Sjekkliste for bedrifter

For mange virksomheter, spesielt små og mellomstore bedrifter, kan det være en stor utfordring å ta vare på og sikre viktig informasjon. Her får du en sjekkliste med sikkerhetsråd for bedrifter.

Nærbilde av en hånd som ser på en totrinnsbekreftelses-kode på en telefon med den ene hånda og skriver med den andre på data. han sørger for sikkerhet på arbeidsplassen.

Viktigheten av å etablere god sikkerhet

Som de fleste er godt kjent med er cybertrusselen stadig økende, og med det øker også risikoen for å bli rammet av et angrep. Det å etablere nødvendig sikkerhet er både ressurs- og kompetansekrevende. I mange tilfeller kan det være vanskelig å ta stilling til om det er mest hensiktsmessig å etablere intern drift og sikkerhet, eller om tjenesteleveransene, inkludert sikkerhet, skal settes bort til en tredje-part eller en partner. 

Uansett hva som velges er det en rekke grunnleggende forhold som bør ivaretas av bedriften og dens ansatte. 

Sjekkliste for sikkerhet

Punktene i den etterfølgende sjekklisten kan være et godt utgangspunkt for mange bedrifter, ved å sørge for at: 

Generelt

Sørg for at:

  • Alle ansatte har nødvendig sikkerhetsbevissthet og -kompetanse 
  • Det finnes sikkerhetskopier av viktig informasjon 
  • Informasjon som finnes på forskjellige plattformer, er kryptert 
  • Det finnes en dokumentert oversikt over alle deler av egen informasjonsinfrastruktur, herunder alle godkjente produkter og løsninger 
  • Bedriften må være en aktiv kravstiller ovenfor eksterne tjenesteleverandører 
  • Bedriften er bevisst sin egen rolle og posisjon i en helhetlig leverandør- og verdikjede 
  • Bedriftens informasjon blir merket (tagget) på en måte som gjør at den blir behandlet i henhold til gjeldene lover og instrukser, og at bedriftens behov for skjerming blir ivaretatt 

Oppdateringer og kryptering

Sørg for at:

  • Alle enheter, programvare og operativsystemer er oppdatert med siste versjon, og at kun lovlig, «supporterte» og konfigurasjonsstyrte applikasjoner og operativsystemer benyttes 
  • Data og informasjon på sluttbrukerutstyr bør krypteres 
  • Begrens bruken av flyttbare lagringsmedier. I de tilfeller de må benyttes bør informasjonen på mediet krypteres 

Passord

Sørg for :

  • At det stilles krav til utforming av både bruker- og administratorpassord 
  • Bedriften bør tilby totrinnsbekreftelse for innlogging på alle tjenester 
  • At det er god kontroll og oversikt over bedriftens brukere og brukerkontoer 
  • At det etableres rollebasert tilgangskontroll på tjenester, funksjonalitet og informasjon 

Les mer om hva totrinnsbekreftelse er og hvordan du aktiverer det.

Rutiner og tiltak

Sørg for :

  1. Etablering av rutiner, prosesser og prosedyrer for hendelseshåndtering 
  2. at det gjennomføres risiko og sårbarhetsvurderinger 
  3. Informasjon og data på mobile og flyttbare løsninger kan slettes, hvis utstyret blir mistet eller stjålet 
  4. at det er god oversikt over eksterne tjenesteleverandører, og at disse følges opp på en hensiktsmessig måte 
  5. Etablering og gjennomføring av forskjellige tekniske tiltak som for eksempel: 
  • Forskjellige overvåkningslogger, med mulighet for analyse av disse 
  • Beskyttelses og deteksjonsmekanismer for e-post løsninger og nettlesere 
  • Beskyttelse mot skadevare 
  • Etablering av gode back-up rutiner, med mulighet for å kunne gjenopprette data 
  • Etablering av rutiner for drift av egne nettverk og infrastruktur 
  • Vurder om det bør gjennomføres penetrasjonstester