Sjekkliste for minimum IT-sikkerhet i 2023
Har du husket å ta med IT-sikkerhet i beregningen i budsjettet for 2023? Altfor mange små og mellomstore bedriftseiere antar at de er trygge fra digitale angrep. For det er vel mer sannsynlig at digitale angripere går etter de store firmaene med mye kapital?
Sannheten er at de vet at mindre virksomheter oftere mangler budsjett eller tilstrekkelig kunnskap om IT-sikkerhet, og at sjansen er stor for at angrepet mot nettopp disse lykkes.
Derfor er det på høy tid at du får på plass et minimum av IT-sikkerhet, slik at din virksomhet står imot fremtidige angrepsforsøk.
1. Sikre epostkontoene
Uansett størrelsen på virksomheten din, så er epost-kommunikasjon der de mest målrettede angrepene forekommer. Ved å bruke robuste e-postsikkerhetsløsninger reduserer du antall angrep og angrepsforsøk mot virksomheten din. Header-analyse, lenkeskanning, sandkasseløsninger og krypteringer vil stoppe et stort antall av disse epostene fra å nå din innboks. Det er dessverre ingen garanti på at det aldri vil slippe igjennom noen epostmeldinger fra avsendere som ikke er legitime, men skulle du klikke på en utrygg link i en epost, så blokkeres tilgangen slik at du ikke kommer frem til den skadelige siden.
2. System for Asset Management
Hvis eiendelene dine ikke administreres på riktig måte, vil ukjente og utdaterte maskinvare- og programvarekomponenter være sårbare for sårbarheter og trusler, og systemene dine vil tiltrekke nettkriminelle. En ansatt har gjerne en PC, en eller flere mobiltelefoner og kanskje et nettbrett. Kanskje har den ansatte tilgang til ulike servere og skyapplikasjoner. Det gjør det svært vanskelig å administrere og spore alle disse komponentene. En enkelt sårbar komponent er alt en nettkriminell trenger for å komme seg inn i organisasjonen din. Begynn å bruke en god lagerstyringsløsning. En ITAM-løsning kan hjelpe organisasjonen din med å bygge de nødvendige sikkerhetsstrategiene for å forbedre sjansene dine for å forhindre et angrep. Når du har et klart bilde av hva du har, vil du enkelt kunne administrere det.
3. Ta backup av kritisk data
Ta alltid en sikkerhetskopi av dine kritiske data. Kritiske data inkluderer tekstbehandlingsdokumenter, elektroniske regneark, databaser, økonomiske filer, personalfiler, kundefordringer og leverandørfiler. En nettkriminell vil sørge for at alle sikkerhetskopiene dine ikke er brukbare før de krever løsepenger fra deg. Derfor bør du ha backup utenfor din lokale infrastruktur eller en skybasert løsning i tillegg, og validere at sikkerhetskopien er fullstendig og brukbar som praksis. Har du testet hvor lang tid det tar å hente ut data fra backup? Har du oversikt over hvilke filer som må prioriteres først?
Les alt om backup-plan i artikkelen: Hva er din backup-plan?
4. Bruk en passordbehandler
Passordbehandleren hjelper deg lage nye passord som er lange, ulogiske, inneholder tall, tegn, store og små bokstaver. Da slipper du å lagre passord utrygt i nettleseren eller som et notat på mobilen der det er enkelt for uvedkommede å få tak i det. Du slipper også å huske alle utenat, eller trykke på “Glemt passord” - for passordbehandleren husker passordene dine for deg.
5. Aktiver to-faktor-autentisering
To-faktor-autentisering (2FA/MFA) legger til et ekstra lag med sikkerhet til påloggingsprosessen for å forsikre seg om at det faktisk er du som logger på. Bank-ID er et godt eksempel på dette. Det gjør det vanskeligere for angripere å få tilgang til en persons enheter eller brukerkontoer, da de trenger mer enn offerets passord for å komme inn. 2FA kan aktiveres på de aller fleste brukerkontoer som epost, brukerportaler og sosiale medier. Du finner det stort sett under innstillinger -> personvern - > tofaktorautentisering.
6. Automatiser sikkerhetsoppdatering
Utsetter du oppdateringer på telefonen din eller programvaren din? Disse oppdateringene er ikke bare for nye funksjoner eller utseende, men for å tette sikkerhetshull som er oppdaget. Sårbarheter i systemene utnyttes av angripere, og derfor er det så viktig å installere sikkerhetsoppdateringen med én gang. Dette er faktisk en av de vanligste måtene uvedkommede kommer seg inn i en virksomhets maskiner og nettverk på. Få fullstendig oversikt over maskin og programvare på dine maskiner i bedriften med et patch management system. Løsningen sørger også for at alle systemene oppdateres automatisk ved å installere kritiske patcher når de er tilgjengelige. Se 6 steg for optimal Patch Management i din virksomhet
7. Styr tilgangene
Hvordan holder du oversikt over hvem som har tilgang til sensitiv informasjon i og utenfor bedriften?
Hvem skal ha hvilke tilganger, hvem har sluttet og hvem skal ha administratortilgang i din virksomhet? Som leder er det du som skal styre tilgangene. Tilgangsstyring bør oppdateres regelmessig, og den skal sørge for at ansatte kun har tilgang til det som er nødvendig for å utføre jobben sin.
En resepsjonist trenger kanskje ikke en adminkonto for hverdagslige oppgaver. Administrative rettigheter bør kun gis til IT-ansatte og nøkkelpersonell. Les alt om tilgangsstyring og hvordan du enkelt får oversikt i vår gratis e-bok.
8. Sikre endepunktene
82% av alle dataangrep skyldes menneskelige feil. Mennesket er fortsatt det svakeste leddet innen IT-sikkerhet, og derfor må du ha endepunktssikkerhet for alle enhetene og systemene i virksomheten. Det finnes ulike løsninger med ulik grad av deteksjon og respons. Skulle en ansatt ved et uhell åpne et epostvedlegg som inneholder ransomware, så vil endepunktssikkerhets-løsningene scanne filen først, for så å slette den og isolere endepunktet fra nettverket. Det samme med ondsinnede linker. Klikker du feil, så vil programvaren stoppe deg fra å komme til den skadelige siden. Det forutsetter også at endepunktssikkerhets-programvaren er konfigurert riktig.
9. Sikkerhetsovervåkning
Dine sikkerhetssystemer bør overvåkes i et overvåkningssystem (SOC), slik at de til enhver tid er oppdaterte. De fleste leverandører av SOC vil først varsle når du blir angrepet eller etter dine tjenester er blitt kompromitterte. Velg derfor en sikkerhetspartner som jobber proaktivt og sikrer dine tjenester med enkle justeringer. Som til enhver tid ser etter potensielle sårbarheter i din virksomhet. Slik reduseres sjansen betraktelig for at du havner på de kriminelles radar og utsettes for angrep.
10. Sikkerhetstrening for de ansatte
Ansatte har ofte lavere sikkerhetskunnskap, samtidig som det har blitt svært enkelt for angripere å utgi seg for å være seriøse aktører. Derfor er det effektivt for dem med større sjanse for gevinst når de går etter de ansatte i virksomheter. Dette gjøres ofte gjennom eposter som fisker etter etter sensitive opplysninger (phishing), SMS-er som gjør det samme (smishing) eller svært målrettede meldinger der de for eksempel utgir seg for å være arrangør av et event du faktisk har deltatt på (spear-phishing).
Tren opp dine ansatte til å oppdage falske eposter og meldinger ved å:
Vise hva de skal se etter
Teste de med eksempler på phishing
Hold korte sikkerhetskurs med relevante temaer
Informere de om hvor de skal melde i fra, og hva de skal gjøre om de faktisk har klikket på en falsk link eller vedlegg
Vil du automatisere sikkerhetsopplæringen for dine ansatte? Les mer om sikkerhetstesting og trening av ansatte.
11. Ha beredskapsplanen klar
Gjør deg klar for en sikkerhetshendelse med en tydelig beredskapsplan. Er du usikker på hva en beredskapsplan for IT-sikkerhet skal inneholde, så les gjerne vår artikkel: 5 punkter til din beredskapsplan.
Du kan alltid kontakte en sikkerhetsleverandør som tilbyr sikkerhetsovervåking for å redusere risikoene nevnt ovenfor.
Trenger du bistand med din IT-sikkerhet?
Fyll ut skjema under for å bli kontaktet av en av våre IT-sikkerhetsspesialister:
