© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 1

Drawares actionplan til bedre cybersikkerhed

Prioriterede konkrete råd og vejledninger , der øger it-sikkerheden og mindsker

organisationernes risiko for interne og eksterne cyberangreb

Indhold Indledning ........................................................................................................................................... 1

#1: Forankring hos ledelsen ................................................................................................................ 2

#2: Kend og styr hardware og software på netværket ....................................................................... 3

#3: Kontinuerlig fjernelse (remediering) af sårbarheder .................................................................... 4

#4: Minimum tildeling af administrative rettigheder og bedre passwords ........................................ 5

#5: Sikker e-mail og websurfing .......................................................................................................... 6

#6: Anti-malware som er primært baseret på adfærd og sekundært på signaturer .......................... 7

#7: Struktureret og målrettet plan for backup OG gendannelse ........................................................ 8

#8: Opdeling og sikring af netværket .................................................................................................. 9

#9: En veldokumenteret og indøvet cybersikkerheds-beredskabsplan ............................................ 10

#10: Målrettet, målbar uddannelse af medarbejdere ...................................................................... 11

Teknisk risikomitigering og Databeskyttelsesforordningen? ............................................................ 12

Links .................................................................................................................................................. 13

Drawares dansk it-sikkerhedsbarometer™ ....................................................................................... 14

Indledning Nedenstående 10 punkter er valgt på baggrund af Center for Internet Security® 20 kritiske kontroller

(www.cisecurity.org), European Union Agency for Cybersecurity (www.enisa.europa.eu), Forsvarets

Efterretningstjeneste, Center for Cybersikkerhed og Digitalisaringsstyrelsens ”Cyberforsvar der

virker” (fe-ddis.dk/cfcs/publikationer/Documents/Cyberforsvar%20der%20virker%20-

%202017_110117.pdf) og mange års erfaring med praktisk it-sikkerhedsarbejde. Husk at målet –

kaldet den ”accepterede risiko” - ikke er 100% it-sikkerhed, men at mindske niveauet af risiko til et

niveau, der passer til din virksomhed og jeres medarbejdere. Dette er en kontinuerlig proces og ikke

et projekt.

IT-Sikkerhed er en væsentlig del af Informationssikkerhed, som er defineret i ISO27001 og ISO27002

med 66 ud af de 114 kontroller i Annex A. IT-Sikkerhed er et organisatorisk tiltag, som SKAL være

forankret, ejet og drevet af ledelsen med bl.a. it-afdelingen som udførende funktion. IT-Sikkerhed

SKAL være målbar for at kunne bevise, at de gennemførte mitigeringstiltag er tilstrækkelige. Dette

kan opnås med en kombination af Drawares Sikkerheds-, Kontrol- og Procesprofiler. Se mere på

(www.draware.dk/gdpr).

(Nedenstående punkter er bevidst holdt meget korte og konkrete så dette dokument kan danne

grundlag for en effektiv og overskuelig handlingsplan for teknisk og organisatorisk it-sikkerhed.

Punkterne er derfor ikke udtømmende og listen kan sagtens udvides med andre tiltag).

© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 2

#1: Forankring hos ledelsen Dette er den vigtigste og desværre ofte den sværeste opgave, når det gælder IT-sikkerhed. Det er

ledelsen, der ejer den accepterede-risiko, som it-sikkerhed udgør for forretningen, og det er

ledelsen, der tildeler de organisatoriske ressourcer, der skal bruges for kontinuerligt at nå og

vedligeholde den accepterede risiko.

Det officielle Danmarks svar på dette emne ligger på www.sikkerdigital.dk samt i dokumentet

”Cyberforsvar der virker”. Standarder som ISO27001, som er et compliancekrav for stat og

kommuner, bygger på denne ledelsesforankring og kan ikke gennemføres uden.

En praktisk slagplan for at opnå denne ledelsesforankring kunne være:

A) Gennemfør en GAP Analyse via Drawares Sikkerhedsprofil og involver ledelsen i risikoen ved

organisationens it-sikkerhedsprofil

B) Gennemfør en risikoanalyse via Drawares Risikoprofil og involver ledelsen i en plan for på

basis af risikoanalysen at nå en accepteret risiko

C) Brug Drawares Ledelsesprofil til at forankre og konkretisere kommunikationen med ledelsen.

Målbar IT-Sikkerhed bør være et fast punkt på alle bestyrelsesmøder i organisationen.

D) Indfør en Informationssikkerhedspolitik som alle medarbejdere skal efterleve og understøt

den med specifik målrettet awarenesstræning

E) Lav en it-sikkerhedsanalyse specifikt på ledelsen og hjælp ledelsen til at forstå risikoen ved

utilstrækkelig cybersikkerhed. Hjælp også ledelsen med relevante spørgsmål, som den bør

stille og måle organisationen på i den forbindelse

F) Benchmark organisationens eksternt vurderede IT-Sikkerhedsprofil for at vurdere om

performance matcher branchens gennemsnit og ikke forringer organisationens værdi

Hjælpen er nær: Brug Drawares Sikkerheds- og Ledelsesprofiler til at hjælpe med dette. Se mere på

(security.draware.dk) og www.draware.dk/gdpr. Beskrivelsen af GAP Analysen finder du her

(security.draware.dk/pdf/Dansk-IT-Sikkerhedsbarometer-oversigt.pdf) og beskrivelsen af de enkelte

profiler her (security.draware.dk/pdf/Dansk-IT-Sikkerhedsbarometer-beskrivelse.pdf). Se også

BitSight® (www.bitsight.com)

© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 3

#2: Kend og styr hardware og software på netværket Det er svært – hvis ikke umuligt – at forsvaret noget, du ikke kender til. Derfor skal der eksistere en

kontinuerlig proces for at opdage hvilke devices, der er sluttet til netværket og en tilsvarende proces

for at autorisere eller fjerne nye devices.

Tilsvarende skal alt software på netværket undersøges således, at der kun findes og bruges

autoriseret software i tilladte versioner på netværket. Tænk specielt på versionsstyring af 3. parts

software som Java, WinZip, PDF læsere, Flash.

Der må ikke bruges programmer og operativsystemer, som er End of Life eller Out of Maintenance.

Den mitigerende effekt, som forhindrer at uautoriserede devices tilsluttes netværket og at

uautoriseret software aktivt forhindres i at eksekvere, hedder 802.1x / NAC og Application

Whitelisting. Nedenstående liste af punkter bør følges for at indføre bedste praksis:

A) Indfør en inventory løsning, der aktivt (og hvis nødvendigt og muligt også passivt)

kontinuerligt scanner relevante dele af netværket for alt hardware og software med de

nødvendige rettigheder. Husk at dette skal omfatte mobile devices og systemer/data i skyen

B) Alt det hardware og software, som er uønsket/farligt/ukendt, skal undersøges og fjernes fra

netværket. Dette foregår typisk i starten som to projekter – et for hardware og et for

software - men disse SKAL forankres som processer

C) Indfør målinger med udvalgte KPI, som dokumenterer at denne proces fungerer efter

hensigten

D) Alle programmer og systemer, som er EOL og OOM, skal fjernes/isoleres fra netværket

E) Alle programmer, som findes i mange forskellige versioner, skal ensrettes til seneste nye

stabile version

F) Indfør mitigerende tiltag, som hjælper med at vedligeholde ovenstående. Det kan være

802.1x/NAC og Application Whitelisting. I den forbindelse er det væsentligt at fjerne lokale

administrator rettigheder for brugerne og understøtte disse tiltag med relevant awareness

træning

Hjælpen er nær: Se CIS #1 og #2 på (www.cisecurity.org) og vores producenter Lansweeper

(www.lansweeper.com) og ManageEngine DesktopCentral

(www.manageengine.com/products/desktop-central)

© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 4

#3: Kontinuerlig fjernelse (remediering) af sårbarheder Mitigering af sårbarheder i hele netværket bør ikke udføres ved uprioriteret blot at rette, hvad et

patchmanagement system siger er kritisk og basere rettelse på automatisering. Følgende

prioriterede liste bør i stedet anvendes:

A) Brug en sårbarhedsscanner til at scanne hele det interne netværk og lad

sårbarhedsscanneren udpege de sårbarheder, der prioriteret bør mitigeres

(fx via en kombination af CVSS, Threatfeed og VPR)

B) Ret sårbarhederne – både dem, der kan patches og dem, der kræver

konfigurationsændringer – efter bedste praksis så hurtigt som muligt i forhold til den

observerede risiko

C) Brug sårbarhedsscanneren til at undersøge standardopsætning af software og hardware via

CIS Benchmarks og ret disse opsætninger baseret på den vurderede risiko

D) Det er vigtigt, at der findes en struktureret og velafprøvet proces for Emergency-

sårbarhedsrettelse, hvilket kræver at sårbarhedsscanneren kan udpege, i hvilke systemer en

pludselig identificeret ultra kritisk sårbarhed (fx CVE-2019-0708) findes. Her er det en god

idé at opdele netværket (med fokus på servere) på Kritiske Devices og Devices relateret til

Persondata og give disse en højere SLA for sårbarhedshåndtering.

Hjælpen er nær: Se CIS #3 på (www.cisecurity.org) og vores producenter Tenable

(www.tenable.com/products) og ManageEngine løsninger til håndtering af sårbarheder

(VulnerabilityManager Plus, PatchManager Plus og DesktopCentral UEM

(www.manageengine.com/productdocument.html)

© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 5

#4: Minimum tildeling af administrative rettigheder og bedre passwords Princippet om tildeling af et minimum af administrative rettigheder relateret til den opgave, der skal

løses, skal indføres sammen med en dokumentation efter bedste praksis. Det betyder, at følgende

vigtige opgaver skal løses i en prioriteret rækkefølge efter risiko:

A) Alle service konti skal gennemgås for strikt syntax, minimum af rettigheder (ikke domain

admins med passwords sat til never expire!) og komplekse unikke passwords efter bedste

praksis. Alle service konti skal dokumenteres med ejer, formål og berørte systemer. Konti,

der ikke bruges, skal fjernes. Password skal skiftes automatiseret hver måned.

B) Almindelige adminkonti må ikke være domain admin og der skal bruges run as i stedet for

default tildelte rettigheder. Admin konti skal dokumenteres og beskyttes som service konti

C) Brugerkonti MÅ IKKE HAVE LOKAL ADMIN RETTIGHEDER!!! (men disse skal fjernes

struktureret med god kommunikation til brugerne og tilsvarende processer i servicedesken)

D) Alle passwords skal håndteres efter bedste praksis, hvilket opnås bedst i et PAM system

E) Tænk på andre passwords som fx tilhører konti på databaseservere og i skyen

F) Der skal bruges 2-FA / MFA ved alle administrative opgaver og ved opgaver, som skal løses af

brugere i skyen som fx adgang til Office 365, Saleforce og lignende systemer

G) Se andre af nedenstående punkt #5 og #10 i relation til passwords

Hjælpen er nær: Se CIS #4 på (www.cisecurity.org) og vores produkter fra ManageEngine

(ADManager Plus, ADAudit Plus og PasswordManager Pro

(www.manageengine.com/productdocument.html) samt DUO Security på (duo.com)

© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 6

#5: Sikker e-mail og websurfing En af de primære kilder til malware i organisationen er brugernes e-mail og websurfing. Det er

derfor meget vigtigt at beskytte disse nødvendige aktiviteter bedst muligt, uden at det går for meget

ud over produktiviteten. Nedenstående er væsentlige punkter, som hjælper med denne opgave.

A) Brug kun autoriserede (udvalgte) browsere i sidste nye stabile version opsat efter CIS

Benchmarks. Det må ikke være muligt for brugerne at gemme passwords i browserne og der

skal være styr på plug-ins og afvikling af flash og scripts

B) Sørg for et godt URL/DNS filter, som beskytter brugerne og organisationen (såvel som privat)

mod farlige hjemmesider. Disse filtre bør være lokale på maskinen og på perimeteren, så de

fungerer både i og uden for organisationen

C) Filtrér indkomne e-mails så der forekommer et minimum af SPAM og farlige e-mails med

malware links og vedhæftelser

D) Hjælp brugerne med at lave sikre og unikke passwords og hjælp dem med at administrere

disse via en ”passordhusker” som fx Lastpass.

Hjælpen er nær: Se CIS #7 på (www.cisecurity.org) og vores softwareløsninger fra ManageEngine

(BrowserSecurity Plus og DesktopCentral UEM) på

(www.manageengine.com/productdocument.html), Proofpoint på

(www.proofpoint.com/us/product-family/advanced-threat-protection) og Cyren på

(www.cyren.com) samt LastPass på (www.lastpass.com/business-solutions)

© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 7

#6: Anti-malware som er primært baseret på adfærd og sekundært på signaturer Der bør være anti-malware løsninger på perimeteren, i netværket og på det enkelte endpoint. Det er

dog svært at identificere hvilken løsning, der bedst mitigerer denne risiko og her kan Gartners EPP

reviews måske hjælpe (www.gartner.com/reviews/market/endpoint-detection-and-response-

solutions). Vi anbefaler, at du gør følgende:

A) Indfør en af de bedste (mest anerkendte) antimalware løsninger, som er god til at håndtere

ukendt malware aktivitet. Dette kan evt. kombineres med en traditionel antivirus scanner.

B) Sørg for at denne løsning er AKTIV på ALLE endpoints via månedlige målinger af systemer

uden AV. Det er meget vigtigt, at denne løsning afvikles på endpoints, der IKKE har lokale

admin rettigheder, da det ellers er for nemt for malware at deaktivere anti-malware

løsningen

C) Sørg for at have en god proces for at opdage og håndtere ikke-remedierede malware

hændelser

Hjælpen er nær: Se CIS #8 på (www.cisecurity.org) og vores produkter fra SentinelOne på

(www.sentinelone.com) og (go.sentinelone.com/EPP-Buyers-Guide.html)

© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 8

#7: Struktureret og målrettet plan for backup OG gendannelse Mange organisationer har ved brug af moderne backup funktioner – evt. som en outsourcet service

– fået godt styr på backup processen. Det er derfor ofte processen for systematiseret afprøvning af

gendannelse, der udestår. Derfor bør du følge disse råd:

A) Gennemfør en Business Impact Analyse, der afdækker, hvad forskellen på den tålte nedetid i

forhold til den konstaterede genetableringsstid er for de vigtigste forretningskritiske

systemer

B) Lav en plan, der sikrer ledelsens accept af ovenstående. Dette skulle gerne føre til tildeling af

ressourcer fra ledelsen, hvor der er for lang afstand mellem målingerne i punkt A)

C) Sørg for at der er off-line backup arkiver, der ikke er sårbare overfor ransomware

D) Sørg for en backup type og frekvens, der understøtter forretningens drift

E) Lav en systematiseret plan for test af system- og data-genetablering

F) Husk at artikel 32 i GDPR baserer sig på en CIA baseret risikomodel (Fortrolighed, Integritet

og Tilgængelighed), så backup og gendannelse spiller en væsentlig rolle ved overholdelsen af

GDPR

Hjælpen er nær: Se CIS #10 på (www.cisecurity.org) og løsninger fra VEEAM på

(www.veeam.com/data-center-availability-suite.html) og ManageEngine RecoveryManager Plus på

(www.manageengine.com/ad-recovery-manager)

© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 9

#8: Opdeling og sikring af netværket Det er væsentligt, at en kompromittering af en server / arbejdsstation ikke fører til en horisontal

spredning af malware, som vælter alle servere og/eller arbejdsstationer. Her kan opdeling i VLAN og

mikrosegmentering hjælpe. Der bør være firewalls mellem alle zoner i netværket med forskelligt

niveau af ”trust”.

Hjælpen er nær: Se CIS #12 på (www.cisecurity.org) og løsninger fra fx PaloAlto®, Cisco® og Sophos®

© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 10

#9: En veldokumenteret og indøvet cybersikkerheds-beredskabsplan En normal driftsfokuseret beredskabsplan er IKKE det samme som en cybersikkerheds-

beredskabsplan – kaldet CSIRT og CSIRP. Den originale dokumentation af disse kan findes i NIST

artikel NIST SP800-61R2. Følgende bør indtænkes i denne plan

A) Identificer og dokumenter det team (uanset hvor lille det end måtte være), som skal

håndtere cybersikkerhedshændelser. Der kan være tale om simple rapporteringer til

Digitaliseringsstyrelsen via virk.dk eller større brister, som omfatter store dele af

organisationen inklusive ledelsen, HR, jura, IT m.fl. Dette team kaldes CSIRT (Computer

Security Incident Response Team)

B) Udpeg de mest sandsynlige cybersikkerhedshændelser baseret på en risikovurdering og

beskriv, hvordan de skal håndteres i et flowchart lignende format. Der findes mange

metodikker beskrevet på Interettet, som kan bruges til inspiration. Denne plan kaldes CSIRP

(Computer Security Incident response Plan)

C) Indøv disse planer og gendokumentér dem indtil de er funktionelle. Ligesom en brandøvelse

skal disse planer regelmæssigt gennemtestes og rettes, hvor det er nødvendigt

D) Blandt de specifikke planer skal der også være en helt generisk plan, der dækker alle de

cybersikkerhedshændelser, der ikke er dokumenteret specifikt

E) Den årlige rapport fra Ponemon Institute (The Cost of a Data Breach) peger på at det ved

indførelse af ovenstående cybersikkerheds beredskabsplan, udbredt brug af kryptering og

awareness træning er muligt at sænke udgifterne ved en cybersikkerhedshændelse med op

til 33%. Se mere på (www.ibm.com/security/data-breach), (breachlevelindex.com),

(www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks) og

enterprise.verizon.com/resources/reports/dbir)

Hjælpen er nær: Se CIS #19 på www.cisecurity.org og Drawares plan og service løsning til en

cybersikkerhedsberedskabsplan på www.draware.dk. Uddybende baggrundsmateriale kan findes i

Drawares IT-Sikkerhedshåndbog på www.draware.dk/nyheder/32-events-temaer/189-event-1 og

NIST 800 SP800-61R2 på nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf

© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 11

#10: Målrettet, målbar uddannelse af medarbejdere Af uransagelige grund er awareness træning et ofte ret misforstået initiativ. Det er til gengæld et af

de it-sikkerhedsinitiativer, som har det hurtigste ROI og som er med til i væsentlig grad at styrke

sikkerheden og mindske omkostninger til håndtering af cyberhændelser – hvis organisationen altså

gennemfører awareness træningen efter bedste praksis.

Awareness træning er ikke et projekt, men en MÅLBAR LEDELSESFORANKRET PROCES, der omfatter

hele organisationen.

Der findes meget god litteratur på nettet (Søg fx BJ Fogg, Blooms Taxonomi, ARCS Model,

Ebbinghaus forgetting curve og SANS MGT433 samt SANS Awareness Roadmap), der tilsammen

understøtter, at nedenstående er bedste praksis:

A) Definer de grundlæggende byggesten for awareness træningen, nemlig en risikobaseret

målbar definition af hvorfor, hvem, hvordan og hvor ofte

B) Få ledelsens opbakning til dette initiativ, som bør være defineret som en fler-/mangeårig

løbende proces

C) Sørg for at definere hvem der er ansvarlig for denne proces i organisationen og alloker de

nødvendige ressourcer til den/de medarbejdere

D) Indtænk motivation, evne og tilskyndelse i awareness programmet. Så er der større chance

for en succes.

E) Det er meget vigtigt, at effekten af awareness træningen er og bliver målbar

F) Gennemfør awareness træningen med respekt for organisationens mission/mål og

organisationens kultur baseret på en risikovurdering, der sætter awareness træningen i

kontekst.

G) Awareness træningen har typisk tre fokusområder: 1. Informationssikkerhedspolitikken, 2.

GDPR/Persondatahåndtering og 3. Generel men målrettet undervisning og test

H) Gennemfør regelmæssige tests i form af simulerede phishing kampagner, USB og SMS

kampagner, on-site undersøgelser, quiz og spørgeskemaer. Formålet er at måle og

dokumentere om awareness fungerer – ikke at pege fingre af eller udstille individuelle

medarbejdere.

Hjælpen er nær: Se CIS #19 på (www.cisecurity.org) og vores produkter ProofPoint Wombat Security

på (www.wombatsecurity.com) samt Drawares Awarenessprofil på (www.draware.dk/gdpr). Se også

trusselslandskabet i relation til awareness træning på (www.proofpoint.com/us/resources/threat-

reports/quarterly-threat-analysis)

© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 12

Teknisk risikomitigering og Databeskyttelsesforordningen? Vi har ofte observeret ,at håndteringen af persondata og efterlevelse af

Databeskyttelsesforordningen bliver en ”compliance-øvelse”, som dokumenteres med ISO27001

tiltag og ISMS systemer. Det efterlader spørgsmålet, om organisationen kan leve op til kravene i

artikel 32-34 med udgangspunkt i følgende:

”Du skal sige, hvad du gør og hvorfor du gør det. Du skal gøre, hvad du siger og kunne vise, at det er

tilstrækkeligt i forhold til den vurderede risiko”. Sagt med andre ord skal der laves en risikovurdering

(specifikt for persondata) og så skal de iværksatte tekniske og organisatoriske tiltag beviseligt kunne

mitigere denne vurderede risiko. Det er væsentligt sværere end blot en compliance øvelse baseret

på dokumentation og databehandleraftaler. Nedenstående retningslinjer tjener som et godt

udgangspunkt, men husk også at alle de foregående punkter er med til at mitigere risikoen:

A) Forestil dig at organisationen har haft et alvorligt persondatarelateret sikkerhedsbrud og en

Auditor efterfølgende stiller spørgsmålet: ”Hvad gjorde organisationen for at opdage og

forhindre dette sikkerhedsbrud og var det tilstrækkeligt?” Hvis du ikke i relevant omfang kan

svare fyldestgørende, er der en potentiel risiko for bl.a. bøder og tab af renommé (foruden

driftstab og tab af IP)

B) Dokumentér lokationen, omfanget og typen af persondata. Både i systemer og systemernes

mapning til infrastrukturen. Dette kan være on-site, fysisk/virtuelt såvel som i skyen. Det er

ikke tilstrækkeligt kun at pege på system xyz men også fx hvor på hvilken server den

underliggende database er i drift.

C) Inddel gerne infrastrukturen i en speciel gruppe af persondata devices og lave specifikke

sårbarheds- og inventory scanninger på denne gruppe

D) Indtænk sporbarhed på alle persondata. Hvor er det mest sandsynligt, at der kan forekomme

en datasikkerhedsbrist, og kan vi spore denne hændelse i detaljer – historisk? Fx ½-1 år

tilbage i tiden. Dette gøres bedst ved at indføre audit/logging systemer

E) Indfør udstrakt brug af persondatakryptering – både i hvile og i transport

F) Indfør DLP systemer hvor det på baggrund af en risikovurdering er mest relevant. Tænk fx

sikker USB håndtering og muligheden for at opdage (person)dataexfiltration på perimeteren.

G) Cybersikkerhedsberedskabsplanen skal favne og håndtere ovenstående

H) Der skal indtænkes awareness træning som specifikt tager hånd om persondatabehandling

og som sikrer, at medarbejderne er opmærksomme på og kan identificere og rapportere en

sikkerhedsbrist

I) Lav en aftale med en ekstern IT-sikkerhedsrådgiver, som i akutte tilfælde kan træde til og

hjælpe med håndteringen af en (persondata)sikkerhedsbrist. Der skal være en fast kontrakt

med defineret tilkaldetid

J) Tegn en cyberforsikring, der kan hjælpe med at tage noget af den økonomiske risiko, men

undersøg dette nøje.

Hjælpen er nær: Se CIS #6 og #13 på (www.cisecurity.org) og vores produkter Netsurion

EventTracker på (www.eventtracker.com), ManageEngine ADAudit, Cloud Security Plus, Datasecurity

Plus, ExchangeReporter Plus, LOG360, SharePoint manager Plus på

(www.manageengine.com/products.html), IDERA SQL Compliance Manager og SQL Secure på

(www.idera.com/productssolutions/it-database-management-tools#PROTECTDatabaseIntegrity),

Kryptering med SecureDoc (www.winmagic.com) og Lepide Auditor på

(www.lepide.com/lepideauditor) samt Drawares Behandlingssikkerhedsprofil på

(www.draware.dk/gdpr)

© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 13

Links

Nedenstående finder du en række relevante links for arbejdet med cybersikkerhed og rapportering

af cyberhændelser i Danmark

1. NC3Skyt (Rigspolitiet)

(politi.dk/samarbejde/nc3skyt)

2. Indberetninger af persondatasikkerhedsbrud

(indberet.virk.dk/myndigheder/stat/ERST/Indberetning_af_brud_paa_sikkerhed)

3. Vejledninger om Databeskyttelsesforordningen

(www.datatilsynet.dk/generelt-om-databeskyttelse/vejledninger-og-skabeloner)

4. Politiets Efterretningstjeneste

(www.pet.dk/Om%20PET/PETs%20itstrategi.aspx)

5. Statens IT / Digitaliseringsstyrelsen

(digst.dk)

6. Center for Cyber Sikkerhed CFCS (Forsvarets Efterretningstjeneste)

(fe-ddis.dk/Produkter/Pages/Produkter.aspx)

7. National Strategi for cyber- og informationssikkerhed

(digst.dk/strategier/cyber-og-informationssikkerhed)

8. Vejledninger om sikker til borgere og virksomheder

(sikkerdigital.dk)

9. Sikkerhedstjekket på virk.dk

(startvaekst.virk.dk/sikkerhedstjekket)

10. Persondatahåndtering på virk.dk

(startvaekst.virk.dk/privacykompasset)

© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 14

Drawares dansk it-sikkerhedsbarometer™

Kom i gang med at måle din it-sikkerhed på: security.draware.dk

• SIKKERHEDSPROFIL - HVOR SIKRE ER VI?

En dybdegående GAP-analyse som danner baggrund for arbejdet med kommende IT-

sikkerhedsprojekter og grundlaget for en konkret accepteret risiko. Profilen er baseret på

CIS® 20 CSC og anbefalingerne i denne standard samt 66 ud af 114 ISO 27001/2 kontroller

• KONTROLPROFIL - HVORDAN DOKUMENTERER VI DET?

Gennem bedste praksis KPI’er gør kontrolprofilen det nemt at dokumentere et tilstrækkeligt

sikkerhedsniveau baseret på CIS® 20 CSC. Profilens dashboard sikrer en enkel og visuel

kommunikation af sikkerhedstiltag og deres effekt til ledelsen. Samtidigt bidrager profilens

tendensark med en kontinuerlig vurdering af tiltagenes effect

• PROCESPROFIL - HVORDAN BLIVER VI SIKRE?

Denne profil sikrer en korrekt beskrivelse af processerne for organisationens

mitigeringstiltag. Her refereres til kontrolprofilen. Profilen behandler formål, actions og

udvalgte ISO-kontroller og danner et overblik over samspillet mellem medarbejdere, roller,

mitigeringstiltag, værktøjer og controller

• LEDELSESPROFIL - ER LEDELSESFORANKRINGEN TILSTRÆKKELIG?

Profilen forankrer IT-sikkerhedstiltag hos ledelsen på en konkret og målbar måde.

Ledelsesprofilen muliggør en vurderering af sikkerhedsniveauet ud fra udvalgte processer og

områder med ledelsens prioritering. Samtidigt gør ledelsesprofilen det muligt at præsentere

de vigtigste nøgletal (KRI/KPI) enkelt og visuelt.>

• ORGANISATIONSPROFIL - ER DEN ORGANISATORISKE EFFEKT TILSTRÆKKELIG?

En måling og sammenligning af sikkerhedsniveauet i organisationens afdelinger. Profilens

tekniske del gør det nemt at at udbrede bedste praksis i afdelinger, hvor Sikkerhedsprofilen

er særlig gunstig, og sætte ind med awareness-træning, hvor den er særligt utilstrækkelig.

• RISIKOPROFIL - HVILKE TILTAG ER RELEVANTE FOR VORES RISIKONIVEAU?

Profilen hjælper med at omsætte Sikkerhedsprofilen til en risikoanalyse og korrelere

projekternes nødvendighed for at mitigere den fundne risiko til et acceptabelt niveau og

ressourceforbrug. Profilen gør en prioritering af budgetallokeringer nemmere for ledelsen.

• BEHANDLINGSSIKKERHEDSPROFIL - HVILKE TILTAG ER RELEVANTE FOR VORES

PERSONDATABEHANDLING?

Profilen beregner det nuværende og ønskede risikoniveau for organisationens

persondatabehandling. Samtidigt dannes et overblik over behandlingsaktiviteter og

relevante tekniske og organisatoriske tiltag anvises med målet om at opfylde lovkravet om

risikobaseret behandlingssikkerhed.

• LEVERANDØRPROFIL - HVILKE TILTAG ER RELEVANTE FOR VORES

PERSONDATABEHANDLING?

Profilen beregner det nuværende og ønskede sikkerhedsniveau for organisationens

leverandører. Samtidigt giver profilen et overblik over relevante tekniske og organisatoriske

© Draware A/S 2019. ”Drawares actionplan til bedre cybersikkerhed” [R2 Aug 2019]. Security.draware.dk - Side: 15

tiltag nødvendige for leverandørene, før et samarbejde kan eksistere på et lovligt og sikkert

grundlag.

• INFORMATIONSSIKKERHEDSPROFIL – FORBEREDELSE TIL ISO27001 AUDIT

Med udgangspunkt i ISO27001 og de praktiske resultater fra Sikkerhedsprofil guides du

igennem de indledende trin og relevante processer til at forberede organisationen til en

ISO27001 Audit

• AWARENESSPROFILEN – FORBERED OG GENNEMFØR STRUKTURERET OG MÅLBAR

AWARENESSTRÆNING

Den nyeste tænkning indenfor awareness træning anvendes i denne profil til at hjælpe

organisationen i gang med at gennemføre struktureret og målbar awareness træning så

medarbejderne kan blive organisationens bedste firewall

Hjælpen er nær: Beskrivelsen af GAP Analysen dansk it-sikkerhedsbarometer™ finder du her

(security.draware.dk/pdf/Dansk-IT-Sikkerhedsbarometer-oversigt.pdf) og beskrivelsen af de enkelte

profiler her (security.draware.dk/pdf/Dansk-IT-Sikkerhedsbarometer-beskrivelse.pdf).