Kontakt oss
    IT-sikkerhet 17.12.2024

    Hvordan styrke din sikkerhetsgrunnmur

    Skrevet av Advania

    Informasjonssikkerhet er avgjørende for å opprettholde produksjon, sikre leveranser og bevare tilliten hos kunder og partnere. Selv om trusselbildet er i konstant endring og gradvis blir mer komplekst og sofistikert, kan majoriteten av angrepsteknikker og -metoder håndteres med grunnleggende sikkerhetstiltak. 

    – De som står stødig har en helhetlig tilnærming til informasjonssikkerhet, og tar hensyn til både mennesker, prosesser og teknologi i sikkerhetsarbeidet. Sikkerhet er mer enn brannmurer, antivirus og endepunktsikkerhet. Det krever at alle ansatte involveres og får ansvar for å aktivt bidra til å beskytte virksomhetens verdier i det daglige arbeidet.  

    Det sier senior sikkerhetsrådgiver og leder for teamet som tilbyr rådgivning innenfor sikkerhets- og risikostyring i Advania, Erik Stol Øyan. 

    – Vår erfaring er at de som jobber best med sikkerhet har forankret dette på leder- og styrenivå. Vi ser altfor ofte at ansvaret plasseres hos IT-avdelingen. Vår klare anbefaling at styret og ledelse tar det overordnete ansvaret for informasjonssikkerheten, og at IT-avdeling eller driftsleverandør er utførende part, fortsetter Øyan. 

    Angrep kjøpes på mørke nettet 

    En god sikkerhetsgrunnmur er blitt viktigere enn noen gang.  Spesielt i møte med profesjonaliserte og organiserte nettverk av trusselaktører som retter seg mot både store og små virksomheter, med mål om økonomisk gevinst eller skade.  

    Den tiden da det krevde teknisk kompetanse for å gjennomføre angrep er i stor grad over. Øyan kan fortelle at dette nå selges som en tjeneste på det mørke nettet.   

    – I teorien kan hvem som helst kjøpe både tjeneste- og løsepengeangrep av «profesjonelle» aktører. Denne utviklingen forsterker behovet for overordnede retningslinjer og krav til virksomheter, sier han. 

    – GDPR banet vei for bedre personvern, og vi ser at forordninger som DORA og NIS2 også kan ha en slik positiv effekt i tiden fremover. Dette krever imidlertid enda mer av virksomhetene, og i tilfellet med NIS2 kan styret bli personlig ansvarlig for manglende etterlevelse av sikkerhetskrav. Tiden er inne for å ta et aktivt forhold til informasjonssikkerhet, sier han. 

    Start med å forstå hva du har, og hva du trenger 

    Selv om mange virksomheter er sammenlignbare, vil hver enkelt ha unike behov innen sikkerhet når det kommer til tjenesteproduksjon og -leveranser, og støttefunksjoner som IT-drift og informasjonssikkerhet. Det første og viktigste steget er derfor å forstå hvor du er, og hvor du skal.  

    – Om dere er underlagt forordninger som DORA og NIS2, vil dette være et bra sted å begynne, for å sikre etterlevelse og unngå bøter. Uavhengig av hvilke regulatoriske krav som treffer deg vil NSM sine grunnprinsipper for IKT-sikkerhet være et godt utgangspunkt for sikkerhetsarbeidet.  

    Det er også lurt å ha en grunnleggende forståelse for trusselbildet du opererer i. 

    – Hvilke trusselaktører er det som kan ha en interesse for det du produserer og leverer, og hvilke teknikker og metoder benytter de seg av? Å gjennomføre en gap- og risikoanalyse gjør dere i stand til å forstå risikoen og prioritere innføring av tiltak på en god måte, forteller Øyan. 

    Strukturer informasjonssikkerheten på en god måte 

    Parallelt med dette arbeidet, bør dere prioritere å utarbeide forståelige standarder og retningslinjer for informasjonssikkerhet. En god måte å strukturere informasjonssikkerhet på er å lage et styringssystem, slik at alle er omforent om hvilke retningslinjer, krav og standarder som gjelder.  

    Portrettbilde - Erik Stol Øyan

    Noen sikkerhetstiltak som vi anbefaler at du innfører

    Enkelte sikkerhetstiltak vil du være ansvarlig for selv, uavhengig av om du har satt ut drift av IT-systemer til en driftsleverandør, eller fremdeles drifter på egenhånd. Disse inkluderer blant annet: 

    • Identitets- og tilgangsstyring for å sikre at kun autoriserte personer har tilgang til systemer og data. 
    • Planlegging og gjennomføring av beredskapsøvelser for å teste og forbedre evnen til å håndtere sikkerhetshendelser. 
    • Årvåkenhet- og bevissthetstrening for ansatte for å øke bevisstheten for trusselbildet, de vanligste metodene trusselaktører benytter seg av og hva som kjennetegner dem. Slik trening bidrar også til at virksomheten reduserer risikoen for menneskelige feil og sosial manipulering. 
    • Regelmessig risikovurdering for å identifisere og prioritere sikkerhetstrusler og sårbarheter, mens også muligheter som ny teknologi kan gi.  
    • Oppfølging av tredjepartsleverandører for å sikre at deres sikkerhetspraksis ikke utgjør en risiko for virksomheten. 
    • Håndtering av sikkerhetshendelser, inkludert etablering av respons- og kommunikasjonsplaner og rapportering til relevante myndigheter. 
    • Overholdelse av lover og regler, som for eksempel GDPR og bransjespesifikke krav som sikkerhetsloven, DORA og NIS2. 
    • Kontinuerlig overvåking og forbedring av virksomhetens sikkerhetsstrategi for å møte nye trusler, tilpasse seg endringer i arbeidsmetoder og ta i bruk ny teknologi på en trygg måte. 

    Ved å ta ansvaret for disse områdene, kan virksomheten sikre et robust sikkerhetsnivå, uavhengig av hvordan IT-driften er organisert. 

    Andre sikkerhetstiltak som vi anbefaler: 

    I tillegg til sikkerhetstiltakene nevnt ovenfor, er det andre tiltak som også bør innføres for å styrke sikkerheten ytterligere. Dette omfatter, men er ikke begrenset til: 

    • Multifaktorautentisering (MFA): sikrer at det kreves mer enn bare et passord for tilgang, noe som betydelig reduserer risikoen for uautorisert tilgang. MFA innebærer at brukeren må vite noe (et passord), være noe (for eksempel biometri) og ha noe (en mobiltelefon eller kodebrikke). 
    • Endepunktsikkerhet: innføring av EDR-verktøy (Endpoint Detection and Response) gjør virksomheten i stand til å overvåke og beskytte enheter som datamaskiner, mobiler og IoT-enheter. 
    • Patch- og sårbarhetsstyring: dette er nødvendig for å sikre at alle systemer, applikasjoner og enheter er oppdatert med de nyeste sikkerhetsoppdateringene, og bidrar til å redusere risikoen for at sårbarheter kan utnyttes av trusselaktører. 
    • Datakryptering: sensitive data bør beskyttes både i ro og under overføring for å unngå datalekkasjer – dette gjøres mest effektivt med datakryptering. 
    • Zero Trust- og least privilege-tilnærming: et viktig aspekt for å videreutvikle identitets- og tilgangsstyringen, er å innføre nulltillit og minste privilegium. Dette innebærer at virksomheten begrenser tilgang til ressurser basert på kontinuerlig verifisering, uavhengig av brukerens plassering eller nettverk, og at ansatte kun får tilgang til det de trenger for å gjøre jobben sin. 
    • Sikkerhetskopiering og katastrofeplanlegging: Regelmessig ta sikkerhetskopier og teste gjenoppretting for å sikre rask respons ved datatap eller angrep. 
    • Nettverkssegmentering: virksomheten bør dele opp nettverket i soner for å begrense skadeomfanget ved et brudd. Det kan med fordel være egne nettverkssegmenter for produksjon, administrasjon og gjester. 

    – Informasjonssikkerhet er et pågående, men viktig arbeid. Cyberkriminelle trusselaktører utvikler seg hele tiden, for å stå best mulig rustet er det helt nødvendig at norske virksomheter gjør det samme, avslutter Øyan.  

    Er du usikker på hvor godt sikret du er? Vi tar gjerne en sikkerhetsprat med deg.  

    Les mer om hvordan vi jobber sammen med Stangeland Maskin på sikkerhet.
    Del:

    Relaterte artikler