Ved du, hvor dine sikkerhedshuller er?
I dette blogindlæg kan du lære mere om, hvordan du finder dine sikkerhedshuller, og hvordan du får et overblik, så du kan lukke sikkerhedshullerne og hæve sikkerhedsniveauet i din organisation.
Hvor skal du begynde?
For at finde ud af, hvor dine sikkerhedshuller er, er der behov for at evaluere det aktuelle sikkerhedsniveau i din organisation. Dette opnås bedst ved at foretage en sikkerhedsvurdering baseret på en internationalt anerkendt sikkerhedsramme som f.eks. ISO/IEC 27001 eller NIST 800-53.
ISO/IEC 27001 har en glimrende liste over sikkerhedskontroller inkluderet som Anneks A, og en sikkerhedsvurdering baseret på et udvalg af disse, vil give dig et godt overblik over dit nuværende sikkerhedsniveau.
Tal med dine kollegaer
Når du har udviklet et passende skema til din sikkerhedsvurdering, vil det næste skridt være at interviewe dine kolleger, som er specialister indenfor hver deres felt, for at dokumentere det eksisterende sikkerhedsniveau. Dette opnår du bedst gennem 1:1 møder eller workshops, hvor de forskellige deltagere diskuterer detaljerne i et afslappet miljø.
Identificer og luk hullerne
På baggrund af vurderingen, vil vi anbefale, at du udvikler en køreplan for de aktiviteter, der er nødvendige for at lukke de identificerede huller. Aktiviteterne vil typisk variere fra små hurtige gevinster, der kan gennemføres i et par timer eller dage, til store projekter, der kan tage uger eller måneder at implementere. Det er vigtigt at prioritere de forskellige aktiviteter, så de aktiviteter, der vil løfte sikkerhedsniveauet mest på kortest tid, gennemføres først.
Ezentas Secure Dashboard
Den tid og viden, der er nødvendig for at udvikle og gennemføre en sikkerhedsvurdering, betyder ofte, at det giver bedre mening at udnytte de fordele, som en ekstern sikkerhedsspecialist kan tilbyde.
Hos Nixu vurderer vi sikkerhedsniveauerne på vegne af vores kunder ved hjælp af vores Secure Dashboard værktøj. Dette er baseret på ISO/IEC 27001 og udføres gennem et interview-baseret workshop med udvalgte specialister i virksomheden.
Følgende emner vurderes:
- Informationssikkerhedsmanagement: Hvordan ønsker virksomheden at håndtere, organisere, opretholde, kontrollere og formidle it-sikkerhedsprocesser? Her afdækker vi virksomhedens målsætning, processer og guidelines. Vi afklarer med andre ord i hvilken grad, der er fokus på it-sikkerhed hos ledelsen og i virksomheden generelt.
- Ansatte: Hvilke retningslinjer er kommunikeret til medarbejderne? Og hvordan sikrer virksomheden, at medarbejderne forstår guidelines, tilgår devices og passwords uden at kompromitterer it-sikkerheden, håndterer kriser/hackere osv. Det er vigtigt, at alle er bekendt med guidelines og processer.
- Processer: Vi undersøger alle niveauer og afdelinger i virksomheden for at få indblik i de eksisterende processer for it-sikkerhed, f.eks. omkring håndtering af personfølsomme data, test og scanning af sites.
De fire resterende punkter er alle relateret til virksomhedens teknologi. Er den tidsvarende og velkonfigureret? Har virksomheden data, der ville være skadelig at miste, og hvilke teknologier skal forhindre det på de forskellige områder?
- Netværkssikkerhed
- Klientsikkerhed
- Webadgang
Vil du gerne vide mere?
Hvis du gerne vil vide mere omkring, hvordan du kan løse dine sikkerhedsudfordringer, eller hvordan Nixu kan assistere dig omkring informationssikkerhed generelt, så tag endelig fat i mig eller en af mine kolleger.