fbpx
60 70 20 16 support@furesoedata.dk Kontakt Selvbetjening Åbningstider Fjernsupport
CoworkItIcon
Viden

Sådan forbedrer du it-sikkerheden i din virksomhed

Som ansvarlig for en virksomheds it-sikkerhed kan det være svære at gennemskue hvor man skal starte når det kommer til at forbedre it-sikkerheden i virksomhedens it-landsskab.

Denne artikel er målrettet it-ansvarlige, beslutningstagere, ejerledere, ledere, selvstændige, virksomhedsejere og øvrige interessenter der måtte have ansvar for eller til opgave at indhente viden om eller forbedre it-sikkerheden i en virksomhed, organisation, forening, institutioner, skole, universitet eller øvrig instans.

Formålet med artiklen er at informere om it-sikkerhed og hjælpe artiklens målgruppe med at overkomme den enorme arbejdsopgave der ligger i at hæve it-sikkerheden i en moderne organisation. Processen bør indeholde en plan og strategi med prioriterede opgaver for hvordan virksomheden ønsker at nå i mål med it-sikkerheden. Denne artikel er ikke tilstrækkelig for at nå 100 % i mål, men hemmeligheden er også, at du faktisk kan nå 80 % i mål ved at gå efter alle de lavthængende frugter. De sidste 20 % kan det være en god ide at betale sig fra hos en professionel it-partner som Furesø Data og en advokat eller anden rådgiver.

It-sikkerhed er generelt et omfattende områder at arbejde med og bør i dag være udgangspunktet for al diskussion om it-drift. Det betyder at it-drift altid bør italesættes ud fra et it-sikkerhedsmæssigt perspektiv.

Det skyldes blandt andet at der stilles lovmæssige krav (som GDPR, NIS og NIS2) til, at virksomheder overholder gældende retningslinjer og standarder for it-sikkerhed men også at antallet at cyberangreb og hackerangreb er konstant stigende.

Hvor mange tidligere var af den opfattelse, at det primært var de store virksomheder der blev angrebet er det idag vigtigt at forstå at alle størrelser og typer af organisationer og virksomheder kan være mål for ondsindede angreb.

Sådan hæver du it-sikkerheden fra 0-80 %

I det følgene vil jeg gennemgå alle de områder der bringe jeres it-sikkerhed fra 0-80 % og måske endda 100 %, hvis du er villige til at få lidt hjælp udefra.

Software opdateringer

Software opdateringer er vigtigere. Det er de først og fremmest fordi trusselbilledet mod it-systemer er større end nogensinde hvorfor det er helt essentielt, at alle opdagede sikkerhedshuller lukkes før det er for sent og udnyttes af ondsindede hackere. Derudover forebygger software opdateringer fejl og nedbrud på computere, servere og systemer med forsinkelse og afbrudt arbejde til følge.

Software opdateringer øger altså både sikkerheden og driftsstabiliteten på jeres it-systemer, computere og servere.

Det anbefales at opdateringer installeres automatisk på planlagte tidspunkter. Man bør anvende et fjernstyrings- og overvågningssystem til dette formål, hvis man har egen it-afdeling eller lade en eksterne it-partner stå for dette. Læs mere om vores it-serviceaftaler der inkluderer planlagt automatisk opdatering af it-systemer.

E-mail spamfilter

Den nemmeste adgang til en virksomhedens it-systemer er igennem dens medarbejdere. Og her phishing og falske e-mails en oplagt metode til at distrahere og snyde medarbejdere til at klikke på links, videregive følsomme oplysninger eller installere kompromitterende systemer på virksomhedens infrastruktur.

Hav derfor de nødvendige foranstaltninger installeret i jeres e-mail løsning i form af et spamfilter som advare og filtrere e-mails med potentielt skadeligt indhold.

Domænesikkerhed med DMARC, DKIM og SPF

For at beskytte virksomhedens domæne mod misbrug og falske e-mails er det afgørende at implementere beskyttelsesmekanismer som DMARC, DKIM og SPF. Disse teknologier hjælper med at sikre, at e-mails sendt fra virksomhedens domæne er autentiske og beskytter mod phishing og spoofing.

Ved at kombinere disse mekanismer kan virksomheden opnå høj domænesikkerhed og sikre, at medarbejdere og kunder kun modtager autentiske og verificerede e-mails fra virksomhedens domæne. En korrekt konfigureret DMARC, DKIM og SPF-strategi er en vigtig del af en proaktiv it-sikkerhedsplan.

SSL-certifikater for sikker dataoverførsel

SSL (Secure Sockets Layer)-certifikater er en grundlæggende sikkerhedsforanstaltning for alle hjemmesider, især for dem, der håndterer følsomme data som loginoplysninger, betalingsoplysninger og personlige data. SSL sikrer, at data mellem brugeren og hjemmesiden overføres krypteret, hvilket forhindrer, at oplysninger kan opsnappes af tredjepart under transmission.

Awareness træning

I forlængelse af spamfilter beskyttelse af virksomhedens e-mail kommunikation bør awareness træning være af høj prioritet, selvom det måske kan være svært at fange medarbejdernes opmærksomhed.

Awareness træning kan ske som et årligt tilbagevendende seminar eller workshop. Herudover bør virksomheden implementere en awareness træningsløsning der løbende tester medarbejdernes evne til at spotte spam og phishing e-mails i deres indbakke og som løbende opfordre medarbejdere til, at tilegne sig viden i form af videoer eller artikler omkring forskellige teknikker som hackere bruger til at snyde sig adgang til virksomheders it-systemer eller metoder til at undgå at blive snydt.

Antivirus program

Et overvåget og automatisk opdateret antivirus program er nødvendigt for at sikre at ondsindede koder og programmer ikke afvikles på computere og servere. Anvend et moderne antivirus program der anvender avancerede trusselscanning med nye teknologier som AI.

Sørg for at alle enheder har de nyeste antivirus definitioner, at antivirus programmet altid er opdateret og at du har et centralt overblik over alle enheder i virksomheden og deres sikkerhedsmæssige helbred. Dette kan kun sikres ved at anvende en professionel sikkerhedsløsning. Som en del af vores it-serviceaftale får du en professionel sikkerhedsløsning uden meromkostning.

Backup

Hvis du arbejder med lokaler systemer og filer på computer eller server er det nødvendigt at udføre løbende backup af alle data på den enkelte enhed for at sikre mod datatab ved fejl, nedbrud eller tyveri. Hvor tit der skal tages backup og hvor længe den skal gemmes kan være et individuelt behov hvorfor det kan  være vigtigt, at kigge på den individuelle løsning og arbejdsproces for, at få en præcis vurdering.

For at nedbringe omkostningerne til backup er det en god ide at få en professionel vurdering af virksomhedens behov.

Backup af e-mail

For de fleste virksomheder er e-mail det primære kommunikationsmiddel og vi ved af erfaring at rigtig mange data udelukkende opbevares i virksomhedens e-mail postkasse. Ligesom man tager backup af virksomhedens centrale fildrev og de enkelte medarbejderes computer bør man derfor også tage backup af alle virksomhedens postkasser for at sikre sig imod datatab.

Backup af cloud-tjenester

Selv om det er nærliggende at betragte OneDrive, Dropbox, SharePoint, Google etc. som backup, er det forkert. Der er som udgangspunkt ingen backup af data i ovenstående tjenester og mister en medarbejder data i eksempelvis OneDrive eller SharePoint, er det kun papirkurven i tjenesten der kan redde data, hvis de er at finde her (og kun inden for eksempelvis 30 dage – afhænger af hvilken tjeneste der anvendes).

Det er derfor alfaomega at der også tages backup af virksomhedens cloud-tjenester som OneDrive og SharePoint. Med en it-serviceaftale hos os sørger vi for at der tages backup af alle virksomhedens postkasser, OneDrive og SharePoint.

Microsoft 365

Med en Microsoft 365 Business Premium licens kan de fleste små og mellemstore virksomheder (op til 300 medarbejdere) få dækket en stor del af deres sikkerhedsmæssige behov. Sørg for at aktivere de sikkerhedsfunktioner der beskytter mod adgangstrusler som datalækage, såsom Rights Management og Data Loss Protection.

Microsoft Entra ID

Microsoft Entra ID er en del af den føromtalte Microsoft 365 Business Premium-licens og giver mulighed for sikker identitetsstyring og adgangskontrol, eksempelvis ved hjælp af betinget adgang (conditional access), som sikrer, at det kun er betroede enheder og brugere, der kan få adgang til virksomhedens systemer og data.

Microsoft Intune

Med Microsoft Intune er det muligt at styre og beskytte alle virksomhedens enheder, både computere, servere og smartphones mm. Ved at oprette politikker til sikring af enheder og applikationer bliver det muligt nemt at håndtere fjernsletning af data på mistede enheder.

Managed security

Overvej en managed security-løsning, hvis ressourcerne er begrænsede. En ekstern partner kan overvåge sikkerhedshændelser og implementere opdateringer for proaktiv beskyttelse.

Stærke passwords

Anvendelse af stærke og unikke passwords til hver konto reducerer risikoen for kompromittering. En politik for passwordstyrke kan være gavnlig.

Password manager

En password manager hjælper medarbejdere med at holde styr på unikke og stærke passwords. Derudover opfordrer en password manager brugere til at benytte komplekse og unikke adgangskoder.

Multifaktor godkendelse (to faktor godkendelse, MFA, 2FA)

Aktivering af MFA reducerer risikoen for uautoriseret adgang. Anvend MFA på alle følsomme systemer og konti som minimum.

Skærmlås

Automatisk skærmlås hjælper med at sikre enheder, når medarbejdere ikke er til stede. Skærmlåsen bør aktiveres efter kort tid, f.eks. 5-10 minutter.

Netværkssegmentering

Segmentering opdeler netværket i mindre, sikre områder, hvilket begrænser, hvor meget skade en potentiel hacker kan forårsage. Følsomme data og kritiske systemer bør isoleres fra mindre vigtige dele af netværket, så adgangen kun gives til dem, der har brug for den.

Firewall-konfiguration

En firewall fungerer som en første forsvarslinje ved at kontrollere ind- og udgående trafik. Korrekt konfigurerede firewalls kan beskytte netværket mod uautoriseret adgang og filtrere potentielt skadelig trafik. En gennemgang af firewall-regler bør udføres regelmæssigt.

Intrusion Prevention and Detections (IPS/IDS)

Et Intrusion Detection System (IDS) overvåger netværkstrafikken for mistænkelig aktivitet og kan advare dig når der er tegn på kompromittering. Et Intrusion Prevention System (IPS) er magen til IDS men kan også tage proaktive skridt for at blokere opdagede trusler. IDS og IPS kan leveres som en del af virksomhedens firewall.

Sikring af WIFI netværk

Trådløse netværk skal være korrekt sikrede, herunder med stærk kryptering (som WPA3) og adgangsbegrænsning. Brug af gæstenetværk til gæster og enheder uden for virksomhedens sikkerhedspolitikker kan også reducere risikoen for brud.

Zero trust-model

Zero Trust-sikkerhedsmodellen antager, at ingen enheder eller brugere er sikre, selvom de er på virksomhedens interne netværk. Dette kræver, at al netværkstrafik overvåges, og at adgang til ressourcer kun gives efter streng identitetsbekræftelse.

Netværksovervågning og logning

Kontinuerlig overvågning og logning af netværkstrafik er vigtigt for at kunne opdage mistænkelig aktivitet. En systematisk loggennemgang kan afsløre potentielle sikkerhedsbrud, så der kan handles hurtigt.

Sikker konfiguration af netværksenheder

Routere, switche og access points skal være korrekt konfigureret og opdateret. Der bør kun være åbne porte og tjenester, der er nødvendige for virksomhedens drift.

Virtuelt privat netværk (VPN)

En VPN skaber en sikker, krypteret forbindelse mellem medarbejdere og virksomhedens netværk, hvilket er særligt vigtigt ved fjernarbejde. VPN’er beskytter data mod aflytning og indbrud på usikre netværk, som offentligt WIFI mm. Vi anbefaler at man anvender en corporate VPN-løsning fremfor gratis eller offentligt tilgængelige tjenester. Hertil bør man også anvende multifaktor godkendelse for VPN-adgang for at styrke sikkerheden.

 

Incident Response Plan

En beredskabsplan sikrer, at alle ved, hvordan de skal reagere på sikkerhedshændelser. Sørg for at teste planen løbende.

It-sikkerhedspolitik

Udform en it-sikkerhedspolitik, der klart definerer ansvar og forventninger. Sørg for, at den bliver kommunikeret og forstået af alle medarbejdere.

Compliance

Overholdelse af lovgivningsmæssige krav til it-sikkerhed, som GDPR og NIS2, er en grundsten i enhver moderne organisation. Disse regler er ikke kun vigtige for at undgå bøder, men også for at beskytte virksomheden mod potentielle databrud og cyberangreb. Ved at sikre compliance kan din virksomhed opretholde et højt niveau af databeskyttelse og troværdighed.

For at lette arbejdet med compliance anbefales det at udføre regelmæssige sikkerhedsrevisioner og træning af medarbejdere, så alle i virksomheden har kendskab til retningslinjerne. Det kan være nødvendigt at søge hjælp fra eksperter, såsom en it-partner eller juridisk rådgiver, for at sikre korrekt implementering og efterlevelse af kravene. Overvej også at udpege en person, der har ansvar for at holde sig ajour med nye lovkrav og løbende overvåge virksomhedens overholdelse.

Konklusion

Artiklen opdateres løbende. Har du spørgsmål eller er du klar til at løfte din virksomheds it-sikkerhed til næste niveau, står vi altid klar til at hjælpe. Vi glæder os til at høre fra dig.

Jonas Boutrup har over 15 års erfaring inden for it-branchen samt en kandidatgrad fra Copenhagen Business School i it-management and business economics (Cand.merc.it.). Til hverdag driver han Furesø Data. Jonas har stor erfaring med digitalisering af forretningsprocesser. Derudover arbejder han med fokus på at identificere og hjælpe virksomheder med øget udnyttelse af it-udstyr og it-systemer.