Stort galleri:Tag med til kåringen af Årets CIO 2021 - og se hvordan Morten Holm Christiansen blev udnævnt

Artikel top billede

Foto: Nicolai Devantier

Fem råd: Det skal du vide som it- og sikkerhedsansvarlig i virksomheden

Her er fem gode råd til, hvor du skal koncentrere sikkerhedsindsatsen i dit netværk. Computerworld har samlet tre eksperter til en debat om APT og it-sikkerhed.

Paneldebat: Hvad skal du vide som it- og sikkerhedsansvarlig i virksomheden?

Hvor skal du lægge dine penge og indsætte mandskabet?

Computerorld har sat tre sikkerhedseksperter stævne på et hotel i Sydhavnen i København i forbindelse med konferencen Advanced Persistant Threat for at få svarene.

Læs også: Hackerne dropper spredehagl og går direkte efter dig med APT-angreb

Som en afslutning på konferencen kan de 100 fremmødte it-folk stille de sikkerhedsspørgsmål, som de går og tænker over hver eneste dag.

Spørgelysten er stor til paneldeltagerne, der er Ebbe B. Petersen chef i Center for Cybersikkerhed, Bjarne Lauritzen, ansvarlig for Fortinet i Norden og Rasmus Theede, vice president, KMD group quality and security.

Her har vi samlet de bedste spørgsmål.

Et godt råd

Kan I give et råd til, hvor man skal sætte ind mod APT-angreb?

"Du skal samarbejde med en leverandør, du stoler på. Det handler både om teknologi og udveksling af erfaringer. Når man arbejder sammen, kan man dele viden," siger Bjarne Lauritzen fra Fortinet.

Og han suppleres af KMD-manden:

"Man skal sørge for at have styr på sit netværk. Det skal være opdateret og få også basissikkerheden på plads. Sørg for, at du kender dine data, dit antivirus-program og din patch-management."

De systemer, der er kompromitteret, er ofte dårligt dokumenterede. Det er også et sted at starte, hvis man ikke har det på plads. 

Hvad skal man stille af krav til en APT-sikkerhedsløsning?

"Du skal bruge forskellige teknologier. Der er ikke en teknologi, der kan dække alt. Derfor er det også vigtigt at konsolidere sin it-platform. Den skal gøres overskuelig. Simpelhed er en dyd," lyder det fra Bjarne Lauritzen.

"Mange kunder er dårlige til at stille krav til sikkerheden. Man møder ofte tanken om, at det skal være hurtigt og billigt. I stedet skal man stille sig selv de detaljerede krav, så man ved, hvad der er brug for," vurderer Rasmus Theede.

Der er en stribe standarder eksempelvis fra ISO, men de beskrives som umodne af paneldeltagerne.

Man er ikke på sikker grund, fordi man overholder en standard.

EU har også retningslinjer på vej, men igen er det udefrakommende anbefalinger, der ikke nødvendigvis dækker den enkelte virksomheds behov.

"Mange vil fortolke reglerne billigst muligt, det er igen et problem," siger Rasmus Theede.

Man kan ikke outsource ansvaret, og man skal ikke være naiv, fordi man har en juridisk kontrakt. Derfor skal man være afklaret, men også stille krav som kunde.

Vælg den rigtige partner

"Og så skal du tænke på, hvor din partner kommer fra. En kinesisk partner er måske ikke den bedste. Men det afhænger naturligvis af opgaven," siger Rasmus Theede.

Hvad med USA med Edward Snowden i hukommelsen?

"En efterretningstjeneste er sat i verden for at beskytte en nation. Men man skal seriøst overveje, i forbindelse med en outsourcing, hvor ens data kommer til at ligge, og om de kan trækkes hjem eller lukkes ned," siger Ebbe B. Petersen.

Hvordan opdager man, at man er ramt af et APT-angreb?

"Det er svært, hvis man ikke overvåger sine data eller har nogen til det. Der skal eksperter til. Det er oftest os, der ringer til kunderne med oplysninger end omvendt," siger Bjarne Lauritzen.

"Man skal have flere forskellige synsvinkler på sit netværk, det kan være i form af samarbejdspartnere, der kan forskellige ting. Virksomheden skal ikke alene bruge meget tid på ganske få, men alvorlige angreb," lyder det fra Rasmus Theede.

Ligeledes er regelbaserede systemer, der kan fange ualmindeligheder i netværket, en god måde at holde øje med trafikken.

Hvor gode er værktøjerne til at modstå APT-angreb på en skala fra et til 10, hvor 10 er bedst?

"Der er gode værktøjer, men det er svært at sætte et tal på," siger Rasmus Theede.

Er det en otter?

"Det er ikke en tier, for så var der ingen problemer, men vi har gode værktøjer. Brugeradfærd og processer i virksomheden er mindst lige så vigtige som teknologi," vurderer han.

Flere enheder
Et kig ud i fremtiden. Bliver det værre?

"Jeg ved ikke, om det bliver værre, men der kommer flere enheder, med internet-i-alt, og derfor bliver platformen, der kan angribes, langt større," siger Ebbe B. Petersen.

Truslerne vil være konstante, lyder det i enighed.

"Desværre er basissikkerheden nok stadig det største problem for netværkssikkerheden mange år frem i tiden," vurderer KMD-manden.

Hvordan finder man en moden sikkerhedspartner i en udbudsrunde?

"Der er et troværdighedsproblem efter eksempelvis Se og Hør-sagen. Men kig i første omgang efter certificeringer, og så skal der være god kemi. Det lyder simpelt, men det betyder meget," siger Rasmus Theede. 

Ligeledes skal de interne sikkerhedsressourcer bruges som en vidensplatform før man begynder at spørge leverandørerne.

Læs også:

Hackerne dropper spredehagl og går direkte efter dig med APT-angreb

Forsvarets Efterretningstjeneste: Denne type it-angreb er den største trussel lige nu - otte it-advarsler fra efterretningstjenesten




Premium
Kæmpe it-problemer i det danske skattevæsen: Har kun kortlagt it-beredskabet for syv ud af 230 it-systemer
Statsrevisorerne skyder en sønderlæmmende kritik af Skatteministeriets it-beredskab af sted. It-beredskabet for kritiske forretningsprocesser "er utilfredsstillende og utilstrækkeligt," lyder det. I værste fald kan det ende med, at staten ikke kan opkræve skatter og afgifter, udbetale løn, SU, sociale ydelser og pension.
CIO
“Der har simpelthen været for få gråhårede medarbejdere involveret i den her udviklingsproces. Folk der ved, hvad der skal til”
"Vi havde ansat nogle unge mennesker i sandaler og med langt skæg for at bryde med det traditionelle it-setup. De her vakse unge mennesker fik også ret hurtigt bygget en supersmart applikation til virksomheden. Men den brager ned, da vi ruller den ud, og den fylder cirka 1,5 procent af alle transaktioner."
Job & Karriere
35-årig kvinde gik amok på hjemmekontoret efter fyring: ”De fjernede ikke min adgang, så jeg slettede p-drevet lol”
En 35-årig kvinde står anklaget for at have slettet 21,3 gigabyte data fra fællesdrevet efter, at hun blev fyret. Nu risikerer hun op til 10 års fængsel.
White paper
Så stor er risikoen for angreb via din Salesforce Cloud
Cyberkriminelle går målrettet efter Salesforce Cloud, men kun de færreste virksomheder er opmærksomme på, at de selv har et stort ansvar for at beskytte sig – eller ved, hvordan de gør.