drawares actionplan til bedre cybersikkerhed€¦ · © draware a/s 2019. ”drawares actionplan...
Post on 27-Jul-2020
8 Views
Preview:
TRANSCRIPT
© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 1
Drawares actionplan til bedre cybersikkerhed
Prioriterede konkrete råd og vejledninger , der øger it-sikkerheden og mindsker
organisationernes risiko for interne og eksterne cyberangreb
Indhold Indledning ........................................................................................................................................... 1
#1: Forankring hos ledelsen ................................................................................................................ 2
#2: Kend og styr hardware og software på netværket ....................................................................... 3
#3: Kontinuerlig fjernelse (remediering) af sårbarheder .................................................................... 4
#4: Minimum tildeling af administrative rettigheder og bedre passwords ........................................ 5
#5: Sikker e-mail og websurfing .......................................................................................................... 6
#6: Anti-malware som er primært baseret på adfærd og sekundært på signaturer .......................... 7
#7: Struktureret og målrettet plan for backup OG gendannelse ........................................................ 8
#8: Opdeling og sikring af netværket .................................................................................................. 9
#9: En veldokumenteret og indøvet cybersikkerheds-beredskabsplan ............................................ 10
#10: Målrettet, målbar uddannelse af medarbejdere ...................................................................... 11
Teknisk risikomitigering og Databeskyttelsesforordningen? ............................................................ 12
Links .................................................................................................................................................. 13
Drawares dansk it-sikkerhedsbarometer™ ....................................................................................... 14
Indledning Nedenstående 10 punkter er valgt på baggrund af Center for Internet Security® 20 kritiske kontroller
(www.cisecurity.org), European Union Agency for Cybersecurity (www.enisa.europa.eu), Forsvarets
Efterretningstjeneste, Center for Cybersikkerhed og Digitalisaringsstyrelsens ”Cyberforsvar der
virker” (fe-ddis.dk/cfcs/publikationer/Documents/Cyberforsvar%20der%20virker%20-
%202017_110117.pdf) og mange års erfaring med praktisk it-sikkerhedsarbejde. Husk at målet –
kaldet den ”accepterede risiko” - ikke er 100% it-sikkerhed, men at mindske niveauet af risiko til et
niveau, der passer til din virksomhed og jeres medarbejdere. Dette er en kontinuerlig proces og ikke
et projekt.
IT-Sikkerhed er en væsentlig del af Informationssikkerhed, som er defineret i ISO27001 og ISO27002
med 66 ud af de 114 kontroller i Annex A. IT-Sikkerhed er et organisatorisk tiltag, som SKAL være
forankret, ejet og drevet af ledelsen med bl.a. it-afdelingen som udførende funktion. IT-Sikkerhed
SKAL være målbar for at kunne bevise, at de gennemførte mitigeringstiltag er tilstrækkelige. Dette
kan opnås med en kombination af Drawares Sikkerheds-, Kontrol- og Procesprofiler. Se mere på
(www.draware.dk/gdpr).
(Nedenstående punkter er bevidst holdt meget korte og konkrete så dette dokument kan danne
grundlag for en effektiv og overskuelig handlingsplan for teknisk og organisatorisk it-sikkerhed.
Punkterne er derfor ikke udtømmende og listen kan sagtens udvides med andre tiltag).
© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 2
#1: Forankring hos ledelsen Dette er den vigtigste og desværre ofte den sværeste opgave, når det gælder IT-sikkerhed. Det er
ledelsen, der ejer den accepterede-risiko, som it-sikkerhed udgør for forretningen, og det er
ledelsen, der tildeler de organisatoriske ressourcer, der skal bruges for kontinuerligt at nå og
vedligeholde den accepterede risiko.
Det officielle Danmarks svar på dette emne ligger på www.sikkerdigital.dk samt i dokumentet
”Cyberforsvar der virker”. Standarder som ISO27001, som er et compliancekrav for stat og
kommuner, bygger på denne ledelsesforankring og kan ikke gennemføres uden.
En praktisk slagplan for at opnå denne ledelsesforankring kunne være:
A) Gennemfør en GAP Analyse via Drawares Sikkerhedsprofil og involver ledelsen i risikoen ved
organisationens it-sikkerhedsprofil
B) Gennemfør en risikoanalyse via Drawares Risikoprofil og involver ledelsen i en plan for på
basis af risikoanalysen at nå en accepteret risiko
C) Brug Drawares Ledelsesprofil til at forankre og konkretisere kommunikationen med ledelsen.
Målbar IT-Sikkerhed bør være et fast punkt på alle bestyrelsesmøder i organisationen.
D) Indfør en Informationssikkerhedspolitik som alle medarbejdere skal efterleve og understøt
den med specifik målrettet awarenesstræning
E) Lav en it-sikkerhedsanalyse specifikt på ledelsen og hjælp ledelsen til at forstå risikoen ved
utilstrækkelig cybersikkerhed. Hjælp også ledelsen med relevante spørgsmål, som den bør
stille og måle organisationen på i den forbindelse
F) Benchmark organisationens eksternt vurderede IT-Sikkerhedsprofil for at vurdere om
performance matcher branchens gennemsnit og ikke forringer organisationens værdi
Hjælpen er nær: Brug Drawares Sikkerheds- og Ledelsesprofiler til at hjælpe med dette. Se mere på
(security.draware.dk) og www.draware.dk/gdpr. Beskrivelsen af GAP Analysen finder du her
(security.draware.dk/pdf/Dansk-IT-Sikkerhedsbarometer-oversigt.pdf) og beskrivelsen af de enkelte
profiler her (security.draware.dk/pdf/Dansk-IT-Sikkerhedsbarometer-beskrivelse.pdf). Se også
BitSight® (www.bitsight.com)
© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 3
#2: Kend og styr hardware og software på netværket Det er svært – hvis ikke umuligt – at forsvaret noget, du ikke kender til. Derfor skal der eksistere en
kontinuerlig proces for at opdage hvilke devices, der er sluttet til netværket og en tilsvarende proces
for at autorisere eller fjerne nye devices.
Tilsvarende skal alt software på netværket undersøges således, at der kun findes og bruges
autoriseret software i tilladte versioner på netværket. Tænk specielt på versionsstyring af 3. parts
software som Java, WinZip, PDF læsere, Flash.
Der må ikke bruges programmer og operativsystemer, som er End of Life eller Out of Maintenance.
Den mitigerende effekt, som forhindrer at uautoriserede devices tilsluttes netværket og at
uautoriseret software aktivt forhindres i at eksekvere, hedder 802.1x / NAC og Application
Whitelisting. Nedenstående liste af punkter bør følges for at indføre bedste praksis:
A) Indfør en inventory løsning, der aktivt (og hvis nødvendigt og muligt også passivt)
kontinuerligt scanner relevante dele af netværket for alt hardware og software med de
nødvendige rettigheder. Husk at dette skal omfatte mobile devices og systemer/data i skyen
B) Alt det hardware og software, som er uønsket/farligt/ukendt, skal undersøges og fjernes fra
netværket. Dette foregår typisk i starten som to projekter – et for hardware og et for
software - men disse SKAL forankres som processer
C) Indfør målinger med udvalgte KPI, som dokumenterer at denne proces fungerer efter
hensigten
D) Alle programmer og systemer, som er EOL og OOM, skal fjernes/isoleres fra netværket
E) Alle programmer, som findes i mange forskellige versioner, skal ensrettes til seneste nye
stabile version
F) Indfør mitigerende tiltag, som hjælper med at vedligeholde ovenstående. Det kan være
802.1x/NAC og Application Whitelisting. I den forbindelse er det væsentligt at fjerne lokale
administrator rettigheder for brugerne og understøtte disse tiltag med relevant awareness
træning
Hjælpen er nær: Se CIS #1 og #2 på (www.cisecurity.org) og vores producenter Lansweeper
(www.lansweeper.com) og ManageEngine DesktopCentral
(www.manageengine.com/products/desktop-central)
© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 4
#3: Kontinuerlig fjernelse (remediering) af sårbarheder Mitigering af sårbarheder i hele netværket bør ikke udføres ved uprioriteret blot at rette, hvad et
patchmanagement system siger er kritisk og basere rettelse på automatisering. Følgende
prioriterede liste bør i stedet anvendes:
A) Brug en sårbarhedsscanner til at scanne hele det interne netværk og lad
sårbarhedsscanneren udpege de sårbarheder, der prioriteret bør mitigeres
(fx via en kombination af CVSS, Threatfeed og VPR)
B) Ret sårbarhederne – både dem, der kan patches og dem, der kræver
konfigurationsændringer – efter bedste praksis så hurtigt som muligt i forhold til den
observerede risiko
C) Brug sårbarhedsscanneren til at undersøge standardopsætning af software og hardware via
CIS Benchmarks og ret disse opsætninger baseret på den vurderede risiko
D) Det er vigtigt, at der findes en struktureret og velafprøvet proces for Emergency-
sårbarhedsrettelse, hvilket kræver at sårbarhedsscanneren kan udpege, i hvilke systemer en
pludselig identificeret ultra kritisk sårbarhed (fx CVE-2019-0708) findes. Her er det en god
idé at opdele netværket (med fokus på servere) på Kritiske Devices og Devices relateret til
Persondata og give disse en højere SLA for sårbarhedshåndtering.
Hjælpen er nær: Se CIS #3 på (www.cisecurity.org) og vores producenter Tenable
(www.tenable.com/products) og ManageEngine løsninger til håndtering af sårbarheder
(VulnerabilityManager Plus, PatchManager Plus og DesktopCentral UEM
(www.manageengine.com/productdocument.html)
© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 5
#4: Minimum tildeling af administrative rettigheder og bedre passwords Princippet om tildeling af et minimum af administrative rettigheder relateret til den opgave, der skal
løses, skal indføres sammen med en dokumentation efter bedste praksis. Det betyder, at følgende
vigtige opgaver skal løses i en prioriteret rækkefølge efter risiko:
A) Alle service konti skal gennemgås for strikt syntax, minimum af rettigheder (ikke domain
admins med passwords sat til never expire!) og komplekse unikke passwords efter bedste
praksis. Alle service konti skal dokumenteres med ejer, formål og berørte systemer. Konti,
der ikke bruges, skal fjernes. Password skal skiftes automatiseret hver måned.
B) Almindelige adminkonti må ikke være domain admin og der skal bruges run as i stedet for
default tildelte rettigheder. Admin konti skal dokumenteres og beskyttes som service konti
C) Brugerkonti MÅ IKKE HAVE LOKAL ADMIN RETTIGHEDER!!! (men disse skal fjernes
struktureret med god kommunikation til brugerne og tilsvarende processer i servicedesken)
D) Alle passwords skal håndteres efter bedste praksis, hvilket opnås bedst i et PAM system
E) Tænk på andre passwords som fx tilhører konti på databaseservere og i skyen
F) Der skal bruges 2-FA / MFA ved alle administrative opgaver og ved opgaver, som skal løses af
brugere i skyen som fx adgang til Office 365, Saleforce og lignende systemer
G) Se andre af nedenstående punkt #5 og #10 i relation til passwords
Hjælpen er nær: Se CIS #4 på (www.cisecurity.org) og vores produkter fra ManageEngine
(ADManager Plus, ADAudit Plus og PasswordManager Pro
(www.manageengine.com/productdocument.html) samt DUO Security på (duo.com)
© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 6
#5: Sikker e-mail og websurfing En af de primære kilder til malware i organisationen er brugernes e-mail og websurfing. Det er
derfor meget vigtigt at beskytte disse nødvendige aktiviteter bedst muligt, uden at det går for meget
ud over produktiviteten. Nedenstående er væsentlige punkter, som hjælper med denne opgave.
A) Brug kun autoriserede (udvalgte) browsere i sidste nye stabile version opsat efter CIS
Benchmarks. Det må ikke være muligt for brugerne at gemme passwords i browserne og der
skal være styr på plug-ins og afvikling af flash og scripts
B) Sørg for et godt URL/DNS filter, som beskytter brugerne og organisationen (såvel som privat)
mod farlige hjemmesider. Disse filtre bør være lokale på maskinen og på perimeteren, så de
fungerer både i og uden for organisationen
C) Filtrér indkomne e-mails så der forekommer et minimum af SPAM og farlige e-mails med
malware links og vedhæftelser
D) Hjælp brugerne med at lave sikre og unikke passwords og hjælp dem med at administrere
disse via en ”passordhusker” som fx Lastpass.
Hjælpen er nær: Se CIS #7 på (www.cisecurity.org) og vores softwareløsninger fra ManageEngine
(BrowserSecurity Plus og DesktopCentral UEM) på
(www.manageengine.com/productdocument.html), Proofpoint på
(www.proofpoint.com/us/product-family/advanced-threat-protection) og Cyren på
(www.cyren.com) samt LastPass på (www.lastpass.com/business-solutions)
© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 7
#6: Anti-malware som er primært baseret på adfærd og sekundært på signaturer Der bør være anti-malware løsninger på perimeteren, i netværket og på det enkelte endpoint. Det er
dog svært at identificere hvilken løsning, der bedst mitigerer denne risiko og her kan Gartners EPP
reviews måske hjælpe (www.gartner.com/reviews/market/endpoint-detection-and-response-
solutions). Vi anbefaler, at du gør følgende:
A) Indfør en af de bedste (mest anerkendte) antimalware løsninger, som er god til at håndtere
ukendt malware aktivitet. Dette kan evt. kombineres med en traditionel antivirus scanner.
B) Sørg for at denne løsning er AKTIV på ALLE endpoints via månedlige målinger af systemer
uden AV. Det er meget vigtigt, at denne løsning afvikles på endpoints, der IKKE har lokale
admin rettigheder, da det ellers er for nemt for malware at deaktivere anti-malware
løsningen
C) Sørg for at have en god proces for at opdage og håndtere ikke-remedierede malware
hændelser
Hjælpen er nær: Se CIS #8 på (www.cisecurity.org) og vores produkter fra SentinelOne på
(www.sentinelone.com) og (go.sentinelone.com/EPP-Buyers-Guide.html)
© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 8
#7: Struktureret og målrettet plan for backup OG gendannelse Mange organisationer har ved brug af moderne backup funktioner – evt. som en outsourcet service
– fået godt styr på backup processen. Det er derfor ofte processen for systematiseret afprøvning af
gendannelse, der udestår. Derfor bør du følge disse råd:
A) Gennemfør en Business Impact Analyse, der afdækker, hvad forskellen på den tålte nedetid i
forhold til den konstaterede genetableringsstid er for de vigtigste forretningskritiske
systemer
B) Lav en plan, der sikrer ledelsens accept af ovenstående. Dette skulle gerne føre til tildeling af
ressourcer fra ledelsen, hvor der er for lang afstand mellem målingerne i punkt A)
C) Sørg for at der er off-line backup arkiver, der ikke er sårbare overfor ransomware
D) Sørg for en backup type og frekvens, der understøtter forretningens drift
E) Lav en systematiseret plan for test af system- og data-genetablering
F) Husk at artikel 32 i GDPR baserer sig på en CIA baseret risikomodel (Fortrolighed, Integritet
og Tilgængelighed), så backup og gendannelse spiller en væsentlig rolle ved overholdelsen af
GDPR
Hjælpen er nær: Se CIS #10 på (www.cisecurity.org) og løsninger fra VEEAM på
(www.veeam.com/data-center-availability-suite.html) og ManageEngine RecoveryManager Plus på
(www.manageengine.com/ad-recovery-manager)
© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 9
#8: Opdeling og sikring af netværket Det er væsentligt, at en kompromittering af en server / arbejdsstation ikke fører til en horisontal
spredning af malware, som vælter alle servere og/eller arbejdsstationer. Her kan opdeling i VLAN og
mikrosegmentering hjælpe. Der bør være firewalls mellem alle zoner i netværket med forskelligt
niveau af ”trust”.
Hjælpen er nær: Se CIS #12 på (www.cisecurity.org) og løsninger fra fx PaloAlto®, Cisco® og Sophos®
© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 10
#9: En veldokumenteret og indøvet cybersikkerheds-beredskabsplan En normal driftsfokuseret beredskabsplan er IKKE det samme som en cybersikkerheds-
beredskabsplan – kaldet CSIRT og CSIRP. Den originale dokumentation af disse kan findes i NIST
artikel NIST SP800-61R2. Følgende bør indtænkes i denne plan
A) Identificer og dokumenter det team (uanset hvor lille det end måtte være), som skal
håndtere cybersikkerhedshændelser. Der kan være tale om simple rapporteringer til
Digitaliseringsstyrelsen via virk.dk eller større brister, som omfatter store dele af
organisationen inklusive ledelsen, HR, jura, IT m.fl. Dette team kaldes CSIRT (Computer
Security Incident Response Team)
B) Udpeg de mest sandsynlige cybersikkerhedshændelser baseret på en risikovurdering og
beskriv, hvordan de skal håndteres i et flowchart lignende format. Der findes mange
metodikker beskrevet på Interettet, som kan bruges til inspiration. Denne plan kaldes CSIRP
(Computer Security Incident response Plan)
C) Indøv disse planer og gendokumentér dem indtil de er funktionelle. Ligesom en brandøvelse
skal disse planer regelmæssigt gennemtestes og rettes, hvor det er nødvendigt
D) Blandt de specifikke planer skal der også være en helt generisk plan, der dækker alle de
cybersikkerhedshændelser, der ikke er dokumenteret specifikt
E) Den årlige rapport fra Ponemon Institute (The Cost of a Data Breach) peger på at det ved
indførelse af ovenstående cybersikkerheds beredskabsplan, udbredt brug af kryptering og
awareness træning er muligt at sænke udgifterne ved en cybersikkerhedshændelse med op
til 33%. Se mere på (www.ibm.com/security/data-breach), (breachlevelindex.com),
(www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks) og
enterprise.verizon.com/resources/reports/dbir)
Hjælpen er nær: Se CIS #19 på www.cisecurity.org og Drawares plan og service løsning til en
cybersikkerhedsberedskabsplan på www.draware.dk. Uddybende baggrundsmateriale kan findes i
Drawares IT-Sikkerhedshåndbog på www.draware.dk/nyheder/32-events-temaer/189-event-1 og
NIST 800 SP800-61R2 på nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf
© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 11
#10: Målrettet, målbar uddannelse af medarbejdere Af uransagelige grund er awareness træning et ofte ret misforstået initiativ. Det er til gengæld et af
de it-sikkerhedsinitiativer, som har det hurtigste ROI og som er med til i væsentlig grad at styrke
sikkerheden og mindske omkostninger til håndtering af cyberhændelser – hvis organisationen altså
gennemfører awareness træningen efter bedste praksis.
Awareness træning er ikke et projekt, men en MÅLBAR LEDELSESFORANKRET PROCES, der omfatter
hele organisationen.
Der findes meget god litteratur på nettet (Søg fx BJ Fogg, Blooms Taxonomi, ARCS Model,
Ebbinghaus forgetting curve og SANS MGT433 samt SANS Awareness Roadmap), der tilsammen
understøtter, at nedenstående er bedste praksis:
A) Definer de grundlæggende byggesten for awareness træningen, nemlig en risikobaseret
målbar definition af hvorfor, hvem, hvordan og hvor ofte
B) Få ledelsens opbakning til dette initiativ, som bør være defineret som en fler-/mangeårig
løbende proces
C) Sørg for at definere hvem der er ansvarlig for denne proces i organisationen og alloker de
nødvendige ressourcer til den/de medarbejdere
D) Indtænk motivation, evne og tilskyndelse i awareness programmet. Så er der større chance
for en succes.
E) Det er meget vigtigt, at effekten af awareness træningen er og bliver målbar
F) Gennemfør awareness træningen med respekt for organisationens mission/mål og
organisationens kultur baseret på en risikovurdering, der sætter awareness træningen i
kontekst.
G) Awareness træningen har typisk tre fokusområder: 1. Informationssikkerhedspolitikken, 2.
GDPR/Persondatahåndtering og 3. Generel men målrettet undervisning og test
H) Gennemfør regelmæssige tests i form af simulerede phishing kampagner, USB og SMS
kampagner, on-site undersøgelser, quiz og spørgeskemaer. Formålet er at måle og
dokumentere om awareness fungerer – ikke at pege fingre af eller udstille individuelle
medarbejdere.
Hjælpen er nær: Se CIS #19 på (www.cisecurity.org) og vores produkter ProofPoint Wombat Security
på (www.wombatsecurity.com) samt Drawares Awarenessprofil på (www.draware.dk/gdpr). Se også
trusselslandskabet i relation til awareness træning på (www.proofpoint.com/us/resources/threat-
reports/quarterly-threat-analysis)
© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 12
Teknisk risikomitigering og Databeskyttelsesforordningen? Vi har ofte observeret ,at håndteringen af persondata og efterlevelse af
Databeskyttelsesforordningen bliver en ”compliance-øvelse”, som dokumenteres med ISO27001
tiltag og ISMS systemer. Det efterlader spørgsmålet, om organisationen kan leve op til kravene i
artikel 32-34 med udgangspunkt i følgende:
”Du skal sige, hvad du gør og hvorfor du gør det. Du skal gøre, hvad du siger og kunne vise, at det er
tilstrækkeligt i forhold til den vurderede risiko”. Sagt med andre ord skal der laves en risikovurdering
(specifikt for persondata) og så skal de iværksatte tekniske og organisatoriske tiltag beviseligt kunne
mitigere denne vurderede risiko. Det er væsentligt sværere end blot en compliance øvelse baseret
på dokumentation og databehandleraftaler. Nedenstående retningslinjer tjener som et godt
udgangspunkt, men husk også at alle de foregående punkter er med til at mitigere risikoen:
A) Forestil dig at organisationen har haft et alvorligt persondatarelateret sikkerhedsbrud og en
Auditor efterfølgende stiller spørgsmålet: ”Hvad gjorde organisationen for at opdage og
forhindre dette sikkerhedsbrud og var det tilstrækkeligt?” Hvis du ikke i relevant omfang kan
svare fyldestgørende, er der en potentiel risiko for bl.a. bøder og tab af renommé (foruden
driftstab og tab af IP)
B) Dokumentér lokationen, omfanget og typen af persondata. Både i systemer og systemernes
mapning til infrastrukturen. Dette kan være on-site, fysisk/virtuelt såvel som i skyen. Det er
ikke tilstrækkeligt kun at pege på system xyz men også fx hvor på hvilken server den
underliggende database er i drift.
C) Inddel gerne infrastrukturen i en speciel gruppe af persondata devices og lave specifikke
sårbarheds- og inventory scanninger på denne gruppe
D) Indtænk sporbarhed på alle persondata. Hvor er det mest sandsynligt, at der kan forekomme
en datasikkerhedsbrist, og kan vi spore denne hændelse i detaljer – historisk? Fx ½-1 år
tilbage i tiden. Dette gøres bedst ved at indføre audit/logging systemer
E) Indfør udstrakt brug af persondatakryptering – både i hvile og i transport
F) Indfør DLP systemer hvor det på baggrund af en risikovurdering er mest relevant. Tænk fx
sikker USB håndtering og muligheden for at opdage (person)dataexfiltration på perimeteren.
G) Cybersikkerhedsberedskabsplanen skal favne og håndtere ovenstående
H) Der skal indtænkes awareness træning som specifikt tager hånd om persondatabehandling
og som sikrer, at medarbejderne er opmærksomme på og kan identificere og rapportere en
sikkerhedsbrist
I) Lav en aftale med en ekstern IT-sikkerhedsrådgiver, som i akutte tilfælde kan træde til og
hjælpe med håndteringen af en (persondata)sikkerhedsbrist. Der skal være en fast kontrakt
med defineret tilkaldetid
J) Tegn en cyberforsikring, der kan hjælpe med at tage noget af den økonomiske risiko, men
undersøg dette nøje.
Hjælpen er nær: Se CIS #6 og #13 på (www.cisecurity.org) og vores produkter Netsurion
EventTracker på (www.eventtracker.com), ManageEngine ADAudit, Cloud Security Plus, Datasecurity
Plus, ExchangeReporter Plus, LOG360, SharePoint manager Plus på
(www.manageengine.com/products.html), IDERA SQL Compliance Manager og SQL Secure på
(www.idera.com/productssolutions/it-database-management-tools#PROTECTDatabaseIntegrity),
Kryptering med SecureDoc (www.winmagic.com) og Lepide Auditor på
(www.lepide.com/lepideauditor) samt Drawares Behandlingssikkerhedsprofil på
(www.draware.dk/gdpr)
© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 13
Links
Nedenstående finder du en række relevante links for arbejdet med cybersikkerhed og rapportering
af cyberhændelser i Danmark
1. NC3Skyt (Rigspolitiet)
(politi.dk/samarbejde/nc3skyt)
2. Indberetninger af persondatasikkerhedsbrud
(indberet.virk.dk/myndigheder/stat/ERST/Indberetning_af_brud_paa_sikkerhed)
3. Vejledninger om Databeskyttelsesforordningen
(www.datatilsynet.dk/generelt-om-databeskyttelse/vejledninger-og-skabeloner)
4. Politiets Efterretningstjeneste
(www.pet.dk/Om%20PET/PETs%20itstrategi.aspx)
5. Statens IT / Digitaliseringsstyrelsen
(digst.dk)
6. Center for Cyber Sikkerhed CFCS (Forsvarets Efterretningstjeneste)
(fe-ddis.dk/Produkter/Pages/Produkter.aspx)
7. National Strategi for cyber- og informationssikkerhed
(digst.dk/strategier/cyber-og-informationssikkerhed)
8. Vejledninger om sikker til borgere og virksomheder
(sikkerdigital.dk)
9. Sikkerhedstjekket på virk.dk
(startvaekst.virk.dk/sikkerhedstjekket)
10. Persondatahåndtering på virk.dk
(startvaekst.virk.dk/privacykompasset)
© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 14
Drawares dansk it-sikkerhedsbarometer™
Kom i gang med at måle din it-sikkerhed på: security.draware.dk
• SIKKERHEDSPROFIL - HVOR SIKRE ER VI?
En dybdegående GAP-analyse som danner baggrund for arbejdet med kommende IT-
sikkerhedsprojekter og grundlaget for en konkret accepteret risiko. Profilen er baseret på
CIS® 20 CSC og anbefalingerne i denne standard samt 66 ud af 114 ISO 27001/2 kontroller
• KONTROLPROFIL - HVORDAN DOKUMENTERER VI DET?
Gennem bedste praksis KPI’er gør kontrolprofilen det nemt at dokumentere et tilstrækkeligt
sikkerhedsniveau baseret på CIS® 20 CSC. Profilens dashboard sikrer en enkel og visuel
kommunikation af sikkerhedstiltag og deres effekt til ledelsen. Samtidigt bidrager profilens
tendensark med en kontinuerlig vurdering af tiltagenes effect
• PROCESPROFIL - HVORDAN BLIVER VI SIKRE?
Denne profil sikrer en korrekt beskrivelse af processerne for organisationens
mitigeringstiltag. Her refereres til kontrolprofilen. Profilen behandler formål, actions og
udvalgte ISO-kontroller og danner et overblik over samspillet mellem medarbejdere, roller,
mitigeringstiltag, værktøjer og controller
• LEDELSESPROFIL - ER LEDELSESFORANKRINGEN TILSTRÆKKELIG?
Profilen forankrer IT-sikkerhedstiltag hos ledelsen på en konkret og målbar måde.
Ledelsesprofilen muliggør en vurderering af sikkerhedsniveauet ud fra udvalgte processer og
områder med ledelsens prioritering. Samtidigt gør ledelsesprofilen det muligt at præsentere
de vigtigste nøgletal (KRI/KPI) enkelt og visuelt.>
• ORGANISATIONSPROFIL - ER DEN ORGANISATORISKE EFFEKT TILSTRÆKKELIG?
En måling og sammenligning af sikkerhedsniveauet i organisationens afdelinger. Profilens
tekniske del gør det nemt at at udbrede bedste praksis i afdelinger, hvor Sikkerhedsprofilen
er særlig gunstig, og sætte ind med awareness-træning, hvor den er særligt utilstrækkelig.
• RISIKOPROFIL - HVILKE TILTAG ER RELEVANTE FOR VORES RISIKONIVEAU?
Profilen hjælper med at omsætte Sikkerhedsprofilen til en risikoanalyse og korrelere
projekternes nødvendighed for at mitigere den fundne risiko til et acceptabelt niveau og
ressourceforbrug. Profilen gør en prioritering af budgetallokeringer nemmere for ledelsen.
• BEHANDLINGSSIKKERHEDSPROFIL - HVILKE TILTAG ER RELEVANTE FOR VORES
PERSONDATABEHANDLING?
Profilen beregner det nuværende og ønskede risikoniveau for organisationens
persondatabehandling. Samtidigt dannes et overblik over behandlingsaktiviteter og
relevante tekniske og organisatoriske tiltag anvises med målet om at opfylde lovkravet om
risikobaseret behandlingssikkerhed.
• LEVERANDØRPROFIL - HVILKE TILTAG ER RELEVANTE FOR VORES
PERSONDATABEHANDLING?
Profilen beregner det nuværende og ønskede sikkerhedsniveau for organisationens
leverandører. Samtidigt giver profilen et overblik over relevante tekniske og organisatoriske
© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 15
tiltag nødvendige for leverandørene, før et samarbejde kan eksistere på et lovligt og sikkert
grundlag.
• INFORMATIONSSIKKERHEDSPROFIL – FORBEREDELSE TIL ISO27001 AUDIT
Med udgangspunkt i ISO27001 og de praktiske resultater fra Sikkerhedsprofil guides du
igennem de indledende trin og relevante processer til at forberede organisationen til en
ISO27001 Audit
• AWARENESSPROFILEN – FORBERED OG GENNEMFØR STRUKTURERET OG MÅLBAR
AWARENESSTRÆNING
Den nyeste tænkning indenfor awareness træning anvendes i denne profil til at hjælpe
organisationen i gang med at gennemføre struktureret og målbar awareness træning så
medarbejderne kan blive organisationens bedste firewall
Hjælpen er nær: Beskrivelsen af GAP Analysen dansk it-sikkerhedsbarometer™ finder du her
(security.draware.dk/pdf/Dansk-IT-Sikkerhedsbarometer-oversigt.pdf) og beskrivelsen af de enkelte
profiler her (security.draware.dk/pdf/Dansk-IT-Sikkerhedsbarometer-beskrivelse.pdf).
top related