Hvordan kan bedrifter effektivt håndtere IT-sikkerhet internt?

Flere bedrifter kan ha behov for gode retningslinjer innen sikkerhet i den digitale hverdagen. Gode rutiner og praksiser kan ofte bli nedprioritert i en hektisk hverdag. Kostnadene, dersom uhellet skulle skje, kan dessverre bli større enn tiden det vil ta å gjennomgå dette internt på forhånd. Her er noen gode råd.

IT-sikkerhet internt i bedriften

Deploi ivaretar digitale infrastrukturer for en rekke norske bedrifter. Både interne IT-systemer, websider og nettbutikker. Vi rådgir ofte disse bedriftene om sikkerhet. I denne artikkelen vil vi ta for oss hvordan bedrifter bør håndtere sikkerhet internt hos seg.

Ansatte som tar sikkerhet på alvor

De som jobber i en bedrift må være opptatt av sikkerhet. Ansatte som ikke tar sikkerhet på alvor vil alltid være en av de største sikkerhetstruslene. 

Gode praksiser

Det er en rekke gode praksisser de fleste i bransjen er enige om:

1. Ikke klikk på ukjente linker i e-post eller SMS. Du skal alltid kunne finne frem til en tjeneste hos en leverandør via deres hjemmeside.
2. Såkalt "phishing" er å utgi seg for å være en kunde eller ansatt. Det er viktig å være påpasselig med å undersøke at de du har kontakt med, spesielt på telefon eller e-post, er noen som skal ha de tilgangene eller den informasjonen de ber om.
3. Gjør deg kjent med hvordan interne systemer "ser ut" og oppfører seg til vanlig. Da er det enklere å identifisere unormal oppførsel. Er noe utenom det vanlige, bør dette alltid undersøkes. 

Sikkerhet i overføring av sensitiv informasjon

Noen ganger er man nødt til å overføre sensitiv informasjon, som passord, krypteringsnøkler, privatnøkler eller persondata. Overfør alltid dette kryptert, og kommuniser passorder i annen kanal. For eksempel, sender du krypterte data på e-post, send passord på SMS eller avtal et passord på et fysisk møte.

Kommunikasjonskanaler som e-post, SMS og telefon er ikke kryptert. Dette betyr at noen imellom vil kunne lytte til informasjonen. E-poster og SMS er ofte lagret i inboksen etter de er lest.

Sterke passord og innloggingsnøkler

Selv om all programvare er oppdatert kan en ubuden gjest fremdeles komme seg inn i IT-systemene ved å gjette eller få tak i passord og innloggingsnøkler. Det er viktig å ha gode og sterke passord og innloggingsnøkler. Disse bør lagres trygt. De bør lagres kryptert eller fysisk utilgjengelig for uvedkommende.

Riktige tilganger

Det er viktig at kun de som virkelig trenger tilgang til noe har det. Dette gjelder ansatte, eksterne og tidligere ansatte. Før register over hvem som skal ha hvilke tilganger og sjekk disse jevnlig mot endringer i ansatte og eksterne. Slett eller begrens tilganger når en person ikke trenger dem lenger.

Det er også viktig at programvaren kun har de tilgangene den trenger. Om dette brukes buzz-ordet "zero-trust". Akkurat som for personer, bør det føres register over hvilke tilganger programvare har, og disse bør sjekkes jevnlig mot hva som fremdeles er nødvendig.