8 tips til digital sikkerhet

1. Kartlegg digitale verdier og systemer

Før du gjør noe som helst mener vi det er viktig å kartlegge bedriftens mest verdifulle digitale verdier. Dette vil gi et godt utgangspunkt for hva som må prioriteres, og hvilke tiltak som bør innføres. Ting må stå i forhold. En bank trenger for eksempel ikke et hvelv rundt brosjyrene sine.

Spørsmål du bør stille deg er:

• Har vi viktige filer i OneDrive eller Dropbox?
• Hvilke system har vi personopplysninger i?
• Hva hadde skjedd med driften hvis disse dataene forsvant i dag?
• Hvor lenge hadde vi klart oss uten disse dataene?

Et viktig spørsmål er også «Har vi data/tjenester som anses som samfunnskritiske?». I tilfelle kan dette medføre større sikkerhetskrav og ansvar.

Det er også viktig å kartlegge hvilke systemer som er kritiske. Hvordan påvirker det driften hvis disse hadde blitt utilgjengelig, og kan de brukes som et inngangspunkt for angripere?

Husk også å velge leverandører med omhu. Når det kommer til web- og systemutvikling har vi i Appex et stort fokus på sikkerhet og kan dokumentere hva som blir gjort i forhold til dette.

3. Ha gode passord og to-faktor

De fleste bruker mange forskjellige tjenester i det daglige, og det kan oppleves som nesten umulig å holde styr på alle passordene. Det er også derfor mange faller for fristelsen og gjenbruker et passord som er enkelt å huske over flere tjenester.

En bedre løsning er å bruke et verktøy for å holde styr på kontoer og passord. To av de mest brukte er 1Password og LastPass. Disse verktøyene kan både opprette og huske passord til ulike tjenester for deg, slik at du bare trenger å huske ett masterpassord + to-faktor. Dette gjør hverdagen både enklere og tryggere.

Utover ulike og gode passord er det viktig å sette på to-faktor der det er mulig. To-faktor betyr at du i tillegg til passordet også må oppgi en kode som du mottar for eksempel på SMS eller i en app på telefonen. Med to-faktor aktivert er man bedre sikret dersom et passord skulle komme på avveie.

Start med å kartlegge at alle brukerkontoer i bedriften er sikret med to-faktor. Vurder deretter å ta i bruk et verktøy for å holde styr på kontoer og passord.

I Appex bruker alle ansatte et verktøy for å administrere passord. Når vi utvikler løsninger for våre kunder anbefaler vi de beste alternativene for innlogging slik at løsningen passer inn i et sikkert økosystem.

4. Personalrutiner og opplæring

Du kan innføre så mange sikkerhetstiltak du bare vil, men det viktigste vil alltid være kunnskapen til de ansatte.

Opplæring i sikkerhet og trusler er derfor veldig viktig, slik at alle vet hva som skal gjøres i det daglige. Samtidig må ikke sikkerhetsrutiner være for kompliserte, men enkle nok til at ansatte faktisk følger dem.

Det er også viktig å ha gode rutiner når ansatte starter og slutter. Får du en ny ansatt er det viktig med riktig opplæring i bedriftens sikkerhetsrutiner og at det benyttes utstyr som oppfyller bedriftens sikkerhetskrav. Når et arbeidsforhold avsluttes, er det viktig å ha rutiner for å fjerne tilganger. Et nyttig tips er å dokumentere alle tilganger en ansatt skal ha slik at disse er enkle å følge opp.

Vurder også risikoen ved å arbeide på private maskiner dersom det er aktuelt. Arbeidsgiver har sjelden kontroll på ansattes private telefoner og datamaskiner, og hvis man er logget inn på jobb-kontoer kan det utgjøre en risiko. En hacket privatkonto som er brukt på arbeidsmaskin kan også føre til dataangrep.

6. Endepunkt sikkerhet

Et “endepunkt” defineres som en enhet som er koblet til bedriftsnettverket, og kan dermed være alt fra telefoner og datamaskiner til servere som bedriften drifter selv. Et viktig tiltak for å sikre disse enhetene er å ta i bruk noe som kalles for “Endpoint Detection and Response”-programvare, eller EDR.

Antivirus er et mer kjent begrep, og man kan godt si at EDR er som et mer avansert antivirus. Å sikre arbeidsenheter på denne måten vil gi en mye større trygghet, og vil stoppe de fleste angrep, samt stoppe spredning av uønsket programvare.

EDR kan også kombineres med en såkalt SOC-tjeneste (Security Operations Center). Dette er en tjeneste med alarmsentral som overvåker EDR-programvaren på maskinene til de ansatte, og som kan ta handlinger og varsle bedriften ved hendelser.

SOC-tjenesten kan også overvåke installerte programmer på maskiner for å passe på at ingen har installert risikabel programvare og at programmene er oppdaterte. Mange virus går spesifikt etter utdatert programvare da de ofte har kjente sårbarheter.

Det finnes mange tilbydere av EDR og SOC, og vi anbefaler derfor å ta kontakt med en leverandør av IT-sikkerhet som kan rådgi og bistå på dette området.

8. Lag en beredskapsplan

Selv med ovenstående tiltak er det ikke mulig å sikre seg hundre prosent. Så hva gjør du dersom uhellet er ute? Du iverksetter planen. Det nytter ikke å lage en plan når det skjer, den må være tenkt ut på forhånd — og kanskje til og med trent på.

En slik plan bør beskrive hvilke aksjoner som skal gjøres ved en hendelse. Dette kan inkludere å kartlegge hvilke systemer som er påvirket, hvilke data som eventuelt er på avveie, samt varsle aktuelle som er påvirket og eventuelt Datatilsynet.

En plan bør også beskrive hvem som har ansvar for hva slik at alle har definerte roller når krisen er ute. Det bør for eksempel være helt klart hvem som skal uttale seg til kunder og media.