Artikel top billede

(Foto: Dan Jensen)

10 nemme og effektive måder at øge it-sikkerheden på i din virksomhed

Der findes flere enkle måder, som virksomheder kan anvende til at øge it-sikkerheden ganske markant - og uden at det rigtigt koster noget. Se 10 af dem her.

It-sikkerhed er for alvor kommet på dagsordenen i en tid, hvor flere tendenser ramler sammen på området på en uheldig måde: It-systemerne bliver mere og mere komplekse, vi bliver mere og mere afhængige af dem, og hacker-miljøet bliver mere og mere professionelt.

Det kan du læse mere om her: Hackerne kommer - og du kan (næsten) intet gøre

Mange mindre virksomheder - der ikke har mulighed for at ansætte deciderede it-sikkerhedsfolk eller it-chefer - er for alvor i risikozonen for at blive ramt.

Det kræver for langt de fleste virksomheder imidlertid ikke store organisations-ændringer eller investeringer at forbedre sin it-sikkerhed i første omgang, for ofte findes hullerne, som hackerne søger at udnytte, en række oplagte steder i organisationerne.

Her har du 10 områder, som du med fordel kan kigge på, hvis du vil forbedre it-sikkerheden uden at investere i store sikkerheds-løsninger.

Email er den store dør

Email bliver fortsat regnet for at være en hoveddør ind til virksomhedernes systemer af hackerne, og det er altid her, at en hacker vil forsøge sig i første omgang, inden det mere avancerede batteri sættes i sving.

Det kræver nemlig blot udsendelsen af mail inficeret med malware (en såkaldt booby trap), som slippes løs, hvis en attachement til mailen åbnes.

Det er noget, der ofte virker, for mange har det med blindt at klikke på alt, hvad der ser mere eller mindre tilforladeligt ud.

Man kan have regler og politikker, men det er risikabelt, fordi det kun kræver et enkelt svag led, før balladen er i gang.

Kig i stedet på email-systemet, der eksempelvis bør indstilles til at betragte mails fra ukendte afsendere som mistænkelige og derfor selv kigge nærmere på dem.

Hosted Exchange og Gmail kan eksempelvis konfigureres til whitelisting fra kontakter som sikkerhed-filtrering, mens mange andre systemer kan indstilles til andre former for filtrering.

Læs også: Fire nye sikkerheds-trends - her er hackernes yndlings-metoder lige nu

Gå ud fra at alle websites er sårbare

Det er en udbredt teknik blandt hackere at udnytte sårbarheder på websites via SQL-inficering, cross site-scripting og lignende.

Der er mange forskellige muligheder for hackere, der forsøger at komme ind via websites.

Der findes i mange forskellige relativt billige løsninger (som Qualys og AlienVault), der kan scanne sikkerheden på websitet. Flere open source-løsninger (som W3af og SQLmap) er helt gratis.

Fjern risiko-fyldt software

Mange pc'er i virksomheden indeholder farlig software, som hackerne kan udnytte.

Det gælder ikke mindst software, som medarbejderne selv har installeret, uden at it-administratorerne kender noget til det, og som derfor ikke følger de gældende sikkerheds-parametre.

Det er altid en balancegang, hvor it-afdelingen skal sørge for at levere de efterspurgte funktionaliteter, hvis medarbejderne skal holdes fra at downloade egne (og farlige) løsninger.

Du kan se en liste over risikofyldte løsninger her:

Den tæller Flash video-plug ins til browsere, Java Runtime Environment og PDF Reader.

Risikoen for at blive hacket ad denne vej minimeres kraftigt, hvis du rydder op på din computer og fjerner farlige programmer - eller i det mindste sørger for hele tiden at holde et vågent øje med dem og monitorere brug og dataflot løbende.

Anvend kryptering

Ingen teknologi bliver så ofte nævnt somm en enkel måde til sikkerheds-forbedring som kryptering, men det er ikke så simpelt i anvendelse, som man måske skulle tro.

De rigtigt gode krypterings-løsninger er ofte dyre, propreitære løsninger, som man skal købe enkeltvis til de forskellige applikationer.

Microsofts BitLocker følger med Pro-versionerne af Windows, mens der inden for bredere krypterings-løsninger findes for eksempel Symantecs Drive Encryption, DiskCryptor og FreeOTFE.

Inden du investerer i krypterings-løsninger, bør du dog nok spørge dig selv: Har vi overhovedet brug for den data, som vi er ved at kryptere?

Sikre forbindelser til banken

Et populært mål for hackere er computere, der i virksomhederne anvendes til håndtering af virksomhedens bankkonti.

Kan du minimere antallet af disse computer - for eksempel til en enkelt, dedikeret computer med et minimum af installerede programmer - kan du også minimere risikoen for at blive hacket.

Få nu styr på de der passwords

Alle ved, at passwords bør være komplekse, lange, bestå af tal og store og små bogstaver og bør være ulogiske, ligesom de bør skiftes ofte.

Sådan er virkeligheden bare ikke. De fleste har enkle, korte passwords, som er nemme at huske, og de beholder dem i så lang tid som muligt, fordi det er irriterende at skulle finde på nye hele tiden, som man så også skal huske.

Her er man som virksomhed ofte nødt til at tvinge medarbejderne på rette ved ved at forlange, at de skifter password med jævne mellemrum. Ellers gør de det ikke.

Læs også: Du tror at din adgangskode er topsikker - men det kan være helt forkert

Få styr på din patching

For mange it-ansvarlige hører den endeløse patching af software ikke ligefrem til yndlingsbeskæftigelserne - ikke mindst af Windows-baserede systemer.

Det er ikke blevet gjort nemmere af, at der ikke har været nogen samlet patch-manager i Windows-miljøet, selv om der er sket mange ting med det nye Windows 10.

Det har altid været langt mere komplekst at patche virksomhedsystemer end private systemer, da virksomheds-systemerne indgår i et tæt samspil med mange andre systemer.

Der findes forskellige løsningert til at håndtere patchingen for især de større virksomheder.

For de små findds der forskellige skannnings-værktøjer, der hurtigt kan anvendes til at danne et overblik over, hvor der skal patches - blandt andre Retina samt Microsofts Baseline Security Analyzer (MBSA)

Slå admin rights fra

'Admin rights' udgør en stor risiko for mange virksomheder, da enhver bruger med 'admin rights' har mulighed for at fifle så meget med indstillingerne, at maskinen og netværket står piv-åbne.

I de tidligere Windows-versioner fik brugerne automatisk admin rights. Det blev senere - i Vista, Windows Server 2008 og Windows 7 - strammet op via User Account Control, der dog fik meget kritik for ikke at fungere ordentligt.

I Windows 8 og Windows 10 skal brugeren oprette en særskilt konto for at få admin rights.

Monitorer cloud-brug

Mange virksomheder plages af såkaldt shadow it - altså når brugere og afdelinger selv begynder at oploade arbejdsrelateret indhold forskellige steder.

Cloud er en fantastisk mulighed for mange mindre virksomheder, men brugen bør kontrolleres og styres.

Ganske vist er mange af storage-løsningerne (som Dropbox og OneDrive) godt beskyttede. Men hvad så med rettighederne? Og hvem ved, hvilke af virksomhedens data, der ligger hvor?

Benyt hellere lejligheden til at få formuleret faste procedurer.

Sikker bortskaffelse af hardware

Al hardware har en udløbstid. Sørg nu for at skille dig af med de brugte maskiner på en sikker måde. Dette gælder både smartphones, computere, servere og alt muligt andet.

Der findes forskellige metoder til sikkert og pålideligt at slette al indhold på harddiske og i hukommelserne, før maskinerne sendes videre i systemet.

Det kan du læse mere om i denne artikel på Computerworlds amerikanske søstermedie, TechWorld.

Har du flere gode råd til nem forbedring af it-sikkerheden? Giv dit besyv med i debatfeltet herunder.

Læs også:

Hackerne kommer - og du kan (næsten) intet gøre

Syv sikkerheds-trusler som du er nødt til at vænne dig til

Fire nye sikkerheds-trends - her er hackernes yndlings-metoder lige nu

16 grundregler som enhver system-administrator bør kende




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ciklum ApS
Offshore software- og systemudvikling.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere