- Ikke gå løs på alle sikkerhetsutfordringer på én gang.
- Identifiser problemene - ikke symptomene.
Det er kjernen i den kanskje mest effektive oppskriften på å sikre virksomheten mot datakriminalitet.
Amerikanernes fasit på datasikring "The 20 Critical Security Controls" er ute i siste versjon og er samtidig i ferd med å få fotfeste i Europa og Norge.
– Dette er i tråd med hva vi formidler til småbedriftene her hjemme, sier seniorrådgiver Tone Bakås ved Norsk senter for informasjonssikring (Norsis).
Mer om temaet: Hackere - velkommen inn!
Startet med NSA
Begrepet "The 20 Critical Security Controls" har utviklet seg de siste fem årene på grunnlag av tiltak National Security Agency (NSA) i USA utarbeidet for Forsvardepartementet i landet.
Senere har det utviklet seg til et mer offentlig/privat samarbeidsprosjekt med fler enn 100 eksperter, der også britiske interesser er kommet med på laget.
SANS Institute trekker i trådene for å oppdatere oversikten over de mest sentrale tiltakene.
Det uvanlige med denne menyen er at den bygger på erfaringene til de som deltar i samarbeidet.
Hvis Forsvarsdepartementet har vært utsatt for angrep, får partene vite hva som skjedde og hvordan angrepet ble stoppet.
Det gir grunnlaget for en metode som flere kan benytte seg av.
Les også: IT-kriminelle stjal 260 millioner fra bankkontoer
Automatisering
Tiltakene er basert på noen prinsipper:
- Fokus er på å demme opp for de truslene som er mest vanlig i dag og i nær fremtid.
- Tiltakene må være konsistente i hele bedriften. Det er bedre å gjennomføre ett tiltak bra, enn flere halvveis.
- Tiltakene bør automatiseres og måles. Sjekk ut bedriftens modenhetsnivå og sørg for videreutvikling derfra.
- Tiltakene må rettes mot årsakene til problemene - ikke symptomene.
Så hva er oppskriften på den ultimate datasikring?
Teknisk Ukeblad har gått gjennom Sans-instituttets meny sammen med Tone Bakås ved Norsis.
Første bud å kjenne hva som er bedriftens viktigste verdier. Det vil si informasjon.
Du må identifisere hvilke data som må sikres ekstra. Her er det gjerne snakk om personopplysninger, kundedata, forretningshemmeligheter, forskning og utvikling samt anbudsdokumenter
Og hvilke av disse dokumentene kan deles med andre?
Poenget er å sikre de viktigste verdiene, og i det arbeidet er det viktig å lære opp de ansatte i hvilke data som er kritiske og som må tas ekstra vare på.
Virksomheten må sørge for å ha oversikt over alle autoriserte enheter, som pc-er, printere, rutere, servere, nettbrett og smarttelefoner.
Like sentralt er de enhetene som virksomheten i utgangspunktet ikke vet at den har. Disse må kartlegges og settes opp riktig. Et lite, men effektivt tiltak her er å endre standard-passordet.
Ha oversikt over alle programmer/applikasjoner i virksomheten, både som formelt er kjøpt og installert og det som ansatte har lagt inn selv.
Her er det kilder til en rekke sikkerhetshull. Det er viktig at alle er oppdatert og installert riktig.
Les også: SAS lagret ukryptert kredittkortinfo
Grundighet
– Det viktigste er å prioritere, sier Bakås.
– Norsis jobber i det daglige på å forsøke å forenkle og få frem de viktigste tiltakene. Og på samme måte som Sans og deres ekspertgruppe gjelder det også å gjøre jobben grundig på noen områder enn å gjøre mange tiltak halvveis. Tiltakene er prioritert ut fra hva ekspertene mener best forhindrer hendelser som har skjedd tidligere, sier hun.
Her er den komplette listen fra "20 Critical Controls":
- 1: Inventory of Authorized and Unauthorized Devices
- 2: Inventory of Authorized and Unauthorized Software
- 3: Secure Configurations for Hardware and Software on Mobile Devices, Laptops, Workstations, and Servers
- 4: Continuous Vulnerability Assessment and Remediation
- 5: Malware Defenses
- 6: Application Software Security
- 7: Wireless Device Control
- 8: Data Recovery Capability
- 9: Security Skills Assessment and Appropriate Training to Fill Gaps
- 10: Secure Configurations for Network Devices such as Firewalls, Routers, and Switches
- 11: Limitation and Control of Network Ports, Protocols, and Services
- 12: Controlled Use of Administrative Privileges
- 13: Boundary Defense
- 14: Maintenance, Monitoring, and Analysis of Audit Logs
- 15: Controlled Access Based on the Need to Know
- 16: Account Monitoring and Control
- 17: Data Loss Prevention
- 18: Incident Response and Management
- 19: Secure Network Engineering
- 20: Penetration Tests and Red Team Exercises
Les også:
Vil merke telefoner med dårlige antenner
Mest klager på Iphone-dekningen