Virksomhedshåndbog: Sådan håndterer du informationsikkerhed

Med den stigende hastighed af digital transformation skal virksomheder handle nu for at sikre deres informationsstyringssystemer. Men alt for mange organisationer har udskudt investeringer i et detaljeret sikkerhedssystem, hvilket gør dem sårbare over for angreb. Alle virksomheder er nu automatiserede, digitaliserede og online, hvilket bringer fordele i form af hastighed og omkostninger, men introducerer en række potentielle sårbarheder. Heldigvis vil etableringen af et effektivt informationssikkerhedsstyringssystem (ISMS) gå et langt stykke ad vejen til at mindske farerne.

Cyberrisici

Det største problem i den digitale transformations tidsalder er databeskyttelse, især mod cyberkriminelle. Telekommunikationsgiganten Verizon gennemførte forskning i de største sikkerhedsfarer, der står over for virksomheder, og konkluderede, at det var fra hacking, der bidrager med 40 % af datalækager, og malware, der forårsager yderligere 30 %. Et spektakulært eksempel var sidste sommers massive cyberangreb på shippingcontainergiganten Maersk i havnen i Los Angeles. Med computere og servere lukket ned, blev arbejdere tvunget til at improvisere ved hjælp af Twitter, Whats-App og Post-It-notes. Petya-ransomware-angrebet kostede Maersk 300 millioner dollars og forstyrrede driften i to uger, hvilket demonstrerede, at selv globale virksomheder er sårbare over for angreb.

Teknologi er en verden, der aldrig står stille, og desværre gælder det også for kriminelle. Det betyder, at virksomheder aldrig kan hvile på laurbærrene, når det kommer til at sikre, at de har alle de nyeste værktøjer og systemer til at holde deres data sikre til enhver tid, uanset hvad der kastes deres vej.

Et veludviklet informationssikkerhedsstyringssystem (ISMS) vil øge en virksomheds modstandsdygtighed over for cyberangreb. Men det er ikke kun et spørgsmål om at plugge sikkerhedsteknologier ind og derefter gå i seng. Oprettelse af det rigtige ISMS kræver en masse overvejelse, før du vælger en politikramme og relevante teknologier. Virksomheder skal foretage en risikovurdering, der identificerer centrale sårbarheder, og derefter vurdere deres forretningsposition for at bestemme, hvad deres budget er. De vil skulle beslutte, om eksisterende personale har de tekniske kapaciteter, eller om de har brug for at rekruttere, og derefter sætte kort- og langsigtede mål. Sikkerhedsrisici ændrer sig hurtigt, og ISMS-systemer skal udvikle sig for at håndtere nye trusler. Virksomheder bør søge vejledning til deres risikoklassificering fra de flere standarder, der findes, herunder COBIT, International Organization for Standardization (ISO) 27000-serien og US National Institute of Standards and Technology (NIST) 800-serien.

Identificer virksomhedens svageste punkt

Et ISMS-rammeværk vil tage højde for, at de fleste cybersikkerhedsincidenter skyldes manglende bevidsthed hos ofrene, der falder i cyberkriminelles fælder. Et højt profil eksempel var det massive sikkerhedsbrud sidste år hos kreditrapporteringsbureauet Equifax, som lækkede data fra mere end 147 millioner forbrugere. Virksomhedens CEO tilskrev lapsusen til menneskelig fejl. Det er klart, at teknologi er nødvendig for at reducere risikoen for menneskelige fejl så meget som muligt, selvom det næsten aldrig kan elimineres helt. Cybersikkerhedstræningsprogrammer er essentielle for at forklare medarbejdere, hvordan mindre fejl kan have katastrofale konsekvenser. Der er også en menneskelig pris for at begå undgåelige fejl. Ingen ønsker at skulle fyre medarbejdere, når de bliver ofre for en phishing-kampagne eller et social engineering-angreb.

SIM løsninger

Et andet vigtigt spørgsmål ved oprettelsen af et informationssikkerhedssystem er at afgøre, hvordan man kan sortere alle de data, der strømmer ind fra sikkerhedsenheder, såsom firewalls, proxy-servere, intrusion-detection-systemer og antivirus-software. IT-teamet kan hurtigt blive overvældet, fordi installation af et bedre sikkerhedssystem vil øge snarere end reducere alarmdata. Virksomheder bør overveje at installere en SIM (security information management)-teknologi, der logger og sorterer de data, der er registreret af andre stykker software.

Større organisationer begyndte at bruge SIM-systemer for et årti siden, men markedet er boomet, og de er nu integrerede i sikkerheden hos mange små og mellemstore virksomheder. I stedet for at IT-sikkerhedsteams manuelt sorterer masser af data, automatiserer SIM-værktøjssættet processen og normaliserer data. Det kan oversætte Cisco, Microsoft eller CheckPoint software-advarsler til et fælles sprog. Mange SIM-suites inkluderer flere applikationer til at adressere forskellige problemer.

Når man skal beslutte, hvilket SIM-system man skal købe, skal virksomheder overveje det risikoniveau, de står over for, og om det har de kapaciteter, de kræver. Det skal være skalerbart, så det logger information fra hundreder eller endda tusinder af enheder i realtid. Det skal kunne håndtere, hvad Symantec kalder "blended threats", som kan kombinere karakteristika fra virusser, trojanske heste og ondsindet kode. Nogle virksomheder vil ønske aktiv responskapacitet, hvilket betyder, at SIM-systemet tager øjeblikkelig handling baseret på data. Denne mulighed kræver altid omhyggelig installation for at undgå unødvendige nedlukninger af servere og blokeret trafik, hvis medarbejdere begår uskyldige fejl. Der skal også udvises forsigtighed med at forhandle mellem afdelinger. SIM kræver kompleks integration, og der kan være forsinkelser, da hver afdeling arbejder ud på egne passende adgangsrettigheder.

Når systemet er designet og installeret, er det ikke en afslutning på processen. Organisationen skal indstille KPI'er for at overvåge dets effektivitet og derefter gennemgå større brud. Dårlige aktører udnytter konstant nye teknologier og sårbarheder, og det vil være essentielt konstant at implementere nye værktøjer, færdigheder og procedurer for at modvirke dem. Heldigvis bevæger teknologivirksomheder sig lige så hurtigt som kriminelle, og alle værktøjerne er tilgængelige for at implementere et stærkt og sikkert system.