De 10 viktigste tiltakene

Virksomheter med god informasjonssikkerhet har noen gode felles sikkerhetsrutiner. Det er sikkerhetsekspert Steven Weil som oppsummerer de ti beste rådene i SearchSecurity.

I sikre virksomheter:

  1. er informasjonssikkerhet godt forankret hos ledelsen. Ledelsen sørger for ressurer, budsjett og er tydelig på at informasjonssikkerhet er viktig.
  2. er sensitiv informasjon identifisert og dokumentert i forhold til hvordan den flyter inn og gjennom virksomheten. Virksomhetene kan da bruke mest ressurser på å beskytte de viktigste verdiene.
  3. har man en dokumentert oversikt over alle systemer og programmer som behandler sensitiv informasjon, inkludert hvilke operativsystemer og applikasjoner som brukes. Dette bistår bla til å få oversikt over hvilke sårbarheter som er relevante.
  4. skiller man sensitive systemer fra ikke-sensitive systemer, ved f eks brannmursregler. Dette begrenser angrepsflaten til sensitive systemer og gjør det enklere å kontrollere og logge de sensitive systemene.
  5. er det gode rutiner for endringskontroll. Dette inkluderer også rutiner for hasteendringer, som også skal dokumenteres, gjennomgås og godkjennes.
  6. er det gode og sterke rutiner for konfigurering av systemer. Systemer som behandler sensitive data blir herdet spesielt og bare nødvendige funksjoner blir brukt.
  7. lagres så lite sensitiv informasjon som mulig i systemene, og det brukes så få systemer som mulig for å behandle sensitive data. Egne rutiner og regler for oppbevaring og sletting er etablert.
  8. blir sensitive data kryptert, både under lagring og ved overføring. Sikker behandling av krypteringsnøkler er viktig.
  9. er konsistent logging av systemer som behndler sensitive data viktig, samt gode rutiner for oppfølging av loggene.
  10. gjennomfører man jevlige sårbarhetstester av systemer som behandler sensitiv informasjon. Det er ulike måter å gjennomføre slike tester på, f eks penetrasjonstester.

De fleste av de ti sikkerhetsrutinene over omhandler tiltak som ikke nødvendigvis koster så mye, men som krever god planlegging og oppfølging av rutiner.

NorSIS anbefaler

  • Mange standarder for informasjonssikkerhet har svært mange tiltak. Det gjelder å gjøre riktige prioriteringer og legge innsatsen der den er mest effektiv, og ikke nødendigvis skulle gjennomføre alle tiltakene på en gang.
  • Lær av og følg rådene til de virksomhetene som har god informasjonssikkerhet.
  • Lag en plan for gjennomføring og forbedring av viktige tiltak og følg opp denne jevnlig.
  • God informasjonssikkerhet krever en kontinurlig prosess.

Les mer

SearchSecurity