Top CIO deler gode råd: Enhver virksomhedsledelse bør have styr på disse fire målepunkter for cybersikkerhed

Klumme: Med krigen i Ukraine er trusselsbilledet skærpet for alle virksomheder. En ansvarlig ledelse må spørge sig selv: Hvor sårbare er vi?

Artikel top billede

(Foto: Computerworld)

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter. Forfatteren har ingen kommercielle relationer til de nævnte virksomheder/produkter.

Med krigen i Ukraine er trusselsbilledet skærpet for alle virksomheder. En ansvarlig ledelse må spørge sig selv: Hvor sårbare er vi? Er virksomheden tilstrækkeligt beskyttet mod cyberangreb? Hvordan er vores sikkerhedsniveau ifht. konkurrenternes?

En fælles referenceramme for IT og forretning kan skabes ved at sætte tal på konkrete målinger af de kritiske dele af virksomhedens cyber-helbred. For en del år siden fandt konceptet balanced scorecard bred anvendelse inden for finansiel styring, og samme pragmatiske syn på måling og styring bør anlægges for cybersikkerhed.

Den gode nyhed er, at der med nogle få enkle og ofte gratis værktøjer kan foretages målinger på fire centrale områder, som kan besvare disse spørgsmål, uden at it-specialister behøver at blive engageret i større grad.

Disse værktøjer er naturligvis ikke perfekte i enhver henseende, men for de fleste virksomheder vil de være tilstrækkelige til at rette fokus på de mest nødvendige områder.

1. Ekstern digital positur – din virksomheds fodaftryk på Internettet

Virksomhedens cyber-visitkort til omverdenen skabes af hvad virksomheden udstiller af IT udadtil, gennem websites og netværksforbindelser til internettet etc. – også kaldet security posture.

Grundlæggende er en måling af de mange eksterne signaler en god indikator for virksomhedens generelle cyberhelbred, idet intern og ekstern IT sjældent adskilles. Hackere benytter samme type af målinger til at identificere deres mål.

Gennemføres en scanning af eksternt rettet IT for de største børsnoterede selskaber i Danmark, kan det overraske, at den gennemsnitlige cyber-positur-score for C25-selskaberne er lavere end for large-cap-selskaberne.

I en måling af C25-selskaber scorer en tredjedel under 80 point (på en skala fra 1 – 100, hvor 100 er perfekt), mens OMX Large-cap kun har en syvendedel, som scorer under 80 point. I OMX Mid-cap er hele 50% over 90 point, som indikerer stærk ekstern IT-sikkerhed. To OMX-selskaber har en score lavere end 65 point.

En sådan ekstern måling giver virksomhedsledelsen mulighed for at benchmarke cyber-helbredet op mod konkurrenterne og at finde svagheder i forsyningskæden. Prøv SecurityScorecard.com, som er gratis at anvende for måling af egen virksomhed.

Denne score sammenfatter hundredvis af målepunkter indenfor 10 risikoområder (se https://securityscorecard.com/resources/deep-dive-scoring-methodology )

2. Intern infrastruktur

Danmark er et Microsoft-land, hvor de fleste virksomheder benytter Microsoft-teknologi som fundament for IT-arkitekturen.

Det kan derfor med stor sikkerhed fastslås, at der er to centrale målepunkter internt i virksomhedens IT-infrastruktur, ledelsen skal have fokus på – Active Directory (AD) og sikkerhedsopdateringer af software.

I flere større ransomware-angreb har AD været den grundlæggende svaghed. Det kan tage flere år at rydde op og styrke opsætningen i virksomhedens ”digitale kontrolcenter”, hvorfor en løbende måling på kvaliteten af opsætningen af AD er et centralt målepunkt for virksomhedens cyber-robusthed. Prøv fx pingcastle.com eller purple-knight.com.

3. Sikkerhedsopdateringer

Dagligt opdages nye sikkerhedshuller i software. Alle IT-afdelinger kæmper målrettet med at få lukket hullerne. For at sikre et løbende overblik over evt. manglende (kritiske) opdateringer, bør ledelsen månedligt modtage målinger af status for cyber-svagheder og sikkerhedsopdateringer.

Her skal fokus ikke være på, hvor stor en andel, som er opdateret, men på de få (gamle) ikke-opdaterede servere, som givet vil indeholde en stor andel af de identificerede manglende sikkerhedsopdateringer. Det er ofte de 5% af infrastrukturen, som indeholder 95% af problemerne. Prøv f.eks. Nessus eller OpenVAS.

4. Brugeridentitet med tofaktorgodkendelse

Med en helt enkel løsning kan 99,9% af alle hacks undgås. Alle virksomheder bør anvende tofaktorgodkendelse ved enhver tilgang til IT-systemer og netværk, da dette forhindrer identitetstyveri, som ofte står bag phishing og hacks.

Vi bruger MitID ved adgang til offentlige data, men virksomheder halter bagefter. Fremtiden for cybersikkerhed er helt at stoppe brugen af passwords og udelukkende at bruge tofaktorgodkendelse.

Det er en lille del af det fremtidige (hypede) koncept for IT-sikkerhed kaldet zero-trust. Start med fokus på at begrænse adgang gennem opbygning af en struktur for Least Priveledged Access. Prøv f.eks. Microsoft Authenticator evt. suppleret med Silverfort.com. Med en enhed fra yubico.com kan sikkerheden styrkes væsentligt.

Med disse fire centrale – og (næsten) gratis – konkrete målinger af virksomhedens cyber-tilstand vil virksomhedsledelsen have et godt kompas, det gør det lettere at sætte retning og hastighed for virksomhedens løbende indsats for at styrke cybersikkerheden.

Når forsvaret mod cyberangreb er blevet styrket, bør den næste fase fokusere på etablering af løbende overvågning og genetablering, i tilfælde af at virksomheden bliver udsat for et cyberangreb.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Læses lige nu

    Navnenyt fra it-Danmark

    Guardsix har pr. 1. maj 2026 ansat Louise Sara Baunsgaard som Global Marketing & Communications Director. Hun skal især beskæftige sig med at positionere virksomheden som et europæisk alternativ i en tid, hvor cybersikkerhed i høj grad handler om geopolitik. Hun kommer fra en stilling som Co-Founder og CMO hos Get BOB. Hun er uddannet Ba.ling.merc fra CBS og har desuden en Mini MBA i marketing. Hun har tidligere beskæftiget sig med marketing og kommunikation i ledende nordiske roller hos bl.a. Meta og Nets. Nyt job
    Lauren De Ventura,  emagine Expertise A/S, er pr. 1. juli 2026 udnævnt som Chief People Officer, fast del af den globale ledelse og bestyrelsesmedlem. Hun er uddannet HR-ledelse på tværs af konsulent-, staffing- og IT-branchen. Hun beskæftiger sig med skabe rammerne for emagine som et sted, hvor IT-talenter kan opbygge meningsfulde karrierer. Udnævnelse

    Lauren De Ventura

    emagine Expertise A/S

    IFS Danmark A/S har pr. 1. april 2026 ansat Sarah Warm som Account Executive, Energy & Utilities. Hun skal især beskæftige sig med salg af IFS' løsninger til nye kunder inden for energibranchen. Hun kommer fra en stilling som Account Executive hos Synergy Investment Group i Holland. Hun er uddannet BSc Economics and Business Economics, Neuroscience & MSc Business Administration Digital Business. Hun har tidligere beskæftiget sig med Solution Sales & Cybersecurity. Nyt job

    Sarah Warm

    IFS Danmark A/S

    Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

    Boris Sudar

    Renewtech ApS