

Kartlegg brukere og deres behov for tilgang. Enten det er bevisst eller ubevisst, kan en del ansatte sitte på tilganger til informasjon og tjenester de ikke trenger. Skaff deg en oversikt over hvem som kan komme inn hvor i systemene dine, og sørg for at disse tilgangene er behovsprøvd. 

Ønsker du bistand med intern opplæring i IT-sikkerhet, kan du lese mer om hvordan Netsecurity bidrar med dette i denne artikkelen.

 

2. Risiko og sårbarhetsanalyse (ROS)

For å beskytte alle elementene i det som utgjør dataene i bedriften din, må du selv kjenne til den informasjonsmengden dere sitter på. Hvor befinner dataene seg, hvem har tilgang, og hvordan er dataenes helse? Ved å gjennomføre en ROS-analyse (en generell analyse av risiko og sårbarhet i bedriften) får dere oversikt over hvilke data bedriften egentlig har, og hvordan bedriften skal forholde seg til dem.


Her skriver Tor Vigesdal, CISO i Netsecurity, om de største sårbarhetene innen IT-sikkerhet i 2020.

 

3. Sårbarhetsscanning

Prosessen med å finne og kartlegge sårbarheter og sikkerhetshull i virksomhetens nettverk, infrastruktur eller applikasjoner, kalles sårbarhetsscanning. En slik prosess vil gi deg en oversikt over funnene, noe som gjør at du kan begynne jobben med å tette hull og innganger. 

Her kan du lese mer om hvordan du får oversikt over sårbarheten dine.

Sårbarhetsscanning er ofte automatisert via verktøy som skanner etter kjente sårbarheter. En slik scanning er en automatisert prosess, gjerne satt i system, hvor man regelmessig scanner for å avdekke kjente feil, som manglende patcher eller lignende.

 

4. Penetrasjonstesting

Penetrasjonstesting er et kontrollert forsøk på å utnytte sårbarhetene i systemene dine. Disse forsøkene gjennomføres av en ansatt i It-sikkerhetsselskapet, og gjøres for å teste de sårbarhetene som sårbarhetstesting avdekker.

Noe av det som kommer frem av slike forsøk er at det er mulig å bekrefte eller avkrefte problemer, og avdekke hvor stor risikoen for angrep er. Dette gir et godt bilde av hvilken forretningsrisiko som finnes i virksomheten, og gir deg mulighet til å rette opp i sårbarhetene før de blir utnyttet av trusselaktører og cyberkriminelle.

 

5. Brannmurrevisjon og nettverksanalyse

Brannmurer krever kontinuerlig kontroll og oppdatering for å kunne gi optimal sikkerhet for bedriften din. Dessverre er det ikke uvanlig at en nylig installert brannmur forblir statisk, heller enn å dynamisk tilpasse seg regler og sikkerhetsinnstillinger. Dette kan få katastrofale konsekvenser for virksomheten din. 

Selv om du har gjort alt riktig med innstillingene for brannmuren, kan det fremdeles finnes ulike sårbarheter i nettverket ditt. Kanskje har du et uoppdaget sikkerhetshull som gjør at uvedkommende kan tappe deg for informasjon uten at du merker det.

En profesjonelt utført nettverksanalyse identifiserer mulige trusler og forretningsmessige utfordringer i nettet, og hjelper deg med å finne og igangsette tiltak for å forebygge angrep. 


Les mer om hvordan virksomheten kan jobbe for å oppfylle cybersikkerhetskrav.

 

Konklusjon

Det komplekse trusselbildet virksomheter må forholde seg til i dag stiller stadig høyere krav til god og helhetlig planlegging og styring av sikkerhetsarbeidet. I takt med flere og mer utspekulerte cyberkriminelle gjelder det å kjenne sine egne sårbarheter, for deretter gjennomføre sikringstiltak på en måte som er tilpasset risikoen akkurat din virksomhet forholder seg til. Med det rammeverket vi har skissert her vil bedriften din ha god oversikt over trusler og sårbarheter, et godt utgangspunkt for å definere hvilke grep som må tas videre.