Ransomeware og it-sikkerhed – arbejdet starter hos dig selv

Synes du, at det er i orden at miste store værdier, fordi man ikke har styr på sin it-arkitektur og på it-sikkerheden, behøver du ikke at læse videre!

Gennem det seneste halve år har ransomeware, GDPR (EU-persondataforordning), og it-sikkerhed fyldt meget i dagspressen og hos de it-ansvarlige i firmaer og organisationer. Mange sikkerhedseksperter og -firmaer har udtalt sig om, hvordan man minimerer truslen. Alle er enige om, er, at man skal holde sine systemer opdateret med de nyeste patches, man skal sørge for at tage back up og være sikker på at kunne gennemføre en restore, og man skal sørge for at anvende gode leverandører med de rigtige værktøjer. Men hvordan kommer man i gang?

It-sikkerhed og kampen for at bevare kontrollen over kritiske data og det forretningskritiske produktionsapparat er ikke områder, hvor man udelukkende eller primært bør fokusere på aktiviteterne i cyberspace. It-sikkerhed er en kompliceret størrelse med mange farver på paletten, og alle farverne skal bruges for at sikre sig bedst muligt. En lang række af farverne har den enkelte virksomhed selv ansvar for og kontrol over, uanset graden af udlicitering eller brugen af cloudløsninger. Det er vigtigt at være bevidst om, at ansvaret for og adgangen til sensitive data ikke kan udliciteres. Et klart eksempel på dette er den nylige krise i Sverige, hvor et firma i Tjekkiet har haft adgang til personfølsomme data på svenske borgere.

Det nytter ikke nødvendigvis at anskaffe sig nye sikkerhedssystemer, hvis man ikke har styr på det basale, som er afgørende for it-sikkerheden. Et godt sted at starte er at se på din nuværende håndtering af it-området.

Har du den rigtige it-arkitektur?

It-arkitektur og valg af infrastruktur afhænger i vid udstrækning af, hvor stor risiko forretningen er villig til at løbe. Vil man have lav risiko, medfører det automatisk overvejelser om anvendelse af kryptering, DMZ, BYOD og fri adgang til internettet.

En del af arkitekturarbejdet består også i at have den rigtige rettighedsmodel og de dertil afstemte sikkerhedsværktøjer. Sikre, at der er overensstemmelse mellem organisationens værdier (data og systemer) og de valgte sikkerhedsløsninger. For at kunne træffe de rigtige valg, er det afgørende at gennemføre et grundigt forarbejde og lade sig udfordre via sparring med eksterne og uvildige personer med it-sikkerhedserfaring. Den eksterne sparring er med til at sikre, at man får en nuanceret gennemgang af it-sikkerheden.

Krav om høj sikkerhed medfører også krav om reguleret brugeradfærd

Med baggrund i erfaringer fra funktioner inden for den finansielle sektor og fra drift af forsvarets klassificerede netværk er der ikke tvivl om, at man i mange firmaer kan hæve sikkerhedsbarren betragteligt ved nøje at overveje om ens forretningskritiske systemer skal have adgang til internettet, og hvis om man skal etablere sikrede løsninger under anvendelse af kryptering, DMZ og datadioder. Det er imidlertid også klart, at man ikke kan hæve sikkerhedsbaren, uden at det medfører begrænsninger hos brugerne. I mange tilfælde vil dette betyde, at man kun have kontrollerede devices på coorporate netværk, ligesom det ikke er muligt at tilgå alt indhold på internettet – det er et vilkår, som ikke altid er populære, men hvis det sikrer produktionen og sparer trecifrede millionbeløb, er der en god baggrund for at forklare, hvorfor løsningerne har de givne begrænsninger.

Policies, kendskab til disse samt sikkerhedsuddannelse (awareness)

Det er afgørende, at man på it-sikkerhedsområdet har de rigtige policies, og at alle i virksomhederne forstår og efterlever disse policies. En forudsætning for at kunne efterleve disse er, at de er kendte, hvorfor der kontinuerligt skal arbejdes med awareness. Det er ikke nok, at man som ny medarbejder får en it-sikkerhedsbriefing eller får en kort skriftlig instruks. Policies skal konstant justeres for at kunne imødegå nye trusler, og brugere skal hele tiden holdes ajour vedr. betydningen af de justerede policies.

It-governance

Hvem bestemmer hvad på it-området? Og er it blot en omkostning, eller er it et afgørende strategisk værktøj, der måske er grundlaget for virksomhedens produktion. Denne diskussion har stået på de sidste mange år, og det er centralt, at roller og kompetencer fordeles, så balancen mellem brugertilfredshed og hensigtsmæssige driftsmiljøer går op i en højere enhed. Den seneste tids debat på it-sikkerhedsområdet kan betyde, at visse teknologier eller produkter ikke kan rummes inden for den arkitektur og it-sikkerhedsmodel, der er nødvendig, heller ikke selv om højt profilerede brugere ønsker disse teknologier.

For at undgå unødige konflikter og it-sikkerhedsrisici skal governance være på plads, og rollefordelingen være kendt og anerkendt. 

Processer og automatisering er lig med, at tingene gøres ens og rigtigt hver gang

En af de største risikofaktorer inden for it-sikkerhed er den menneskelige adfærd. For at minimere den menneskelige risikofaktor og dermed sikkerhedsrisikoen er det afgørende at have stringente processer. Følges processerne, minimeres antallet af fejl, og kan man automatisere en del af processerne, kan man på en række områder helt undgå den menneskelige fejlkilde. Gode processer giver også sporbarhed og dokumentation i forbindelse med såvel drifts- som sikkerhedsmæssige hændelser.

Dårlig brugersupport er en it-sikkerhedsrisiko

Vi har alle sammen prøvet det – du er nu nummer 47 i køen. Brugeren mister tålmodigheden og søger at løse problemet ad anden vej. Dilemmaet er, at brugeren via internettet eller ved at spørge en kollega ikke altid får den rigtige og sikkerhedsmæssigt forsvarlige løsning på et problem. Den lange ventetid modarbejder de ønskede processer. Er brugeren standhaftig og får supportfunktionen i tale, skal man være sikker på, at brugersupport anvender et forståeligt sprog for at formidle den rigtige løsning.

Overholder man ikke ovenstående, mister man vigtige bidrag i relation til problem–management, ligesom man bidrager til at udvikle en uhensigtsmæssig kultur og introducerer fejl og sikkerhedsrisici.

Hvorfor mener vi det, vi gør?

I Informi A/S er det afgørende, at vores konsulenter har stor praktisk erfaring fra stillinger som fx ansvarlige for it-drift, program og projektstyring, governance og frem for alt sikkerhed. Vores konsulenter er primært rekrutteret fra den finansielle sektor, forsvarets it og sikkerhedsorganisationer samt fra ministerier med særlige krav til it-sikkerhed. Vi tager ofte udgangspunkt i problematikker og løsninger, som vi selv har oplevet, og hvor vi efterfølgende har suppleret vores viden.

Vores konsulenters baggrund er årsagen til, at vi ikke går på kompromis med sikkerheden, heller ikke selv om økonomien er presset. Baggrunden for dette er, at man i det lange løb sparer penge og sikrer sit brand ved at have styr på sikkerheden. Konsulenternes baggrund baseret på praktiske erfaringer medfører også, at vores anbefalinger kan implementeres.

Informi A/S har udarbejdet et koncept for it-eftersyn, hvor vi møder de it-ansvarlige i øjenhøjde og arbejder med ovenstående problemstillinger. Gennemførelse af it-eftersynet giver grundlag for forbedringer på områderne:

  • Forøgelse af it-sikkerheden
  • Etablering af overblik i forhold til implementering af internationale standarder, ISO27000 og GDPR
  • Optimering af it-aktiviteterne

It-eftersynet er udviklet, fordi vi i Informi A/S er fortalere for, at man starter med en erkendelse af, hvor man står i dag og identificerer sikkerhedsaktiviteterne med det som udgangspunkt.