I takt med at hackere bliver dygtigere til at udføre angreb, bør virksomheder også blive mere opmærksom på deres cybersikkerhed - dette gør det bl.a. ved at lave awareness-træning. Det er angreb som ransomware-angreb og supply chain-angreb, der rammer virksomheder hårdest. De virksomheder, der ikke er opmærksom på de blinde vinkler i deres cyberforsvar, vil altså hurtigere blive ramt af hackerangreb og databrud.
Derfor er det en vigtig del af cybersikkerhed at lave kvalitetssikringer, så I er trygge ved, at jeres cyberforsvar rent faktisk er opdateret og lukket for hackerne.
Hvad indeholder en kvalitetssikring af jeres cybersikkerhed?
En kvalitetssikring af jeres cybersikkerhed er en langsommelig og dybdegående proces. Der bliver tjekket forskellige sikkerhedsforanstaltninger, samt hvilke tiltag virksomheden kan indføre for at forbedre cybersikkerheden endnu mere.
Hvis den bliver udført ordentligt, kan en kvalitetssikring belyse ellers skjulte fejl og mangler i cybersikkerheden. Det vil altså fremhæve huller i systemer, politikker, procedurer og management af cyberrisici.
Kvalitetssikring hjælper virksomheder med at:
- Identificere og afhjælpe cyberrisici.
- Efterkomme interne og eksterne overholdelser af krav.
- Overholde love og ordensregler.
- Forbedre troværdighed overfor kunder og samarbejdspartnere.
Hvor meget der skal undersøges og efterforskes, kommer meget an på, hvor ofte man laver kvalitetssikring. Hvis det er en ting man gør ofte, bliver det ikke lige så tidskrævende, som hvis det er en sjælden gennemgang, man laver.
Hvis man eksempelvis kun laver kvalitetssikring en gang om året, vil det øjensynligt være mere tidskrævende og langsommeligt, end hvis man gør det på en månedlig basis.
Hvad en kvalitetssikring går i dybden med
I cybersikkerhed skal man ydermere se både på overensstemmelser ift. GDPR og persondata, men også de tekniske aspekter ift. systemkrav og software.
Ved en dybdegående kvalitetssikring af jeres cybersikkerhed, ser man bl.a. på:
- Datasikkerhedsprocedurer
- Hvordan software og hardware arbejder
- Overensstemmelse mellem juridiske regulativer og compliance
- Sårbarheder, der kan påvirke systemerne
- Hvor effektive eksisterende sikkerhedspolitikker virker
- Om der er interne og eksterne cybertrusler
En månedlig kvalitetssikring af cybersikkerheden i virksomheden vil måske ikke gå i dybden med hele listen, men nærmere se på overordnede områder. Disse områder kan eks. være:
- Softwareopdateringer
- Ressourcefordelingen og om cybersikkerheden får nok opmærksomhed
- Compliance
- Kontrollerede forsøg på at trænge ind i virksomhedens software
- Scanning af sårbarheder
- Netværkssikkerhed
- Datasikkerhed
Hvor ofte bør man gennemgå en kvalitetssikring?
Jo oftere man laver kvalitetssikring, jo bedre er cybersikkerheden. Ved hver kvalitetssikring, kan man enten finde huller i systemerne, der skal lappes, eller man kan få bekræftet at systemet er sikkert.
Begge dele er gode at blive gjort opmærksom på - hvis man finder fejl og mangler, kan man rette op på dem, og hvis ikke der er fejl, så bliver man bekræftet i, at man gør et ordentligt stykke arbejde.
Der er ydermere forskellige faktorer der afgør, om man bør lave en kvalitetssikring:
- Hvordan jeres data er opbevaret i interne systemer
- Antallet og typerne af netværks endpoints
- Antallet og typerne af software og hardware
- Trusselsbilledet
- Forskellige krav ift. industri- og juridiske overholdelser
Hvorfor man bør lave kvalitetssikring af cybersikkerheden
Den digitale udvikling har ført til nyt software og teknologi, men også nye cybertrusler. Virksomheder skal derfor også være opdateret på hvilke trusler, de står over for. Hvis ikke virksomheden laver grundige kvalitetssikringer af cybersikkerheden, er risikoen for at blive ramt af et cyberangreb endnu større.
Udover at cybertruslen bliver større for virksomheden, kan de også risikere ikke at være opdateret på de juridiske reglementer, der er for cybersikkerhed. Der er forskellige juridiske standarder, man som virksomhed skal følge. Hvis ikke man følger dem, er der både juridiske konsekvenser, men virksomheden kan komme ud for databrud.
Databrud involverer kundedata såvel som virksomhedsdata - dette er informationer, som kunder betror virksomheden. Hvis man mister den, eller sætter det i fare, mister man højst sandsynligt kundernes tillid.
Det er i bund og grund fejlhåndtering af sensitive data, der kan medføre bøder, retssager eller pletter på omdømmet.
Ved at udføre kvalitetssikringer på en hyppigere basis, kan man rette op på de huller, der skulle være i systemet. Man kan dermed implementere nye og opdaterede tiltag i virksomhedens cyberforsvar.
Sådan udfører man kvalitetssikring
Der er hovedsageligt tre trin man skal igennem, for at udføre kvalitetssikring af en virksomheds cybersikkerhed:
Klarlæg sagens omfang
Man skal først og fremmest finde ud af, hvilke områder af cybersikkerheden man vil dække ved kvalitetssikringen. Ideelt set starter man med at finde ud af, hvorfor man laver kvalitetssikringen, hvilke stakeholders der er, og hvordan man vil udføre sikringen?
Nogle af de punkter, man kan se nærmere på, er:
- Infrastrukturen i IT-systemerne (inkl. hardware, netværk og softwarekomponenter).
- Behandling af sensitiv data.
- Behandling og opbevaring af fysisk data.
- Cybersikkerhedspolitikker i virksomheden.
- Overholdelsesstandarder.
Identificér cybertruslen
Når man har klarlagt sagens omfang, kan man gå videre til at undersøge hvilke cybertrusler, der truer eller har ramt virksomheden. Dette kan eksempelvis være nogle af følgende trusler:
- DDoS-angreb
- Malware
- Social Engineering
- Stjålne kodeord
- Zero-Day-angreb
Noget af det bedste, man kan gøre for at undgå disse angreb er at have en konstant monitorering af cybertruslen. I forbindelse med det, skal man ydermere holde øje med virksomhedens cyberforsvar, for at vide hvilke svagheder, der eventuelt skulle være.
Lav en plan
Så snart man har klarlagt sagens omfang og identificeret cybertruslen, skal man endeligt lave en plan for, hvordan man skal reagere på cyberangreb. En grundig reaktionsplan inkluderer:
- Patching af sikkerhedshullerne, som hackere kan komme igennem.
- En kontinuitetsplan for virksomheden, der involverer gendannelse af filer ved nedbrud.
- Dokumentation for forebyggelse, opsporing og redskaber til at beskytte sikkerhedssystemer.
- En kommunikationsplan, der inkluderer awareness-træning af medarbejderne.
En klar og tydelig reaktionsplan hjælper også eksterne sikkerhedsfolk med at opspore eventuelle brud på sikkerheden, og hvad der er blevet gjort for at mindske, eller forsøgt til at stoppe, et cyberangreb.
Caroline Preisler
Caroline er copywriter for Moxso udover hendes daglige studie. Hun er i gang med sin kandidat i Engelsk og specialiserer sig i oversættelse og sprogpsykologi. Begge felter arbejder med kommunikationen mellem mennesker, og hvordan man skaber en fælles forståelse – disse elementer bliver inkorporeret i arbejdet, som hun laver her hos Moxso.
Se alle indlæg af Caroline Preisler