Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter. Forfatteren har ingen kommercielle relationer til de nævnte virksomheder/produkter.
Med krigen i Ukraine er trusselsbilledet skærpet for alle virksomheder. En ansvarlig ledelse må spørge sig selv: Hvor sårbare er vi? Er virksomheden tilstrækkeligt beskyttet mod cyberangreb? Hvordan er vores sikkerhedsniveau ifht. konkurrenternes?
En fælles referenceramme for IT og forretning kan skabes ved at sætte tal på konkrete målinger af de kritiske dele af virksomhedens cyber-helbred. For en del år siden fandt konceptet balanced scorecard bred anvendelse inden for finansiel styring, og samme pragmatiske syn på måling og styring bør anlægges for cybersikkerhed.
Den gode nyhed er, at der med nogle få enkle og ofte gratis værktøjer kan foretages målinger på fire centrale områder, som kan besvare disse spørgsmål, uden at it-specialister behøver at blive engageret i større grad.
Disse værktøjer er naturligvis ikke perfekte i enhver henseende, men for de fleste virksomheder vil de være tilstrækkelige til at rette fokus på de mest nødvendige områder.
1. Ekstern digital positur – din virksomheds fodaftryk på Internettet
Virksomhedens cyber-visitkort til omverdenen skabes af hvad virksomheden udstiller af IT udadtil, gennem websites og netværksforbindelser til internettet etc. – også kaldet security posture.
Grundlæggende er en måling af de mange eksterne signaler en god indikator for virksomhedens generelle cyberhelbred, idet intern og ekstern IT sjældent adskilles. Hackere benytter samme type af målinger til at identificere deres mål.
Gennemføres en scanning af eksternt rettet IT for de største børsnoterede selskaber i Danmark, kan det overraske, at den gennemsnitlige cyber-positur-score for C25-selskaberne er lavere end for large-cap-selskaberne.
I en måling af C25-selskaber scorer en tredjedel under 80 point (på en skala fra 1 – 100, hvor 100 er perfekt), mens OMX Large-cap kun har en syvendedel, som scorer under 80 point. I OMX Mid-cap er hele 50% over 90 point, som indikerer stærk ekstern IT-sikkerhed. To OMX-selskaber har en score lavere end 65 point.
En sådan ekstern måling giver virksomhedsledelsen mulighed for at benchmarke cyber-helbredet op mod konkurrenterne og at finde svagheder i forsyningskæden. Prøv SecurityScorecard.com, som er gratis at anvende for måling af egen virksomhed.
Denne score sammenfatter hundredvis af målepunkter indenfor 10 risikoområder (se https://securityscorecard.com/resources/deep-dive-scoring-methodology )
2. Intern infrastruktur
Danmark er et Microsoft-land, hvor de fleste virksomheder benytter Microsoft-teknologi som fundament for IT-arkitekturen.
Det kan derfor med stor sikkerhed fastslås, at der er to centrale målepunkter internt i virksomhedens IT-infrastruktur, ledelsen skal have fokus på – Active Directory (AD) og sikkerhedsopdateringer af software.
I flere større ransomware-angreb har AD været den grundlæggende svaghed. Det kan tage flere år at rydde op og styrke opsætningen i virksomhedens ”digitale kontrolcenter”, hvorfor en løbende måling på kvaliteten af opsætningen af AD er et centralt målepunkt for virksomhedens cyber-robusthed. Prøv fx pingcastle.com eller purple-knight.com.
3. Sikkerhedsopdateringer
Dagligt opdages nye sikkerhedshuller i software. Alle IT-afdelinger kæmper målrettet med at få lukket hullerne. For at sikre et løbende overblik over evt. manglende (kritiske) opdateringer, bør ledelsen månedligt modtage målinger af status for cyber-svagheder og sikkerhedsopdateringer.
Her skal fokus ikke være på, hvor stor en andel, som er opdateret, men på de få (gamle) ikke-opdaterede servere, som givet vil indeholde en stor andel af de identificerede manglende sikkerhedsopdateringer. Det er ofte de 5% af infrastrukturen, som indeholder 95% af problemerne. Prøv f.eks. Nessus eller OpenVAS.
4. Brugeridentitet med tofaktorgodkendelse
Med en helt enkel løsning kan 99,9% af alle hacks undgås. Alle virksomheder bør anvende tofaktorgodkendelse ved enhver tilgang til IT-systemer og netværk, da dette forhindrer identitetstyveri, som ofte står bag phishing og hacks.
Vi bruger MitID ved adgang til offentlige data, men virksomheder halter bagefter. Fremtiden for cybersikkerhed er helt at stoppe brugen af passwords og udelukkende at bruge tofaktorgodkendelse.
Det er en lille del af det fremtidige (hypede) koncept for IT-sikkerhed kaldet zero-trust. Start med fokus på at begrænse adgang gennem opbygning af en struktur for Least Priveledged Access. Prøv f.eks. Microsoft Authenticator evt. suppleret med Silverfort.com. Med en enhed fra yubico.com kan sikkerheden styrkes væsentligt.
Med disse fire centrale – og (næsten) gratis – konkrete målinger af virksomhedens cyber-tilstand vil virksomhedsledelsen have et godt kompas, det gør det lettere at sætte retning og hastighed for virksomhedens løbende indsats for at styrke cybersikkerheden.
Når forsvaret mod cyberangreb er blevet styrket, bør den næste fase fokusere på etablering af løbende overvågning og genetablering, i tilfælde af at virksomheden bliver udsat for et cyberangreb.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.