Går vi 10 år tilbage var alt data en virksomhed ejede opbevaret på servere inde i virksomheden. I dag vil organisatoriske data og systemer være overalt. I skyen, i internet applikationer, på medarbejdernes personlige enheder sammen med mange tredjepart udbydere.

Med forskellige typer af data, kommer også muligheden for sikkerhedsbrud. Det er ikke et spørgsmål om, om din organisation vil opleve et forsøg på uautoriseret adgang fra aktører som: konkurrenter, andre lande, cyberkriminelle eller en god gammeldags hacker. De vil forsøge at manipulere med dine data eller på anden måde påvirke din virksomheds data. Jeg kan kun sige det meget klart – det er et spørgsmål om hvornår.

Cybersikkerhed handler om at beskyttet en internet-forbundet organisation fra ondsindede aktører eller fatale fejl forårsaget af en bruger. Grundlaget for stærk cybersikkerhed bygger på tre kerneprincipper: integritet, tilgængelighed og fortrolighed.

Det er ledernes ansvar at sørge for at deres organisations data er præcise og tilgængelige når der er behov for dem og at der er regler for, at kun de rigtige må tilgå dem. For at gøre det, skal du forstå de mest almindelige typer angreb og hvilke kontroller der kan hjælpe dig med, at holde din organisation sikker.

Hvem angriber og hvorfor?

Sikkerhedstrusler kommer fra forskellige steder. Kender du til motivationen og hensigten en ondsindet aktør har, kan du estimere sandsyngliheden for et angreb og hvilken indvirkning det vil have. Dette kaldes en cyberrisikovurdering. I denne vurdering, skal du gennemtænke hvorfor nogen vil angribe din organisation og hvilke sårbarheder der findes. Husk på at ikke alle angreb bliver lavet for at stjæle data. En sikkerhedstrussel er alt, som bringer fortrolighed, integritet og tilgængelighed af dine data i fare.

En hacker vil forsøge at få et system til at gøre noget, det ikke skal gøre – dette kan opnås på tre forskellige måder.

  • For det første udnytter de en fejlkonfiguration af systemet, der tillader uautoriserede personer at have adgang.
  • For det andet drager de fordel af en teknisk fejl eller sårbarhed i software, der kører på systemet, ved at manipulere softwaren på specielle måder til deres “fordel”.
  • Den tredje måde er enklere. En angriber bruger bare brugernavnet og adgangskoden for en reel, autoriseret bruger.

Når først den angribende har adgang til systemet, kan de stjæle eller manipulere med data eller helt gøre det utilgængeligt.

Hvor starter en der vil angribe? Det første sted vil være din organisations synlige systemer på internettet. Hvis en angribende kan kompromittere det system, er det måske nok for vedkommende. Den anden måde er at den angribende forsøger at bryde ind i et system inde i selve organisationen. Du har formentlig hørt om phising. Det er et forsøg på at lokke en person til at eksekvere ondsindet programmer, helt uvidende.

Hvad er en kontrol og hvorfor har du brug for dem?

Alle computersystemer har sårbarheder, nogle med mere simple og andre mere komplekse. Hvis en hacker forsøger nok, skal vedkommende nok finde en måde at udnytte sårbarheden på. Ethvert forsøg en organisation tager for at eliminere sikkerhedstrusler kaldes en kontrol. Det hårdeste arbejde ved cybersecurity er at vælge de rigtige kontroller og derefter sikre sig at disse kontroller faktisk virker.

Klar på en kort liste mere? En kontrol kan være forebyggende, opklarende eller korrigerende. Forebyggende kontroller er ting som adgangskoder eller to-trins godkendelse (multi-factor authentication). Opklarende kontroller er dem der opdager og markerer malware, phising forsøg eller lignende. De korrigerende kontroller håndterer kølvandet efter et angreb ved brug af værktøjer som analyser, gendannelse fra backups og incident response (det lød mærkeligt på dansk).

Hvis du synes det lyder kompliceret at implementere kontroller, så bare tag det roligt. I en verden fuld af cybersikkerhed, benytter de fleste organisationer frameworks eller prædefinerede processer samt kontroller til at håndtere cyber trusler.

Kontrol frameworks er lidt som en æske chokolade. I stedet for at vælge hver eneste individuelle kontrol, skræddersyr frameworks kontroller til en organisations størrelse og aktivitet. Bemærk her at forskellige industrier enten kræver eller foreslår forskellige frameworks du kan implementere i din organisation.

6 praktiske kontroller til cybersikkerhed

Uanset hvordan en organisation bestemmer, hvilke kontroller der er behov for, hvad enten det er via risikovurderinger eller ved brug af et framework, er der nogle mindre vigtige kontroller, som næsten enhver organisation bør benytte.

1. Opdater operativsystemer

Når en sårbarhed opdages i software, vil producenten finde en løsning på, hvordan sårbarheden kan løses og tilbyde en opdateret version af softwaren. Det er derfor super vigtigt at du holder dine systemer opdateret – det vil hjælpe med at beskytte mod seneste identificerede sårbarheder.

2. Whitelist applikationer

Whitelisting betyder at en computer er konfigureret til kun at køre software som organisationen tillader. Det kan være en hård kontrol at administrere, men den gør det meget svært for en hacker.

3. Forstærkning af computerens forsvar

Vær sikker på at alle konfigurerbare indstillinger i operativsystemer og applikationer er konfigureret med sikkerhed for øje. En anden anbefaling er på regulær basis at afinstallere dele af operativsystemet og applikationer der aldrig bliver brugt.

4. Begræns administrativ adgang

En af de nemmeste kontroller og som anbefales af alle frameworks er at begrænse antallet af personer i din organisation, der har administrativ adgang. Ved at reducere antallet af konti, der har denne type adgang, er der færre konti at beskytte mod angreb udefra.

5. Implementer to-trins godkendelse (multi-factor)

Kræv at en bruger benytter noget andet end et traditionelt brugernavn og adgnagskode for at logge ind. Det kan være noget unikt for brugeren, fingeraftryk eller et fysisk produkt, som brugeren har. Dette kan være et smart card eller en mobil enhed.

6. Lav sikre backups af dine data

Hvis en hacker får adgang til et system eller manipulerer med det, sletter eller krypterer data mod betaling fra organisationen, er en backup din ven. En backup hjælper organisationen med at gendanne data og det daglige rutiner uden, der skal betales en løsesum (ransom) til hackeren.

Hvad kan du ellers gøre?

Udover tekniske kontroller, er der måder hvorpå du kan forbedre cybersikkerheden i din organisation – det sker gennem processer og personale.

Lad mig starte med at sige en ting – kontroller kan fejle eller blive gamle. Det som beskyttede din organisation for et år siden og måske har dine kontroller brug for en opfriskning. Derfor er det vigtigt at lave kontroller der er nyttige, hvad angår at teste dine systemer og supportere medarbejdere.

Overvej specifikke roller for cybersikkerhed. Nogle er mere almindelige cybersikkerhedsroller andre sikkerhedsarkitekter, security operations specialister, penetration testere, governance, risk and compliance specialister eller nogen der gennemgår din cybersikkerhed. Alt afhængig af din virksomhed har du formentlig ikke brug for en af hver rolle.

Som det sidste vil jeg sige at du skal sørge for at indarbejde sikkerhedsforanstaltninger i din udviklingsproces. Find ud af hvilke måder din applikation kan blive angrebet på eller truet. Kør penetrationstest ofte og ved hvert release skal du sikre dig at sikkerheden er på højeste niveau.

Cybersikkerhed er en top prioritet – den vil fremover forblive en top prioritet for alle organisationer. Hvis du overveje at begynde eller genopfriske dine nuværende sikkerhedsprocedurer, skal du være sikker på du har en fundamental forståelse af det ovenstående. De vil være nødvendige for din mulighed for at sikre dine data og reagere korrekt på trusler mod din organisation.

Leave a Reply