Artikel top billede

De 20 vigtigste sikkerhedsråd til it-chefen

Et amerikansk eksperthold har skabt en arbejdsliste med de 20 vigtigste sikkerhedskontroller i virksomheden. Den bør alle sikkerhedsfolk læse, lyder det fra to danske eksperter.

En række amerikanske statslige sikkerhedsorganisationer med Forsvarsministeriet i spidsen har skabt en liste med 20 sikkerhedspunkter, der skal forbedre virksomhedernes it-sikkerhed.

Listen modtages positivt blandt danske kollegaer.

"Godt arbejde," lyder det samstemmende fra to danske sikkerhedseksperter, der hilser de 20 punkter velkommen.

Listen, der har det knap så mundrette navn "Twenty Most Important Controls and Metrics for Effective Cyber Defense and Continuous FISMA Compliance" blev offentliggjort i går og bag arbejdet står sikkerhedsorganisationer som NSA, US-Cert, US Department of Defense og Sans Institute.

De 20 punkter sammenfatter og forklarer, hvordan man opretholder cyber-sikkerheden i virksomheden, og den kommer godt omkring emnet, lyder vurderingen.

"Den bør man læse i it-afdelingen," siger Peter Kruse fra sikkerhedsfirmaet CSIS. "Der er mange gode anbefalinger, og listen kommer godt rundt i krogene."

"Den ser rigtig spændende ud," lyder det fra seniorkonsulent Carsten Jørgensen fra Devoteam Consulting.

"Det der gør den god er, at der er trukket en række hovedpunkter ud. De forklares i et forståeligt og konkret sprog, hvilket ofte mangler i forbindelse med sikkerhedsstandarder, der i reglen er blødt formuleret."

"Overholdes punkterne øges sikkerheden væsentligt, og med listen i hånden er man godt på vej," vurderer Carsten Jørgensen.

Spring et punkt eller to over

Selv om de 20 tjekpunkter modtages med glæde, er det ikke alle, der kan følge den slavisk.

"Listen er udarbejdet til større organisationer end den gennemsnitlige danske virksomhed," siger Peter Kruse fra CSIS.

Det betyder ikke, at den ikke kan bruges, men den lidt mindre virksomhed kan springe et par punkter over.

"Alle sikkerhedsfolk bør gøre sig den ulejlighed at kigge listen igennem. Store og mellemstore virksomheder kan bruge den direkte. De lidt mindre firmaer kan komme til at drukne i data, hvis den følges slavisk, og de kan derfor fravælge punkter som Incident Respons Teams," siger Peter Kruse.

"Det nytter ikke noget, at man bruger alle kræfterne på respons teams, hvis sikkerheden halter på mere afgørende punkter."

"Generelt er det dog en række rigtig fine retningslinjer," vurderer han.

Kom med forslag i 30 dage

Ekspertgruppen bag listen påbegyndte arbejdet i 2008 efter en serie af ekstreme datatab i den amerikanske forsvarsindustri.

Se de 20 tjekpunkter

Projektet er blevet ledet af John Gilligan, der har været it-chef i både det amerikanske luftvåben og - energiministerium.

I en pressemeddelelse i forbindelse med udgivelsen betegner han listen som "idiot-sikker" og et nødvendigt arbejdsredskab.

"Hvis man er bekendt med, at der foregår angreb, er man forpligtet til at prioritere sikkerheden for at stoppe dem," lyder det fra John Gilligan.

De 20 punkter er udkommet i er 30-dages betaversion, hvor sikkerhedseksperter inviteres til at kommentere forslagene eller komme med nye ideer.

I sidste måned udgav amerikanske sikkerhedsorganisationer i samarbejde med Sans Institute en liste med de 25 værste kodefejl i sikkerheds-software.

Tjekliste til sikkerhed

De 20 kontrolpunkter ser således ud:

Kontrol 1: Inventory of authorized and unauthorized hardware.

Kontrol 2: Inventory of authorized and unauthorized software; enforcement of white lists of authorized software.

Kontrol 3: Secure configurations for hardware and software on laptops, workstations, and servers.

Kontrol 4: Secure configurations of network devices such as firewalls, routers, and switches.

Kontrol 5: Boundary Defense.

Kontrol 6: Maintenance, Monitoring and Analysis of Complete Audit Logs.

Kontrol 7: Application Software Security.

Kontrol 8: Controlled Use of Administrative Privileges.

Kontrol 9: Controlled Access Based On Need to Know.

Kontrol 10: Continuous Vulnerability Testing and Remediation.

Kontrol 11: Dormant Account Monitoring and Control.

Kontrol 12: Anti-Malware Defenses.

Kontrol 13: Limitation and Control of Ports, Protocols and Services.

Kontrol 14: Wireless Device Control.

Kontrol 15: Data Leakage Protection.

Kontrol 16: Secure Network Engineering.

Kontrol 17: Red Team Exercises.

Kontrol 18: Incident Response Capability

Kontrol 19: Data Recovery Capability.

Kontrol 20: Security Skills Assessment and Appropriate Training To Fill Gaps.




IT-JOB
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Despec Denmark A/S
Distributør af forbrugsstoffer, printere, it-tilbehør, mobility-tilbehør, ergonomiske produkter, kontor-maskiner og -tilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Send dine legacysystemer på pension og invitér standardløsninger indenfor

Legacysystemer er rygraden i mange organisationers it-infrastruktur, men før eller siden er det tid til at sige farvel og skifte til en eller flere standardløsninger. Vi udforsker scenarier og muligheder, der gør det muligt at rykke videre. Hvad er businesscasen? Hvilke krav stiller skiftet til din forretning og jeres processer? Hvordan

08. oktober 2024 | Læs mere


Dynamics 365 & Business Central - AI og branchemoduler

Udforsk, hvordan du kommer godt i gang med Business Central, får hjælp til at tilpasse platformen til dine behov og får mest ud af din ERP-løsning med begrænsede ressourcer.

23. oktober 2024 | Læs mere


Årets CISO 2024

Vær med når Computerworld, Dansk Erhverv og Rådet for Digital Sikkerhed tager temperaturen på trusselslandskabet lige nu, og giver dig overblikket over de nyeste trusler, de mest aktuelle tendenser og de bedste løsninger og værktøjer til at sikre effektiv drift og høj compliance.

24. oktober 2024 | Læs mere