Dette er et spørsmål de fleste daglige ledere stiller seg, eller i hvert fall bør stille seg. Alle bedrifter har verdifull data lagret på sitt nettverk, og det er deres ansvar å ivareta dataen på en trygg og sikker måte. Det kan oppleves som krevende å sikre bedriften og ha kontroll på datasikkerhet, da det fører med seg en del utfordringer. Verktøy må benyttes og forhåndsregler må tas, for å hindre at det man sitter på av verdi havner i feil hender.
Fem sikkerhetstiltak
Hvert år publiserer Nasjonal sikkerhetsmyndighet (NSM) en liste med anbefalte sikkerhetstiltak basert på trusselbildet. De siste tiltakene hadde fokus på å beskytte systemer mot internettrelaterte angrep:
- Installer sikkerhetsoppdateringer så fort som mulig, og mest mulig automatisk
- Ikke tildel administratorrettigheter til sluttbrukere
- Ikke tillat bruk av svake passord, og bruk multifaktorautentisering der det er mulig
- Fas ut eldre IKT-produkter
- Tillat kun programvare som er godkjent av virksomheten eller enhetsleverandøren
Disse tiltakene bør gjennomføres for å sikre bedriften og beskytte systemer mot eksterne og interne trusler. Eksterne trusler kan være hackere som utfører ransomware og kryptering, men interne trusler kan være ansatte som ikke følger intern sikkerhetspolicy og rutiner.
Hold deg oppdatert til enhver tid
Alt av PC-er, servere og nettverksutstyr må oppdateres etter hvert som nye oppdateringer og operativsystemer slippes. Datasikkerhet utvikles og forbedres forløpende, derfor er man nødt til å holde seg oppdatert for å holde sikkerheten på et bra nivå.
Sluttbrukere bør ikke ha administratorrettigheter
Det er mange bedrifter som leier IT-utstyr, såkalt klientdrift. Klient som en tjeneste gir mange fordeler i arbeidshverdagen. Alt IT-utstyr må også sikres, og for å øke klientsikkerhet anbefales det å ikke være administrator på egen PC. Administratorrettigheter bør tildeles IT-ansvarlig, eller til én enkelt ansatt som har fått opplæring. Ansatte skal heller ikke ha høyere rettigheter enn det de trenger for å gjøre jobben sin, dette gjelder også data og systemer de har tilgang til.
Multifaktorautentisering og sterke passord
I dag er multifaktorautentisering (MFA) et minimumskrav i forhold til sikkerhet. Det er mange som kvier seg for å opprette det, da det kan oppleves som hemmende i arbeidshverdagen. Det er mulig å gjøre tilpasninger som forenkler det, ved å for eksempel redusere hyppigheten du blir spurt om MFA på kontorets nettverk. Et godt argument for å bruke MFA er å tenke på det som BankID. Du ville jo aldri brukt kun et passord for å få tilgang til bankkontoen din.
Fas ut gammelt utstyr
Som tidligere nevnt er datasikkerhet i stadig utvikling, og det medfører at gammel software og hardware etter hvert når sin utløpsdato. Når du skal kvitte deg med gammelt IT-utstyr må det gjøres på en trygg måte. All data bør slettes ved hjelp av sertifiserte sletteverktøy. IT-utstyr bør returneres til et sted hvor det gjennomgås og klassifiseres som enten gjenbruk eller resirkulering.
Bruk kun godkjent programvare
Det finnes mange typer programvare som kan gjøre samme jobb. Noen av disse kan enten tilsiktet eller utilsiktet redusere IT-sikkerheten til bedriften. Bedriften bør ta stilling til hvilke programvarer som er greit å installere på bedriftens enheter, og styre dette enten via veiledning og policy. Eller, bruke systemer som begrenser hva brukerne selv kan installere på enhetene de bruker i jobbsammenheng.
Hvordan kan de ansatte øke datasikkerhet i bedriften?
Fokus på atferd, gode datavaner og opplæring bidrar til å øke datasikkerheten. Det bør skapes en kultur hvor sikkerhet er noe man snakker om, og at det er greit å si ifra hvis noen utilsiktet har gjort noe som påvirker IT-sikkerheten. Hvis noen klikker på en lenke og forårsaker et sikkerhetsbrudd, skal ikke det bli sett ned på. Det vil kunne føre til at ansatte forsøker å skjule uheldige hendelser, og det fører ingenting godt med seg. I tillegg bør ledelsen gå foran som et godt eksempel. Hvis de forstår viktigheten av sikkerhet og formidler dette til sine ansatte vil det forplante seg i bedriften.
Den harde sannheten er den, at det er menneskene som bruker systemer og tilganger som utgjør den største risikoen. De kan ikke programmeres til å gjøre prosesser riktig hver gang, men må være bevisste rundt alt de gjør. De ansatte ha et fornuftig forhold til sikkerhet, og melde ifra om de kommer over noe som skurrer. For eksempel dersom noen oppdager et dokument som ikke er sikret godt nok.
I bedrifter blir det mer og mer vanlig at det defineres sikkerhetspolicyer for datasikkerhet. Som for eksempel hva man skal gjøre med den gamle mobiltelefonen når man får utlevert en ny, eller hvordan den bærbare PC-en skal behandles når den er på hjemmebane. Nye regler, rutiner og systemer bør alle ansatte få opplæring i, slik at de følges og brukes riktig. Det vil redusere antall uheldige hendelser og dermed øke sikkerhetsnivået i bedriften.
Videre bør bedrifter og ansatte følge rådene fra NSM som nevnt ovenfor. I tillegg bør det alltid tas backup av data, og deretter backup av skyen – gjerne til et fysisk datasenter. Små bedrifter er like utsatt for sikkerhetshendelser som store bedrifter, derfor bør alle ta datasikkerhet på alvor.
Verktøy som øker sikkerhetsnivået
Et godt sted å starte er Microsoft Sikkerhetsscore, som gir en oversikt over sikkerheten i alle tjenestene bedriften har i Microsoft 365. Verktøyet måler hvor robust den eksisterende sikkerhetsstatusen er, og identifiserer forbedringspotensialer. Med relativt enkle grep kan du øke sikkerheten i bedriften flere hakk. Noen tiltak er mer krevende enn andre, så det lønner seg å få assistanse fra noen med kompetanse på området.
SIEM og GDPR
Dersom det forekommer en sikkerhetshendelse, er det viktig å kunne spore hva som har skjedd. SIEM er et verktøy som hjelper bedrifter å oppdage og analysere når det har skjedd noe. Alle logger fra domenekontroller, brannmurer, applikasjonsservere og databaseservere samles inn, for å avdekke hva som har skjedd og hvor det startet.
SIEM kan ikke stanse angrep. Men, ved hendelser som inkluderer personvernrettigheter er det krav fra sentrale myndigheter om å rapportere så nøyaktig så mulig rundt omfanget av en slik hendelse. Dersom personvern er på avveie, har bedrifter meldeplikt ovenfor Datatilsynet. Men, hvis logger er under kontroll, vil du med god sikkerhet kunne se om persondata er på avveie eller ei. Det er svært verdifullt i forhold til risiko for GDPR-bøter.
For å sikre bedriften og ha mulighet til å stoppe hendelser så tidlig som mulig, eller før det utøves for stor skade, er man avhengig av systemer som beskytter ved hjelp av adferdsvurdering. En PC vil for eksempel kunne bruke AI-basert endepunktsikring, som legger merke til forskjellen mellom normal og avvikende atferd. En annen metode som gir god beskyttelse mot eksterne angrep, er å sikre e-postdomene. Domene må verifiseres og det defineres en regel om hvem som har tillatelse til å sende e-post på vegne av for eksempel @serit.no.
Serit hjelper deg med datasikkerhet i bedriften
Datasikkerhet er bedriftens eget ansvar, for det er de som eier dataen de sitter på. Vi i Serit jobber daglig med sikkerhet, og vi er svært opptatt av det. Det er en stor del av vår hverdag, og vi bruker mye tid og energi på å formidle for våre kunder hvor viktig det er at sikkerhet også blir en del av deres hverdag. Man må tenke sikkerhet i alt man gjør, både hjemme og på jobb.
Vi sitter på mye kompetanse og erfaring når det kommer til datasikkerhet. Det er i stadig endring, og vi holder oss oppdatert slik at vi kan hjelpe våre kunder å sikre bedriftene sine best mulig. Ikke nøl med å ta kontakt om du vil slå av en prat med oss om hvordan du kan øke datasikkerheten i bedriften din.