Virksomheter med god informasjonssikkerhet har noen gode felles sikkerhetsrutiner. Det er sikkerhetsekspert Steven Weil som oppsummerer de ti beste rådene i SearchSecurity.
I sikre virksomheter:
- er informasjonssikkerhet godt forankret hos ledelsen. Ledelsen sørger for ressurer, budsjett og er tydelig på at informasjonssikkerhet er viktig.
- er sensitiv informasjon identifisert og dokumentert i forhold til hvordan den flyter inn og gjennom virksomheten. Virksomhetene kan da bruke mest ressurser på å beskytte de viktigste verdiene.
- har man en dokumentert oversikt over alle systemer og programmer som behandler sensitiv informasjon, inkludert hvilke operativsystemer og applikasjoner som brukes. Dette bistår bla til å få oversikt over hvilke sårbarheter som er relevante.
- skiller man sensitive systemer fra ikke-sensitive systemer, ved f eks brannmursregler. Dette begrenser angrepsflaten til sensitive systemer og gjør det enklere å kontrollere og logge de sensitive systemene.
- er det gode rutiner for endringskontroll. Dette inkluderer også rutiner for hasteendringer, som også skal dokumenteres, gjennomgås og godkjennes.
- er det gode og sterke rutiner for konfigurering av systemer. Systemer som behandler sensitive data blir herdet spesielt og bare nødvendige funksjoner blir brukt.
- lagres så lite sensitiv informasjon som mulig i systemene, og det brukes så få systemer som mulig for å behandle sensitive data. Egne rutiner og regler for oppbevaring og sletting er etablert.
- blir sensitive data kryptert, både under lagring og ved overføring. Sikker behandling av krypteringsnøkler er viktig.
- er konsistent logging av systemer som behndler sensitive data viktig, samt gode rutiner for oppfølging av loggene.
- gjennomfører man jevlige sårbarhetstester av systemer som behandler sensitiv informasjon. Det er ulike måter å gjennomføre slike tester på, f eks penetrasjonstester.
De fleste av de ti sikkerhetsrutinene over omhandler tiltak som ikke nødvendigvis koster så mye, men som krever god planlegging og oppfølging av rutiner.
NorSIS anbefaler
- Mange standarder for informasjonssikkerhet har svært mange tiltak. Det gjelder å gjøre riktige prioriteringer og legge innsatsen der den er mest effektiv, og ikke nødendigvis skulle gjennomføre alle tiltakene på en gang.
- Lær av og følg rådene til de virksomhetene som har god informasjonssikkerhet.
- Lag en plan for gjennomføring og forbedring av viktige tiltak og følg opp denne jevnlig.
- God informasjonssikkerhet krever en kontinurlig prosess.