DK-Cert har netop udgivet sin årlige rapport om sikkerhedsåret 2011, Trendrapport 2011, og i den forbindelse sammenstykket 10 gode råd til, hvordan virksomhedens sikkerhedsansvarlige bedst prioriterer sin tid.
Der er naturligvis stadig basale krav om, at enheder og klienter er sikre. Særligt, hvor medarbejderne har mulighed for at medbringe og bruge deres egne enheder bør det have skærpet fokus.
Derfor foreslår DK-Cert:
1 -Implementer procedurer til at sikre, at der benyttes automatisk opdatering på alle enheder samt at brugerne benytter centralt styret firewall og opdateret antivirusprogram med mere.
2 - Hold organisationens ansatte opdateret med informationssikkerhedsproblematikker, der er relevante for netop dem.
En anden væsentlig del af sikkerheden består i at holde sig opdateret om de aktuelle trusler, som er de to følgende råd:
3 - Sørg for at aktuelle trusler inkluderes i organisationens informationssikkerhedspolitik. Sørg også for, at brugerne kender indholdet i politikken.
4 - Udarbejd regler og procedurer for brug af egne computere med videre og gør det klart, hvordan et stigende krav om brug af og tilgængelighed fra multiple platforme skal håndteres. Er det for eksempel muligt at anskaffe samme krypterings-software og antivirus til alle platforme?
Forretningssystemerne skal med
Organisationens forretningssystemer kan være sårbare og bør holdes opdaterede for at sikre mod angreb:
5- Benyt automatisk softwareinspektion, scanninger og penetrationstest og abonner eksempelvis på varsling af sårbarheder. Services, der ikke bruges, kan også være sårbare og misbruges. Luk derfor for services, som ikke benyttes og minimer adgangen fra segmenter og brugerkonti, der ikke skal benytte den pågældende service.
6 - Giv kun mulighed for brug af stærke passwords.
7 - Sørg for, at alle data, der sendes til serveren, valideres inden eksekvering og lagring på organisationens webapplikationer.
Fejl 40
Det er stadig ofte menneskelige fejl, som er årsag til tab af fortrolige forretningsdata, og derfor skal man have klare retningslinjer på området, hvilket bringer os til:
8 - Begræns adgangen til det nødvendige og brug eventuelt systemer til Data Leak Prevention for at
sikre, at organisationens informationssikkerhedspolitik overholdes.
9- Krypter forretningskritiske data. Det gælder både i skyen, på serveren, i transaktionen og ved anden transport på eksempelvis bærbare computere, smartphones og andre mobile enheder.
Dine leverandører og kunder udgør også en potentiel risiko, derfor skal der være fokus på hvilke data, de har adgang til, og hvordan de behandler dem:
10 - Benyt aktivt organisationens risikovurderinger ved udfærdigelse af kravspecifikationer og kontrakter. Tænk herefter internetudbydere, hosting-selskaber, outsourcing-leverandører og kunder som samarbejdspartnere.
