NYTTIG: Norske it-sikkerhetseksperter ser nytteverdien av den amerikanske oppskriften, der poenget er å være grundig på de tiltakene du har kapasitet til å gjennomføre. Illustrasjon: Colourbox

Datasikkerhet

Den ultimate oppskriften på IT-sikkerhet

– Gjør det enkelt, men grundig.

  • Ikke gå løs på alle sikkerhetsutfordringer på én gang.
  • Identifiser problemene - ikke symptomene.

Det er kjernen i den kanskje mest effektive oppskriften på å sikre virksomheten mot datakriminalitet.

Amerikanernes fasit på datasikring "The 20 Critical Security Controls" er ute i siste versjon og er samtidig i ferd med å få fotfeste i Europa og Norge.

– Dette er i tråd med hva vi formidler til småbedriftene her hjemme, sier seniorrådgiver Tone Bakås ved Norsk senter for informasjonssikring (Norsis).

Mer om temaet: Hackere - velkommen inn!

Startet med NSA

Begrepet "The 20 Critical Security Controls" har utviklet seg de siste fem årene på grunnlag av tiltak National Security Agency (NSA) i USA utarbeidet for Forsvardepartementet i landet.

Senere har det utviklet seg til et mer offentlig/privat samarbeidsprosjekt med fler enn 100 eksperter, der også britiske interesser er kommet med på laget.

SANS Institute trekker i trådene for å oppdatere oversikten over de mest sentrale tiltakene.

Det uvanlige med denne menyen er at den bygger på erfaringene til de som deltar i samarbeidet.

Hvis Forsvarsdepartementet har vært utsatt for angrep, får partene vite hva som skjedde og hvordan angrepet ble stoppet.

Det gir grunnlaget for en metode som flere kan benytte seg av.

Les også: IT-kriminelle stjal 260 millioner fra bankkontoer

Automatisering

Tiltakene er basert på noen prinsipper:

  • Fokus er på å demme opp for de truslene som er mest vanlig i dag og i nær fremtid.
  • Tiltakene må være konsistente i hele bedriften. Det er bedre å gjennomføre ett tiltak bra, enn flere halvveis.
  • Tiltakene bør automatiseres og måles. Sjekk ut bedriftens modenhetsnivå og sørg for videreutvikling derfra.
  • Tiltakene må rettes mot årsakene til problemene - ikke symptomene.

Så hva er oppskriften på den ultimate datasikring?

Teknisk Ukeblad har gått gjennom Sans-instituttets meny sammen med Tone Bakås ved Norsis.

Første bud å kjenne hva som er bedriftens viktigste verdier. Det vil si informasjon.

Du må identifisere hvilke data som må sikres ekstra. Her er det gjerne snakk om personopplysninger, kundedata, forretningshemmeligheter, forskning og utvikling samt anbudsdokumenter

Og hvilke av disse dokumentene kan deles med andre?

Poenget er å sikre de viktigste verdiene, og i det arbeidet er det viktig å lære opp de ansatte i hvilke data som er kritiske og som må tas ekstra vare på.

Virksomheten må sørge for å ha oversikt over alle autoriserte enheter, som pc-er, printere, rutere, servere, nettbrett og smarttelefoner.

Like sentralt er de enhetene som virksomheten i utgangspunktet ikke vet at den har. Disse må kartlegges og settes opp riktig. Et lite, men effektivt tiltak her er å endre standard-passordet.

Ha oversikt over alle programmer/applikasjoner i virksomheten, både som formelt er kjøpt og installert og det som ansatte har lagt inn selv.

Her er det kilder til en rekke sikkerhetshull. Det er viktig at alle er oppdatert og installert riktig.

Les også: SAS lagret ukryptert kredittkortinfo

Grundighet

– Det viktigste er å prioritere, sier Bakås.

– Norsis jobber i det daglige på å forsøke å forenkle og få frem de viktigste tiltakene. Og på samme måte som Sans og deres ekspertgruppe gjelder det også å gjøre jobben grundig på noen områder enn å gjøre mange tiltak halvveis. Tiltakene er prioritert ut fra hva ekspertene mener best forhindrer hendelser som har skjedd tidligere, sier hun.

Her er den komplette listen fra "20 Critical Controls":

Les også:

Vil merke telefoner med dårlige antenner

Mest klager på Iphone-dekningen

Utsikten som ingen vil ha