Ti tiltak for bedre IT-sikkerhet

Ti anbefalte tiltak:

Ledelse

Digital sikkert må være en del av virksomhetens IKT-systemer og tjenester. Konkret tips: Etabler tilstrekkelig systematikk for sikkerhetsstyring, og sørg for at en fagperson støtter ledelsen i arbeidet.

Risikostyring

Etabler en prosess for risikostyring som en del av en helhetlig styringsstruktur i virksomheten, som blir kjent i virksomheten. Konkret tips: Inkluder digital sikkerhet i virksomhetens risikoarbeid. Etabler tydelig ansvar og effektive rapporteringslinjer til ledelsen og styret.

LES OGSÅ: Beskytt bedriften din før det er for sent
 

Kartlegg verdier og verdikjeder

Å kjenne sin egen virksomhet er viktig for å drive effektivt og levere gode tjenester. Konkret tips: Lag en oversikt over virksomhetens sentrale mål, hvilke verdier og verdikjeder som inngår, hvor viktige data lagres og hvem som har tilgang til disse dataene.

Inkluder digital sikkerhet i kulturen

Ansattes kunnskaper og holdninger er vesentlig for at virksomheter kan operere sikkert. Konkret tips: Kartlegg virksomhetens sikkerhetskultur og identifiser hva som kan forbedres. Fastsett ønsket kultur og gjennomfør tilpasset treningsproigram jevnlig for å fremme god sikkerhetskultur.

Leverandørkontroll

Ved kjøp av IKT-tjenester og IKT-produktuer er det viktig at sikkerheten blir ivaretatt på et nivå som virksomhetens ledelse er komfortabel med. Konkret tips: Sats på god bestillerkompetanse, og gjør en risikovurdering som forankres hos ledelsen.

Kontroll på nettverk og systemkomponenter

Virksomhetens nettverk og systemkomponenter vil være utsatt for ytre og indre påvirkning. Konkret tips: Installer sikkerhetsoppdateringer så raskt som mulig. Beskytt trådløse nettverk med sterke sikkerhetsmekanismer. Planlegg og dokumenter endringer. Skru på logging og kontroller viktige logger jevnlig.

Sikker konfigurasjon

For at ansatte skal jobbe effektivt og ha tillit til arbeidsverktøyene, må IKT-systemene kunne stoles på. Konkret tips: Oppgrader program- og maskinvare. Fjern undøvdeig kompleksitet og ubrukt funksjonalitet. Blokker kjøring av ikke-autoriserte programmer.

E-post og web-sikkerhet

Alle virksomheter må ha kontroll på egne data og tjenester for å ivareta behov for kvalitet og sikkerhet. E-post og websikkerhet bør ha et særskilt fokus, da mange av truslene fra interentt kommer inn via disse kanalene. Konkret tips: Bruk kun siste versjon av nettlesere. Beskytt e-post med DMARC. Krypter viktig informasjon når den lagres på bærbare medier og når den sendes over nettet. DMARC står for Domain-based Message Authentication, Reporting& Conformance.

Tilgangskontroll

Tilgangen til virksomhetens data og tjenester må kontrolleres slik at det ikke blir misbrukt av uvedkommende. Konkret tips: Endre standard passord og ikke tildel sluttbrukere administrator-rettigheter. Bruk totrinnsbekreftelse eller som et minimum; sterke passord.

Hendelsesberedskap

Alle virksomheter må være forbered på å håndtere hendelser når dette oppstår ved å utvikle og implementere effektive prosesser for hendelseshåndtering. Konkret tips: Etabler en beredskapsplan for ulike typer hendelser og gjennomfør øvinger som tester planen.

Kilde: NorSIS