Håkon RøstenMed stadig flere digitale løsninger, har fokuset på IT-sikkerhet aldri vært viktigere. Vi opplever at få bedrifter har nok kompetanse på området og undervurderer risikoen for datatap og uønskede hendelser. Dette er seks tiltak vi mener utgjør minstekravet for IT-sikkerhet.
Minstekravet for IT-sikkerhet i en moderne bedrift:
1. Gode passordrutiner
2. Kryptering av alle enheter
3. To-trinns-verifisering i kritiske systemer
4. Automatisk sikkerhetskopiering av alle enheter
5. Sikker skylagring
6. En forankret IT-instruks
Vi anbefaler at disse stegene gjennomføres av noen med erfaring på området. IT-sikkerhet er ekstremt viktig, og mangler i oppsettet kan føre til datatap, nye sikkerhetshull og at dere mister tilgang til egen data.
Ikke nøl med å ta kontakt om du er usikker, så bistår vi gjerne.
1. Gode passordrutiner
Bruker du samme passord på flere kontoer, er du mer utsatt hvis ett av systemene blir angrepet. Ha derfor alltid gode og forskjellige passord på forskjellige kontoer. Kombiner gjerne en fast frase og en identifikator på hvilken konto passordet er til. En identifikator for Dropbox kunne vært «Dbox», som i eksempelet under.
Eksempel: V1v4ld!-Dbox, hvor V1v4ld!- er den faste delen, og Dbox er identifikator for Dropbox.
For et ekstra sikkerhetslag, kan du bruke en passord-administrator som lager komplekse passord, husker disse og fyller de ut for deg. Vi anbefaler 1 Passord og bistår gjerne med oppsett og implementering.
Selv om du har gode og forskjellige passord er det viktig å endre disse med jevne mellomrom. Flere tjenester tilbyr obligatorisk endring av passord hver 12. måned. Vi anbefaler å aktivere dette der det er mulig eller gjøre det til en intern rutine i IT-instruksen.
2. Kryptering av enheter
Det er kritisk å kryptere alle digitale enheter hvor det lagres bedrift- og kundedata. Uten krypterting kan enhver med middels datakunnskap lese og kopiere alle filer på harddisken i løpet av få minutter, selv uten tilgang til påloggingspassordet. Med en kryptert harddisk opprettes det et eget sikkerhetsnett rundt harddisken og du trenger en krypteringsnøkkel for å låse opp harddisken. Dette gjør det praktisk talt umulig for uvedkommende å lese og kopiere data uten pålogginspassord og/eller krypteringsnøkkel.
I praksis logger du på datamaskinen på vanlig måte, krypteringen slår først inn når noen uten påloggingspassord prøver å logge på eller få tilgang til innholdet. Kryptering bør også gjøres på eksterne harddisker og andre lagringsenheter.
Fremgangsmåte Mac:
1. Åpne Systemvalg
2. Gå til Sikkerhet og Personvern
3. Trykk på fanen FileVault
4. Trykk på låsen nederst til venstre og tast inn administratorpassord til Macen
5. Velg Slå på FileVault
6. Marker Tillat at disken kan låses opp med iCloud-kontoen og trykk fortsett
3. To-trinns-verifisering i forretningskritiske systemer
Selv gode passord kan bli knukket av hackere og hvis noen får tak i passordet ditt er det rett frem å logge seg inn. Dette, kombinert med at de fleste bruker samme passord på flere systemer, gjør at store mengder digitale verdier er sårbare. To-trinns-verifisering, også kalt 2FV, eliminerer mye av risikoen. Med to-trinns-verifisering taster du inn passordet på en enhet og får en kode på SMS eller i en app på telefonen. Denne koden må legges inn etter passordet for å bekrefte identiteten din. Resultatet er at ved pålogging på en ny eller ukjent enhet, kreves det en bekreftelse fra en annen registrert enhet for å få tilgang til kontoen.
Vi anbefaler på det sterkeste at to-trinns-verifisering aktiveres i alle systemer hvor det er mulig.
Er du usikker på hvordan din bedrift ligger an i dagens digitaliserte samfunn?
4. Automatisk sikkerhetskopi av enheter
Hva gjør du hvis du glemmer datamaskinen på trikken, den blir stjålet eller slutter å fungere? I tillegg til det materialistiske tapet er sjansen tilstedet for at du har mistet all data på maskinen. Denne utfordringen elimineres med bruk av en automatisk sikkerhetskopi.
Synkronisering i skyen er ikke en fullstendig sikkerhetskopi, og eneste måten å sikkerhetskopiere hele enheten på er funksjoner som Time Machine og Fillogg. Hvis du ønsker en skybasert backup finnes det løsninger for dette. Crash Plan sikkerhetskopierer alle filer og data med omfattende historikk, men utelater programmer og innstillinger.
Det innebygde programmet Time Machine på Mac tar en fullstendig kopi alle av dine data, programmer og innstillinger til en ekstern enhet. Med sikkerhetskopien kan du gjenopprette alle data og innstillinger til en ny Mac.
Fremgangsmåte Mac:
1. Koble til en ekstern harddisk (denne burde kun brukes til Time Machine)
2. Åpne Systemvalg
3. Gå til Time Machine
4. Trykk på Velg sikkerhetskopidisk og velg disken du har tilkoblet.
5. Time Machine tar nå en sikkerhetskopi av Macen, og vil gjøre det automatisk hver gang den, og strøm, er koblet til.
5. Sikker skylagring
Stadig flere bedrifter bruker skylagring som den foretrukne lagringsmetoden på grunn av blant annet delingsalternativer, sanntids samarbeid i dokumenter m.m. Dette gjør at det ligger filer og data i skyen som du ikke vil at andre skal ha tilgang til. Sikkerheten og gode rutiner i skyen blir derfor kritisk.
Først og fremst er det viktig å bruke et trygt skylagringsverktøy. De mest kjente er G Suites Google Drive, Office 365s One Drive og Sharepoint, Dropbox og Jottacloud.
Alle de overnevnte er trygge skyløsninger som har gode sikkerhetssystemer og kryptering av data i skyen.
Videre er det veldig viktig med gode rutiner på passord, to-trinns-verifisering og ekstern deling av filer.
Vi anbefaler G Suites Google Drive eller Office 365s Sharepoint, da dette er deler av skyplattformer som også kan oppfylle flere behov for selskapet.
6. En forankret IT-instruks
En IT-instruks regulerer hvilket ansvar den ansatte har, hvilke retningslinjer ansatte må følge og hvilke rettigheter bedriften har i forhold til data og maskinvare som den ansatte disponerer. En IT-instruks vil derfor minimere risiko for at sensitiv data havner på avveie som følge av brukerfeil hos ansatte.
En IT-intruks bør inneholde:
- Hva skjer når en ansatt slutter?
- Hvordan skiller ansatte på privat og jobbrelatert data?
- Har de ansatte gode passord på sine enheter og til systemer?
- Er de ansatte klar over hva som kreves av GDPR?
- Må de ansatte kryptere enheter og harddisker?