Vigtigt: Disse fire sikkerheds-tiltag skal du få på plads i år

Klumme: Med en opgave per kvartal kan du øge sikkerheden i din virksomhed i løbet af året. Vi begynder med at dræbe alle gamle IE-versioner. Se her, hvad du bør gøre.

Den første måned af 2016 er næsten gået, og hvordan står det til med sikkerheden?

Hvis du har det ligesom mig, går tiden meget hurtigt.

Måske var januar en måned, hvor du ikke fik gjort noget ekstra ved sikkerheden.

Jeg har i denne måneds klumme samlet fire konkrete tiltag, der kan være med til at øge sikkerheden. Nogle er nye, andre har jeg tidligere slået på tromme for.

Der er fire forslag, et til hvert kvartal.

Dræb de gamle IE-versioner
Opgave nummer et er at få udryddet de forældede udgaver af Internet Explorer.

Det har altid været en god ide, men siden 12. januar er opgaven vokset i omfang.

I dag understøtter Microsoft nemlig kun Internet Explorer 11.

Ok, der er nogle undtagelser med Vista og Windows Server, men glem dem: Det er på tide at komme af med de gamle versioner.

Årsagen er, at sikkerhedshuller i de ældre versioner fremover ikke vil blive lukket.

Og Internet Explorer har traditionelt været plaget af mange sårbarheder.

Der går sjældent en måned, uden at der er sikkerhedsrettelser til programmet.

Hvilken løsning I vil vælge, er op til jer selv.

I kan fortsætte med Microsoft og gå til Internet Explorer 11 eller Edge. Eller I kan vælge Chrome, Firefox, Opera, eller en anden løsning.

Umiddelbart lyder det enkelt.

Men jeg er godt klar over, at der rundt om i landet garanteret stadig kører web-applikationer, der er skrevet til Internet Explorer 6.

Måske virker de under en nyere browser, måske ikke.

Derfor skal projektet med at udfase de historiske versioner også omfatte en testfase og planer for, hvordan I vil håndtere de webtjenester, der kræver dem.

Luk for åbne UDP-tjenester
Som opgave nummer to foreslår jeg, at I identificerer de UDP-tjenester (User Datagram Protocol) på jeres netværk, der er åbne for opkald ude fra internettet.

Jeg tænker især på tjenester som DNS (Domain Name System) og NTP (Network Time Protocol).

Problemet med dem er, at de i nogle tilfælde misbruges til DDoS-angreb (Distributed Denial of Service).

Det sker ved, at angribere sender forespørgsler med forfalskede afsenderadresser til serverne på jeres net.

Når jeres servere svarer, går svaret til den forfalskede adresse, der tilhører offeret for angrebet.

Det bliver et problem, når tusindvis af servere sender svar til en server på forespørgsler, den aldrig har afsendt.

Oven i købet kan angribere udnytte nogle UDP-tjenester til at forstærke angrebet. Det sker, når en kort forespørgsel udløser et langt svar, som sendes til offeret.

Første fase af denne opgave er at afklare, hvilke tjenester angribere overhovedet kan nå ude fra nettet.

Derefter skal I undersøge, i hvor høj grad I kan spærre for dem. Skal alle have adgang? Skal nogen?

Mængden af DDoS-angreb er stigende. Ved at lukke for åbne UDP-tjenester kan I undgå at blive udnyttet til et angreb.

Kortlæg datastrømme for persondata
I år bliver EU's persondataforordning vedtaget. Derefter har vi to år til at forberede os til at efterleve den.

Hvis I behandler persondata, bliver I sandsynligvis underlagt de nye regler. Og hvem gør ikke det?

En konsekvens er, at I skal kunne dokumentere, hvordan data om personer bevæger sig rundt i jeres organisation.

Den kortlægning kan I lige så godt gå i gang med nu.

Sæt jer ind i, hvilke konsekvenser forordningen vil få for jer.

Vi skriver i øvrigt om emnet i årets DKCERT Trendrapport, som vi udsender senere på foråret.

Sidder du i en statslig institution, skal I overholde kravene i ISO 27001.

Hvis det ikke er helt på plads endnu, er det oplagt at koordinere den opgave med arbejdet med persondataforordningen.

Drop Flash Player
Sikkerhedsforskere har gennem årene fundet over 700 sårbarheder i Adobe Flash Player. De er ofte alvorlige.

Tidligere var Flash Player nødvendig, når man ville se animationer, video eller andet multimedia-indhold på en webside.

Men med HTML 5 kan Flash undværes.

Derfor er det på tide at undersøge, om I kan undvære Flash.

Som minimum kan I begrænse udbredelsen, så programmet kun ligger på de pc'er, der ikke kan undvære det.

Der er naturligvis mange flere opgaver, der kan øge jeres sikkerhed. Prioriter dem, der giver mest mening for jeres virksomhed.

For sjov kan I jo udskrive denne klumme og hænge den på en opslagstavle.

Tag et kig på den igen ved juletid og se, hvor langt I nåede med opgaverne.

God arbejdslyst.


DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet.

I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeIC, DTU.

Henrik Larsen opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Brother Nordic A/S
Import og engroshandel med kontormaskiner.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Få mere fart på dit internet: Optimering af WiFi, 4G og kablede forbindelser

Bliv klogere på, hvordan du får mere fart på dit netværk og hør om optimering af både WiFi, 4G og kablede forbindelser. Kom og få indsigt i de nyeste og mest effektive værktøjer, der kan bruges til at optimere og kvalitetssikre netværk. Du bliver også introduceret til konkrete koncepter og løsninger, der kan tages i brug, når medarbejderne er på farten. Herunder spiller både økonomi, brugervenlighed og ikke mindst it-sikkerhed en afgørende rolle.

21. september 2017 | Læs mere


Kompetera SolutionsDay 2017

Som it-professionel i dag forventes du at have et bud på fremtiden, fod på sikkerheden og fuldt styr på driften. På Kompetera SolutionsDay 2017 får du inspiration og svar - kom og hør spændende indlæg fra blandt andre Jakob Scharf tidligere chef for PET og Ken Bonefeld Nielsen, head of corporate security & ACA Department hos Sony Mobile Communications.

05. oktober 2017 | Læs mere


Få mere fart på og kvalitet i udviklingsafdelingen med DevOps

Få indsigt i den populære DevOps-tankegang, der kendetegner den moderne it-organisation, hvor samarbejde og integration er nogle af nøgleordene. Kom og hør konkrete cases fra virksomheder, der arbejder efter DevOps og mød de førende leverandører, der fortæller, hvordan du kommer derhen, hvor udviklingsafdelingen kan understøtte den digitale innovation med de ideer og i det tempo, som der forventes.

10. oktober 2017 | Læs mere






Computerworld
De 30 største danske it-virksomheder: Her er antallet af ansatte - og hvor mange penge, der bruges på løn
Top 100: Computerworld har nærstuderet årsregnskaberne fra 499 danske it- og televirksomheder og kan her bringe listen med de 30 største arbejdspladser. Se antallet af ansatte og få et indblik i, hvor mange penge virksomhederne bruger på løn til medarbejderne.
CIO
Du risikerer at blive hægtet helt af, hvis ikke dit netværk bliver fremtidssikret - og det haster
Klumme: Hver dag går mere 168,1 petabyte gennem netværket hos AT&T, hvilket svarer til 130 millioner timers video i HD. Det viser, hvor store krav der i dag stilles til en virksomheds netværk. Er du klar til det?
Comon
Oversigt: Her er de bedste Android-smartphones der kan købes i Danmark
Det vrimler med spændende Android-smartphones på markedet. Vi har samlet en oversigt over de bedste Android-telefoner, du kan købe herhjemme netop nu.
Job & Karriere
Se listen: Disse it-folk bliver ansat på stedet - cheferne skriger efter helt bestemte it-kompetencer
Der er en markant mangel på it-folk med helt bestemte kompetencer samtidig med, at it-cheferne er i gang med at øge bemandingen i it-organisationerne. Se listen med de mest efterspurgte it-kompetencer netop nu.
White paper
Sådan får mindre virksomheder ny it-infrastruktur i topklasse til lavpris
Digitaliseringen buldrer frem i erhvervslivet, og store virksomheder har travlt med at investere i nye it-løsninger for at placerer sig bedst muligt i en konkurrencesituation, der bliver stadig mere skarp. Det mærker man også i de mindre virksomheder, men for dem er indkøb og vedligeholdelse af et it-system ofte en uoverskuelig og kostbar opgave, der tilmed kræver særlige kvalifikationer, som virksomheden måske ikke selv besidder. Her kan ny, moderne hyperkonvergeret it-teknologi være løsningen. Læs i dette whitepaper om fordelene og detaljerne i en komplet, nøglefærdig it-infrastruktur fra Lenovo, Intel og Nutanix, som tilmed er prismæssigt meget gunstig.