Sikkerhedsanalyse

For danske virksomheder spiller IT-sikkerhed en større rolle end nogensinde før. Antallet af udefrakommende hacker-angreb rettet mod virksomheder på globalt plan er stærkt stigende. Derfor bør virksomheder ruste sig i kampen mod industrispionage og opprioritere sikkerhedsmæssige procedurer i forbindelse med opbygning af IT-infrastruktur.

Hos M Networks har vi midlerne og kompetencerne til at bistå danske og internationale virksomheder med udarbejdelse af en sikkerhedsanalyse, der beskytter jeres kerneforretning mod interne og eksterne angreb.

Ydelser Sikkerhedsanalyse


Norske myndigheder – Antallet af sikkerhedsbrister stiger

Af årsrapporten fra Norges Nasjonal Sikkerhetsmyndighet (NSM), "Sikkerhetstilstanden 2014", fremgår det, at antallet af alvorlige IT-sikkerhedshændelser lå på 50 i 2013. I 2012 var antallet af sager 46, mens der i 2011 var 23. [1]

Tallene dækker kun over de mest alvorlige hændelser, hvor it-kritiske systemer er blevet udsat for angreb, og hvor adskillige brugere har været en del af risikogruppen.

I en af sagerne, hvor en norsk virksomhed blev udsat for virus-angreb, var der tale om en gentagelse. Hackerne benyttede sig altså af samme virus og rettede deres angreb mod den samme virksomhed i flere omgange.

Dermed havde tidligere tiltag, der var blevet iværksat for at komme truslen til livs, ikke virket efter hensigten.

Ifølge årsrapporten vurderer NSM, at adskillige virksomheder mangler overblik og ikke har tilstrækkelig forkus på dokumentation og målsætning i forbindelse med implementering af sikkerhedspolitik.


Den danske tjeneste for informationssikkerhed – virksomheder bør sætte IT-sikkerhed på dagsordenen

DKCERT (Danish Computer Security Incident Response Team), den danske tjeneste for informationssikkerhed, der hører ind under styrelsen for forskning og innovation, vurderer ligeledes i deres trendrapport for 2014, at antallet af sikkerhedshændelser i Danmark er stigende.

Det skyldes bl.a., at danske organisationer og virksomheder ikke investerer tilstrækkeligt med ressourcer i IT-sikkerhed. Konsekvenserne kan være omfattende, da virksomhederne risikerer, at hjemmesider lukker ned, tab af data eller fratagelse af økonomiske ressourcer.

DKCERT opfordrer til, at organisationer og virksomheder sætter IT-sikkerhed på dagsordenen og dermed undgår, at den sikkerhedsansvarlige trækkes frem som en syndebuk, når først skaden er sket.[2]


M Networks – sikkerhed frem for alt

Hos M Networks har vores konsulenter stort fokus på dokumentation og målsætning. Vi er blandt Skandinaviens dygtigste, når det gælder udarbejdelse af sikkerhedsanalyse til små og mellemstore virksomheder.

Til daglig varetager vi implementering af sikkerhedsmæssige procedurer for bl.a. advokatkontorer, bankvirksomheder, rederier, vvs-firmaer og interesseorganisationer.
Vores konsulenter er omstillingsparate og er både i stand til at betjene vores samarbejdspartnere remote og on location. Derudover er konsulenterne vant til at håndtere en bred vifte af sikkerhedsmæssige problemstillinger i forbindelse med opgradering af IT-infrastruktur.

Dette inkluderer bl.a. implementering af Office 365, opsætning af Windows server, Cisco Firewall og Citrix Netscaler. Nedenunder ses et uddrag af den overordnede handlingsplan, som vores konsulenter benytter til udarbejdelse af sikkerhedsanalyse.

Fysisk sikkerhed

Mange tænker på IT-sikkerhed som noget, der udelukkende er software relateret. Her er det dog vigtigt, at virksomheden også har styr på de fysiske sikkerhedselementer.
Adgang til serverrum er et godt eksempel på fysisk sikkerhed, hvor der er en række spørgsmål virksomheden skal tage stilling til.

  • Hvem har adgang til serverrummet?
  • Skal der fremvises ID eller indtastes adgangskode for at få adgang til serverrum?
  • Hvilken type lås benytter virksomheden til aflåsning af serverrum?
  • Hvilken type overvågning gør virksomheden brug af?
  • Er der taget backup af virksomhedens forretningsdata?
 
For nogle virksomheder kan ovenstående virke mindre relevant, da størstedelen af forretningsdata er outsourcet til 3. part.
Imidlertid er outsourcing også forbundet med en række sikkerhedsmæssige spørgsmål, herunder valg af webhotel, udbydere der går konkurs og konkurrerende virksomheder, som benytter samme udbyder.

Intern sikkerhed

Omhandler brugerstyring, og hvem der har adgang til hvilke systemer. Intern sikkerhed er noget, som alle virksomheder bør tage seriøst, da brugerne som oftest udgør det svage led.
Menneskelige faktorer og utilsigtede fejl spiller desværre alt for ofte en fremtrædende rolle i forbindelse med interne sikkerhedsbrister.
Dette inkluderer de tilfælde, hvor offentlige myndigheder eller eksterne udbydere på uheldig vis er kommet til at lække personfølsomme oplysninger.
Her er der tale om utilsigtede fejl, hvor de sikkerhedsmæssige foranstaltninger ikke er lagt i faste rammer. Vigtige spørgsmål i forbindelse med intern sikkerhed omfatter:

  • Hvilke medarbejdere har adgang til databaser med forretningsdata eller personfølsomme oplysninger?
  • Logning af adgang – I hvilket omfang dokumenteres det, at medarbejdere har søgt adgang til specifikke dokumenter?
  • Hvilke regelsæt har virksomheden for, om medarbejdere må benytte egne usb-nøgler på arbejdspladsen?
  • Har virksomheden formuleret en politik i forhold til medarbejdernes færdsel på intranettet?

Ekstern sikkerhed

Omhandler i høj grad virksomhedens hjemmeside. Langt de fleste virksomheder er i dag særdeles afhængige af en funktionel hjemmeside.

Derfor er det magtpåliggende, at virksomheden sørger for, at den eksterne sikkerhed og beskyttelse mod angreb udefra er up to date.

Medarbejdernes færdsel på nettet spiller en vigtig rolle i forhold til den eksterne sikkerhed. Her tænkes der i særlig grad på de sociale medier.

I nogle tilfælde lukrerer hackere på, at medarbejdere lækker vigtig forretningsdata på LinkedIn, Twitter eller Facebook. Derudover bør virksomheden være opmærksom på:

  • Hvilken type netværksfirewall benytter virksomheden?
  • Hvilken type kunder har log-in adgang til leverandør hjemmesider?
  • Har virksomheden garderet sig mod tilsigtede og utilsigtede konfigurationsændringer af databasesystemer? Her tænkes der på, om virksomheden har iværksat tiltag, der forhindrer udefrakommende i at indskrive ukendte tegn i diverse kommandosystemer.
  • Hvilken type mailscanning benytter virksomheden?

Ydelser Sikkerhedsanalyse 2

[1] DKCERT Nyheder
[2] Trendrapport 2014


Tilmeld dig til vores nyhedsbrev

Navn
 
E-mail
  

Læs mere..

  Konsulentydelser

  Design & Installation

  Fejlfinding & Recovery

  Kapacitet & Optimering


Vil du vide mere

Du er mere end velkommen til at kontakte os. Vi kontakter også gerne dig, hvis du angiver dit navn og telefonnummer eller e-mail her:

Navn
Telefon
E-mail
Firma
Vedr.


For mere info kan du kontakte

Thomas Bach

på 70107005 eller tb@mnetworks.dk