Sjekkliste for bedrifter

For mange virksomheter, spesielt små og mellomstore bedrifter, kan det være en stor utfordring å ta vare på og sikre viktig informasjon. Her får du en sjekkliste med sikkerhetsråd for bedrifter.

Nærbilde av en hånd som ser på en totrinnsbekreftelses-kode på en telefon med den ene hånda og skriver med den andre på data. han sørger for sikkerhet på arbeidsplassen. Getty Images

Viktigheten av å etablere god sikkerhet

Cybertrusselen er stadig økende, og med det øker også risikoen for å bli rammet av et angrep. Det å etablere nødvendig sikkerhet er både ressurs- og kompetansekrevende. I mange tilfeller kan det være vanskelig å ta stilling til om det er mest hensiktsmessig å etablere intern drift og sikkerhet, eller om tjenesteleveransene, inkludert sikkerhet, skal settes bort til en tredjepart eller en partner. 

Uansett hva som velges, er det en rekke grunnleggende forhold som bør ivaretas av bedriften og dens ansatte. 

Sjekkliste for sikkerhet

Under følger en sjekkliste som kan være et godt utgangspunkt for mange bedrifter.

Generelt for sikkerhet

  • Alle ansatte må ha nødvendig sikkerhetsbevissthet og kompetanse.
  • Det må finnes sikkerhetskopier av viktig informasjon.
  • Informasjon som finnes på forskjellige plattformer, bør være kryptert.
  • Det bør finnes en dokumentert oversikt over alle deler av egen informasjonsinfrastruktur, herunder alle godkjente produkter og løsninger.
  • Bedriften må være en aktiv kravstiller ovenfor eksterne tjenesteleverandører.
  • Bedriften må være bevisst sin egen rolle og posisjon i en helhetlig leverandør- og verdikjede.
  • Bedriftens informasjon må merkes (tagges) på en måte som gjør at den blir behandlet i henhold til gjeldene lover og instrukser, og at bedriftens behov for skjerming blir ivaretatt.

Oppdateringer og kryptering

  • Alle enheter, programvare og operativsystemer må være oppdatert med siste versjon. Kun lovlig, supporterte og konfigurasjonsstyrte applikasjoner og operativsystemer skal benyttes.
  • Data og informasjon på sluttbrukerutstyr bør krypteres.
  • Begrens bruken av flyttbare lagringsmedier. I de tilfeller de må benyttes, bør informasjonen på mediet krypteres.

Passord

  • Det må stilles krav til utforming av både bruker- og administratorpassord.
  • Bedriften bør tilby totrinnspålogging for innlogging på alle tjenester.
  • Det må være god kontroll og oversikt over bedriftens brukere og brukerkontoer.
  • Det bør etableres rollebasert tilgangskontroll på tjenester, funksjonalitet og informasjon.

Rutiner og tiltak

  1. Det bør etableres rutiner, prosesser og prosedyrer for hendelseshåndtering.
  2. Det bør gjennomføres jevnlige risiko- og sårbarhetsvurderinger.
  3. Det bør muliggjøres at informasjon og data på mobile og flyttbare løsninger kan slettes dersom utstyret blir mistet eller stjålet.
  4. Det må sørges for god oversikt over eksterne tjenesteleverandører, og at disse følges opp på en hensiktsmessig måte.
  5. Sørg for etablering og gjennomføring av tekniske tiltak, som for eksempel 
  • forskjellige overvåkningslogger, med mulighet for analyse av disse 
  • beskyttelses og deteksjonsmekanismer for e-postløsninger og nettlesere 
  • beskyttelse mot skadevare 
  • etablering av gode back-up-rutiner, med mulighet for å kunne gjenopprette data 
  • etablering av rutiner for drift av egne nettverk og infrastruktur 
  • gjennomføring penetrasjonstester