SANS i samarbeid med mange sikkerhetseksperter har kommet frem til de 20 viktigste tiltakene innen informasjonssikkerhet. Alle tiltak kan ikke gjøres på en gang, så det er viktig å prioritere.
Informasjon fra NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.
Kostnadene for cyberangrep er tredoblet i 2012, beskriver Microsoft Seurity Chronicle for mai 2013. Det er spesielt angrep på bedriftenes opphavsrettslige materiale og kundeinformasjon, i følge UK Departement for Business, Innovation and Skills. Tapene for svindel av opphavsrettslig materiale er estimert til mer enn 9,2 billioner £ (tusen milliarder) pr år. Totalt tap for datakriminalitet pr år i Storbritannia er anslått til 27 billioner £.
Svært mange bedrifter sikrer seg ikke sine viktige verdier tilstrekkelig mot dataangrep. Det finnes mange standarder, retningslinjer og råd. Det er heller ikke alltid like lett å følge standarder med over 100 tiltak. Hvor skal man begynne?
SANS har sammen med over 100 ulike sikkerhetseksperter utarbeidet «20 Critical Controls». Her anbefaler de å ikke implementere alle tiltak på en gang, men å prioritere noen og gjennomføre disse grundig. De 20 tiltakene er basert på virkelige hendelser, og hva som kan ha stoppet dem. Tiltakene oppdateres årlig i henhold til trusselbildet. Det viktige er å ha god grunnsikring. Tiltakene er basert på noen prinsipper:
- Fokus er på å demme opp for de truslene som er mest vanlig i dag og i nær fremtid
- Tiltakene må være konsistente i hele bedriften. Det er bedre å gjennomføre ett tiltak bra, enn flere halvveis
- Tiltakene bør automatiseres og måles. Sjekk ut bedriftens modenhetsnivå og gå trappen opp.
- Tiltakene må rettes mot årsakene til problemene, og ikke symptomene
De viktigste tiltakene vurderes å være:
- Identifiser kritiske data
- Data klassifisering
- Data loss prevention
- Identifiser problemene og ikke symptomene.
- Finn problemene med penetrasjonstester.
- Forstå problemene ved å:
- Ha oversikt over alle autoriserte og uautoriserte enheter og programvare
- Sørg for å konfigurere alle disse sikkert. Få hjelp hos leverandørene
- Beskyttelse mot skadevare
- Applikasjonssikkerhet
Alle de 20 kritiske tiltakene kan du finner her: http://www.sans.org/critical-security-controls/
Verizons rapport for 2013 peker på hvilke av de 20 tiltakene fra SANS som stopper hvilke trusler.
NIST, The US National Institute of Standards and Technology har publisert fjerde versjon av sine sikkerhetsråd for offentlige virksomheter. Her er fokus på at virksomhetene skal etterleve «standarden og være FISMA compliance». Mer vanlige i Europa er å benytte ISO/IEC 27001 og ISO/IEC 27002.
NorSIS anbefaler
NorSIS har i sine veiledninger ulike nivå av råd for å sikre virksomheten. Det gjelder å ta et skritt av gangen og sørge for å gjøre det viktigste, samt å stadig forbedre sikkerheten etter egen og leverandørenes evne. Ledelsen må ha kontinuerlig fokus og jobbe jevnt og trutt for bedret informasjonssikkerhet.
NorSIS har en sikkerhetssjekk med tre ulike nivåer. Begynn gjerne med den enkleste og se hvordan du ligger an. Gå etterhvert trinnene oppover. Prioriter tiltak og gjennomfør tiltakene du velger ut grundig.
NorSIS har også en håndbok i informasjonssikkerhet, som er de viktigste rådene, slik NorSIS ser det. Dette er også svært mange råd – så det gjelder å prioritere ut fra hva virksomheten anser er deres viktigste data og de verste truslene.
Les mer
Microsoft Security Chronicle
Verizon Trusselrapport
ISO –standarder
NorSIS Sikkerhetssjekk