For mange virksomheter, spesielt små og mellomstore bedrifter, kan det være en stor utfordring å ta vare på og sikre viktig informasjon. Her får du en sjekkliste med sikkerhetsråd for bedrifter.
Viktigheten av å etablere god sikkerhet
Som de fleste er godt kjent med er cybertrusselen stadig økende, og med det øker også risikoen for å bli rammet av et angrep. Det å etablere nødvendig sikkerhet er både ressurs- og kompetansekrevende. I mange tilfeller kan det være vanskelig å ta stilling til om det er mest hensiktsmessig å etablere intern drift og sikkerhet, eller om tjenesteleveransene, inkludert sikkerhet, skal settes bort til en tredje-part eller en partner.
Uansett hva som velges er det en rekke grunnleggende forhold som bør ivaretas av bedriften og dens ansatte.
Sjekkliste for sikkerhet
Punktene i den etterfølgende sjekklisten kan være et godt utgangspunkt for mange bedrifter, ved å sørge for at:
Generelt
Sørg for at:
- Alle ansatte har nødvendig sikkerhetsbevissthet og -kompetanse
- Det finnes sikkerhetskopier av viktig informasjon
- Informasjon som finnes på forskjellige plattformer, er kryptert
- Det finnes en dokumentert oversikt over alle deler av egen informasjonsinfrastruktur, herunder alle godkjente produkter og løsninger
- Bedriften må være en aktiv kravstiller ovenfor eksterne tjenesteleverandører
- Bedriften er bevisst sin egen rolle og posisjon i en helhetlig leverandør- og verdikjede
- Bedriftens informasjon blir merket (tagget) på en måte som gjør at den blir behandlet i henhold til gjeldene lover og instrukser, og at bedriftens behov for skjerming blir ivaretatt
Oppdateringer og kryptering
Sørg for at:
- Alle enheter, programvare og operativsystemer er oppdatert med siste versjon, og at kun lovlig, «supporterte» og konfigurasjonsstyrte applikasjoner og operativsystemer benyttes
- Data og informasjon på sluttbrukerutstyr bør krypteres
- Begrens bruken av flyttbare lagringsmedier. I de tilfeller de må benyttes bør informasjonen på mediet krypteres
Passord
Sørg for :
- At det stilles krav til utforming av både bruker- og administratorpassord
- Bedriften bør tilby totrinnsbekreftelse for innlogging på alle tjenester
- At det er god kontroll og oversikt over bedriftens brukere og brukerkontoer
- At det etableres rollebasert tilgangskontroll på tjenester, funksjonalitet og informasjon
Les mer om hva totrinnsbekreftelse er og hvordan du aktiverer det.
Rutinger og tiltak
Sørg for :
- Etablering av rutiner, prosesser og prosedyrer for hendelseshåndtering
- at det gjennomføres risiko og sårbarhetsvurderinger
- Informasjon og data på mobile og flyttbare løsninger kan slettes, hvis utstyret blir mistet eller stjålet
- at det er god oversikt over eksterne tjenesteleverandører, og at disse følges opp på en hensiktsmessig måte
- Etablering og gjennomføring av forskjellige tekniske tiltak som for eksempel:
- Forskjellige overvåkningslogger, med mulighet for analyse av disse
- Beskyttelses og deteksjonsmekanismer for e-post løsninger og nettlesere
- Beskyttelse mot skadevare
- Etablering av gode back-up rutiner, med mulighet for å kunne gjenopprette data
- Etablering av rutiner for drift av egne nettverk og infrastruktur
- Vurder om det bør gjennomføres penetrasjonstester
