Den ultimate oppskriften på IT-sikkerhet

• Ikke gå løs på alle sikkerhetsutfordringer på én gang.
• Identifiser problemene - ikke symptomene.

Det er kjernen i den kanskje mest effektive oppskriften på å sikre virksomheten mot datakriminalitet.

Amerikanernes fasit på datasikring "The 20 Critical Security Controls" er ute i siste versjon og er samtidig i ferd med å få fotfeste i Europa og Norge.

– Dette er i tråd med hva vi formidler til småbedriftene her hjemme, sier seniorrådgiver Tone Bakås ved Norsk senter for informasjonssikring (Norsis).

Mer om temaet: Hackere - velkommen inn!

Startet med NSA

Begrepet "The 20 Critical Security Controls" har utviklet seg de siste fem årene på grunnlag av tiltak National Security Agency (NSA) i USA utarbeidet for Forsvardepartementet i landet.

Senere har det utviklet seg til et mer offentlig/privat samarbeidsprosjekt med fler enn 100 eksperter, der også britiske interesser er kommet med på laget.

SANS Institute trekker i trådene for å oppdatere oversikten over de mest sentrale tiltakene.

Det uvanlige med denne menyen er at den bygger på erfaringene til de som deltar i samarbeidet.

Hvis Forsvarsdepartementet har vært utsatt for angrep, får partene vite hva som skjedde og hvordan angrepet ble stoppet.

Artikkelen fortsetter etter annonsen

annonsørinnhold

Fra energisluk til miljøvennlige, moderne hjem

Det gir grunnlaget for en metode som flere kan benytte seg av.

Les også: IT-kriminelle stjal 260 millioner fra bankkontoer

Automatisering

Tiltakene er basert på noen prinsipper:

• Fokus er på å demme opp for de truslene som er mest vanlig i dag og i nær fremtid.
• Tiltakene må være konsistente i hele bedriften. Det er bedre å gjennomføre ett tiltak bra, enn flere halvveis.
• Tiltakene bør automatiseres og måles. Sjekk ut bedriftens modenhetsnivå og sørg for videreutvikling derfra.
• Tiltakene må rettes mot årsakene til problemene - ikke symptomene.

Så hva er oppskriften på den ultimate datasikring?

Teknisk Ukeblad har gått gjennom Sans-instituttets meny sammen med Tone Bakås ved Norsis.

Første bud å kjenne hva som er bedriftens viktigste verdier. Det vil si informasjon.

Artikkelen fortsetter etter annonsen

annonse

Trer frem med omstilling som innstilling

Du må identifisere hvilke data som må sikres ekstra. Her er det gjerne snakk om personopplysninger, kundedata, forretningshemmeligheter, forskning og utvikling samt anbudsdokumenter

Og hvilke av disse dokumentene kan deles med andre?

Poenget er å sikre de viktigste verdiene, og i det arbeidet er det viktig å lære opp de ansatte i hvilke data som er kritiske og som må tas ekstra vare på.

Virksomheten må sørge for å ha oversikt over alle autoriserte enheter, som pc-er, printere, rutere, servere, nettbrett og smarttelefoner.

Like sentralt er de enhetene som virksomheten i utgangspunktet ikke vet at den har. Disse må kartlegges og settes opp riktig. Et lite, men effektivt tiltak her er å endre standard-passordet.

Ha oversikt over alle programmer/applikasjoner i virksomheten, både som formelt er kjøpt og installert og det som ansatte har lagt inn selv.

Her er det kilder til en rekke sikkerhetshull. Det er viktig at alle er oppdatert og installert riktig.

Les også: SAS lagret ukryptert kredittkortinfo

Grundighet

– Det viktigste er å prioritere, sier Bakås.

– Norsis jobber i det daglige på å forsøke å forenkle og få frem de viktigste tiltakene. Og på samme måte som Sans og deres ekspertgruppe gjelder det også å gjøre jobben grundig på noen områder enn å gjøre mange tiltak halvveis. Tiltakene er prioritert ut fra hva ekspertene mener best forhindrer hendelser som har skjedd tidligere, sier hun.

Her er den komplette listen fra "20 Critical Controls":

• 1: Inventory of Authorized and Unauthorized Devices
• 2: Inventory of Authorized and Unauthorized Software
• 3: Secure Configurations for Hardware and Software on Mobile Devices, Laptops, Workstations, and Servers
• 4: Continuous Vulnerability Assessment and Remediation
• 5: Malware Defenses
• 6: Application Software Security
• 7: Wireless Device Control
• 8: Data Recovery Capability
• 9: Security Skills Assessment and Appropriate Training to Fill Gaps
• 10: Secure Configurations for Network Devices such as Firewalls, Routers, and Switches
• 11: Limitation and Control of Network Ports, Protocols, and Services
• 12: Controlled Use of Administrative Privileges
• 13: Boundary Defense
• 14: Maintenance, Monitoring, and Analysis of Audit Logs
• 15: Controlled Access Based on the Need to Know
• 16: Account Monitoring and Control
• 17: Data Loss Prevention
• 18: Incident Response and Management
• 19: Secure Network Engineering
• 20: Penetration Tests and Red Team Exercises

Les også:

Vil merke telefoner med dårlige antenner

Mest klager på Iphone-dekningen

Utsikten som ingen vil ha