Reduser IT-sårbarheten på en enkel måte

Til tross for at bedriftsledere vurderer selv et kort bortfall av it som alvorlig, foretar de fleste bedrifter ikke risikoanalyser av datasikkerheten.

Det viser en ny undersøkelse Visendi har foretatt for Norsk senter for informasjonssikring (NorSIS) og Microsoft. De har kartlagt tiltak, trender og holdninger til datasikkerhet i norske bedrifter.

- Det er en stor og unødvendig sjanse å ta. Uten analyser kan ikke bedriftene vite hvilke sikkerhetstiltak de trenger for å unngå det de selv kaller alvorlige it-situasjoner sier sikkerhetssjef Ole Tom Seierstad i Microsoft Norge.

Underbeskyttet.

Undersøkelsen viser at bedriftene er blitt gode til å sørge for tekniske sikringstiltak som antivirus, brannmurer og sikkerhetskopiering.

- Men alt for mange, særlig små og mellomstore, mangler fortsatt oversikt over sin egen risikosituasjon. Det kan gjøre dem underbeskyttet og sårbare, men også faktisk føre til at de overbeskytter seg og gjør IT-hverdagen unødvendig dyr og tungvinn, sier Seierstad.

Enkelt.

Undersøkelsen viser at bedriftsledelsene tror at risikoanalyser er dyre og krevende, men der tar de feil, ifølge Seierstad.

- Det er en misforståelse, sier han.

Sikkerhetssjefen gjør oppmerksom på at det finnes mange brukervennlige og enkle gratisprogram. Blant annet tilbyr selskapet han er sikkerhetssjef for, Microsoft, gratis program Microsoft Security Assessment Tool.

Der fyller du inn opplysninger om bedriften og sikkerhetsrutinene og får opp en vurdering av risikoen sammen med forslag til tiltak. Du får også en benchmark-vurdering av din situasjon sammenlignet med andre i bransjen.

- Hele undersøkelsen er unnagjort på et par timer, sier Seierstad.

Når sårbarhet avdekkes.

Fullt så enkelt blir ikke nødvendigvis neste skritt hvis du avslører sårbarhet, men da står du fritt i å vurdere tiltak opp mot risikoen. I det miste har du fått greie på hva risikoen er.

Men også nå finnes det enkle og tilnærmet gratis løsninger, naturligvis avhengig av hva slags sårbarhet bedriften har. Å låse døra til serverrommet eller lage en rutine for å skifte passord er eksempel på enkle og virkningsfulle tiltak.

Verst med mobil.

Mobile enheter, særlig telefoner, viser seg å være det svakeste punktet i sikkerhetsundersøkelsen, ifølge Seierstad.

- Mobiler er blitt små pc-er som leser e-post og lagrer data. Her må vi bli flinkere til å tenke sikkerhet, sier han. - Du kan for eksempel sikre telefonen ved å kryptere innhold eller ringe opp og slette innhold dersom den kommer på avveie. Den kan også stilles inn slik at den krever PIN-kode dersom den har vært inaktiv i et bestemt tidsrom.

Disse prinsippene om kryptering og autentisering kan du overføre til alle typer mobile enheter, også bærbare pc-er og datalagre.

Oppdatert programvare.

- Holdninger, bevisstgjøring og oppdatert programvare er de viktigste sikkerhetstiltakene. Det vil alltid være et kappløp mellom teknologi og trusler. Sunt datavett må bli en ryggmargsrefleks, sier seniorrådgiver Hans Marius Tessem i NorSIS (Norsk senter for informasjonssikring).

NorSIS er en del av regjeringens satsing på it-sikkerhet. De har opplysning som et hovedsatsingsområde og den nye sikkerhetsundersøkelsen i samarbeid med Microsoft er et ledd i denne satsingen.

- Vi har lett for å velge tekniske løsninger, men ofte er opplæring og organisering viktigere. I de fleste bedrifter er det stor sannsynlighet for at noe vil skje. Derfor trenger vi risikoanalyser for å finne riktige mottiltak og hendelseshåndteringsplaner for å vite hva vi gjør når situasjoner inntreffer, sier han.

NorSIS understreker at sikkerhetsrisiko ikke må lamme virksomheten.

- Det viktigste sikkerhetsutstyret på en bil er bremsene, og de har vi ikke for å kjøre sakte, men for å bremse når vi må. God datasikkerhet gjør det mulig å få mer ut av teknologien, sier Tessem.