handlingsplan for bedre cybersikkerhed - deloitte
TRANSCRIPT
00
Handlingsplan for bedre cybersikkerhed
Prioriterede, konkrete råd og vejledninger, der øger IT-
sikkerheden og mindsker organisationernes risiko for
interne og eksterne cyberangreb. Draware │ IT Security Review™
Handlingsplan for bedre cybersikkerhed | Indholdsfortegnelse
01
Indholdsfortegnelse
Indledning 2
1. Forankring hos ledelsen 3
2. Kend og styr hardware og software på netværket 4
3. Kontinuerlig fjernelse (remediering) af sårbarheder 5
4. Minimum tildeling af administrative rettigheder og bedre
adgangskoder 6
5. Sikker e-mail og websurfing 7
6. Antimalware, som primært er baseret på adfærd og sekundært
på signaturer 8
7. Struktureret og målrettet plan for backup OG gendannelse 9
8. Opdeling og sikring af netværket 10
9. En veldokumenteret og indøvet cybersikkerhedsberedskabsplan 11
10. Målrettet, målbar uddannelse af medarbejdere 12
Teknisk risikomitigering og Databeskyttelsesforordningen 13
Links 15
Drawares danske IT-sikkerhedsbarometer™ 16
Hvem er vi? 18
Kontakt os 19
Handlingsplan for bedre cybersikkerhed | Indledning
02
Indledning
Nedenstående 10 punkter er valgt på baggrund af Center for Internet Security®s 20 kritiske kontroller
www.cisecurity.org, European Union Agency for Cybersecurity (www.enisa.europa.eu), Forsvarets
Efterretningstjeneste, Center for Cybersikkerhed og Digitaliseringsstyrelsens ”Cyberforsvar der virker” (fe-
ddis.dk/cfcs/publikationer/Documents/Cyberforsvar%20der%20 virker%20-%202017_110117.pdf) samt mange års
praktisk erfaring med IT-sikkerhedsarbejde. Husk, at målet – også kaldet den ”accepterede risiko” – ikke er 100%
IT-sikkerhed, men at mindske risikoen til et niveau, der passer til din virksomhed og jeres medarbejdere. Dette er
en kontinuerlig proces og ikke et projekt.
IT-sikkerhed er en væsentlig del af informationssikkerhed, som er defineret i ISO27001 og ISO27002 med 66 ud af
de 114 kontroller i Annex A. IT-sikkerhed er et organisatorisk tiltag, som SKAL være forankret, ejet og drevet af
ledelsen med bl.a. IT-afdelingen som udførende funktion. IT-sikkerhed SKAL være målbar for at kunne bevise, at
de gennemførte mitigeringstiltag er tilstrækkelige. Dette kan opnås med en kombination af Drawares sikkerheds-,
kontrol- og procesprofiler. Se mere på https://www.draware.dk/it-sikkerhedsbarometer.
Nedenstående punkter er bevidst holdt meget korte og konkrete, så dette dokument kan danne grundlag for en
effektiv og overskuelig handlingsplan for teknisk og organisatorisk IT-sikkerhed. Punkterne er derfor ikke
udtømmende, og listen kan sagtens udvides med andre tiltag.
Handlingsplan for bedre cybersikkerhed | Forankring hos ledelsen
03
1. Forankring hos ledelsen
Dette er den vigtigste og desværre ofte den sværeste opgave, når det gælder IT-sikkerhed. Det er ledelsen, der
ejer den accepterede risiko, som IT-sikkerhed udgør for forretningen, og det er ledelsen, der tildeler de
organisatoriske ressourcer, der skal bruges for kontinuerligt at nå og vedligeholde den accepterede risiko.
Det officielle Danmarks svar på dette emne ligger på www.sikkerdigital.dk og i dokumentet ”Cyberforsvar der
virker”. Standarder som ISO27001, som er et compliance-krav for stat og kommuner, bygger på denne
ledelsesforankring og kan ikke gennemføres uden.
En praktisk slagplan til at opnå denne ledelsesforankring kunne være at:
A. Gennemføre en GAP-analyse via Drawares Sikkerhedsprofil og involvere ledelsen i risikoen ved organisationens
IT-sikkerhedsprofil.
B. Gennemføre en risikoanalyse via Drawares Risikoprofil og involvere ledelsen i en plan for på basis af
risikoanalysen at nå en accepteret risiko.
C. Bruge Drawares Ledelsesprofil til at forankre og konkretisere kommunikationen med ledelsen. Målbar IT-
sikkerhed bør være et fast punkt på alle bestyrelsesmøder i organisationen.
D. Indføre en informationssikkerhedspolitik, som alle medarbejdere skal efterleve, og understøtte den med
specifik, målrettet awareness-træning.
E. Lave en IT-sikkerhedsanalyse specifikt på ledelsen og hjælpe ledelsen til at forstå risikoen ved utilstrækkelig
cybersikkerhed og samtidig hjælpe ledelsen med relevante spørgsmål, som den bør stille og måle
organisationen på i den forbindelse.
F. Benchmarke organisationens eksternt vurderede IT-sikkerhedsprofil for at vurdere, om performance matcher
branchens gennemsnit og ikke forringer organisationens værdi.
Hjælpen er nær: Brug Drawares sikkerheds- og ledelsesprofiler til at hjælpe med dette. Se mere på
security.draware.dk og https://www.draware.dk/it-sikkerhedsbarometer. Beskrivelsen af GAP-analysen finder du
her https://security.draware.dk/pdf/Dansk-IT-Sikkerhedsbarometer-oversigt.pdf, og beskrivelsen af de enkelte
profiler her https://security.draware.dk/pdf/Dansk-IT-Sikkerhedsbarometer-beskrivelse.pdf. Det er også muligt at
få inspiration fra Drawares IT-Sikkerhedshåndbog på www.draware.dk/files/docs/Draware_IT-
Sikkerhedsbog11.16.pdf. Se også BitSight® www.bitsight.com.
Handlingsplan for bedre cybersikkerhed | Kend og styr hardware og software på netværket
04
2. Kend og styr hardware og
software på netværket
Det er svært – hvis ikke umuligt – at forsvaret noget, du ikke kender til. Derfor skal der eksistere en kontinuerlig
proces for at opdage, hvilke devices der er sluttet til netværket, og en tilsvarende proces til at autorisere eller
fjerne nye devices.
Tilsvarende skal al software på netværket undersøges, således at der kun findes og bruges autoriseret software i
tilladte versioner på netværket. Tænk især på versionsstyring af tredjepartssoftware som Java, WinZip, PDF-læsere
og Flash.
Der må ikke bruges programmer og operativsystemer, som er ”End of Life” eller ”Out of Maintenance”. Den
mitigerende effekt, som forhindrer, at uautoriserede devices tilsluttes netværket, og at uautoriseret software aktivt
forhindres i at eksekvere, hedder 802.1x / NAC og Application Whitelisting.
Nedenstående liste over punkter bør følges for at indføre bedste praksis:
A. Indfør en inventory-løsning, der aktivt (og om nødvendigt og muligt også passivt) og kontinuerligt scanner
relevante dele af netværket for al hardware og software med de nødvendige rettigheder.
Husk, at dette skal omfatte mobile devices og systemer/data i skyen
B. Al den hardware og software, som er uønsket/farlig/ukendt, skal undersøges og fjernes fra netværket. Dette
foregår typisk i starten som to projekter – et for hardware og et for software - men disse SKAL forankres som
processer.
C. Indfør målinger med udvalgte KPI’er, som dokumenterer, at denne proces fungerer efter hensigten.
D. Alle programmer og systemer, som er EOL og OOM, skal fjernes/isoleres fra netværket.
E. Alle programmer, som findes i mange forskellige versioner, skal ensrettes til seneste nye, stabile version.
F. Indfør mitigerende tiltag, som hjælper med at vedligeholde ovenstående. Det kan være 802.1x/NAC og
Application Whitelisting. I den forbindelse er det væsentligt at fjerne lokale administratorrettigheder for
brugerne og understøtte disse tiltag med relevant awareness-træning.
Hjælpen er nær: Se CIS #1 og #2 på www.cisecurity.org og vores producenter Lansweeper www.lansweeper.com
og ManageEngine DesktopCentral www.manageengine.com/products/desktop-central.
Handlingsplan for bedre cybersikkerhed | Kontinuerlig fjernelse (remediering) af sårbarheder
05
3. Kontinuerlig fjernelse
(remediering) af sårbarheder
Mitigering af sårbarheder i hele netværket bør ikke udføres ved blot at rette, hvad et patch management- system
siger erkritisk, og basere rettelse på automatisering uden at foretage en prioritering.
Følgende prioriterede liste bør i stedet anvendes:
A. Brug en sårbarhedsscanner til at scanne hele det interne netværk og lad sårbarhedsscanneren udpege de
sårbarheder, der bør mitigeres ud fra en prioritering (fx via en kombination af CVSS, Threatfeed og VPR).
B. Ret sårbarhederne – både dem, der kan patches, og dem, der kræver konfigurationsændringer
– efter bedste praksis så hurtigt som muligt i forhold til den observerede risiko.
C. Brug sårbarhedsscanneren til at undersøge standardopsætningen af software og hardware via CIS Benchmarks
og ret disse opsætninger baseret på den vurderede risiko.
D. Det er vigtigt, at der findes en struktureret og velafprøvet proces for Emergency-sårbarhedsrettelse, hvilket
kræver, at sårbarhedsscanneren kan udpege, i hvilke systemer en pludselig identificeret ultrakritisk sårbarhed
(fx CVE-2019-0708) findes. Her er det en god idé at opdele netværket (med fokus på servere) i kritiske devices
og devices relateret til persondata og give disse en højere SLA for sårbarhedshåndtering.
Hjælpen er nær: Se CIS #3 på www.cisecurity.org og vores producenter Tenables www.tenable.com/products og
ManageEngines løsninger til håndtering af sårbarheder (VulnerabilityManager Plus, PatchManager Plus og
DesktopCentral UEM www.manageengine.com/productdocument.html.
Handlingsplan for bedre cybersikkerhed | Minimum tildeling af administrative rettigheder og bedre adgangskoder
06
4. Minimum tildeling af
administrative rettigheder og
bedre adgangskoder
Princippet om tildeling af et minimum af administrative rettigheder relateret til den opgave, der skal løses, skal
indføres sammen med dokumentation efter bedste praksis.
Det betyder, at følgende vigtige opgaver skal løses i en prioriteret rækkefølge efter risiko:
A. Alle servicekonti skal gennemgås for strikt syntaks, et minimum af rettigheder (ikke domain admins med
adgangskoder sat til ”never expire”!) og komplekse, unikke adgangskoder efter bedste praksis.
Alle servicekonti skal dokumenteres med ejer, formål og berørte systemer. Konti, der ikke bruges, skal fjernes.
Adgangskoder skal skiftes automatisk hver måned.
B. Almindelige admin-konti må ikke være domain admin, og der skal bruges ”run as” i stedet for default-tildelte
rettigheder. Admin-konti skal dokumenteres og beskyttes som service konti.
C. Brugerkonti MÅ IKKE HAVE LOKALE ADMIN-RETTIGHEDER!!!
(Disse skal fjernes på struktureret vis med god kommunikation til brugerne og tilsvarende processer i
servicedesken).
D. Alle adgangskoder skal håndteres efter bedste praksis, hvilket bedst opnås i et PAM-system.
E. Tænk på andre adgangskoder, som fx tilhører konti på databaseservere og i skyen.
F. Der skal bruges 2-FA / MFA ved alle administrative opgaver og ved opgaver, som skal løses af brugere i skyen,
som fx adgang til Office 365, Salesforce og lignende systemer.
G. Se andre af nedenstående punkt #5 og #10 i relation til adgangskoder.
Hjælpen er nær: Se CIS #4 på www.cisecurity.org og vores produkter fra ManageEngine (ADManager Plus,
ADAudit Plus og PasswordManager Pro www.manageengine.com/productdocument.html) og DUO Security på
https://duo.com/ samt Thycotics Enterprise-løsninger til administration af administrative rettigheder
https://thycotic.com/.
Handlingsplan for bedre cybersikkerhed | Sikker e-mail og websurfing
07
5. Sikker e-mail og websurfing
En af de primære kilder til malware i organisationen er brugernes e-mail og websurfing. Det er derfor meget vigtigt
at beskytte disse nødvendige aktiviteter bedst muligt, uden at det går for meget ud over produktiviteten.
Nedenstående er væsentlige punkter, som hjælper med denne opgave.
A. Brug kun autoriserede (udvalgte) browsere i sidste nye, stabile version opsat efter CIS Benchmarks. Det må
ikke være muligt for brugerne at gemme adgangskoder i browserne, og der skal være styr på plug-ins samt
afvikling af flash og scripts.
B. Sørg for et godt URL-/DNS-filter, som beskytter brugerne og organisationen (såvel som privat) mod farlige
hjemmesider. Disse filtre bør være lokalt på maskinen og på perimeteren, så de fungerer både i og uden for
organisationen.
C. Filtrér indkomne e-mails, så der forekommer et minimum af SPAM og farlige e-mails med malware-links og
vedhæftninger.
D. Hjælp brugerne med at lave sikre og unikke adgangskoder og hjælp dem med at administrere disse via en
”passord-husker” som fx Lastpass.
Hjælpen er nær: Se CIS #7 på www.cisecurity.org og vores softwareløsninger fra ManageEngine (BrowserSecurity
Plus og DesktopCentral UEM) på www.manageengine.com/productdocument.html), Proofpoint på
www.proofpoint.com/us/productfamily/advanced-threat-protection og Cyren på www.cyren.com samt LastPass på
https://www.lastpass.com/solutions/business-password-manager og ForcePoint på
https://www.forcepoint.com/product/web-security og https://www.forcepoint.com/product/email-security.
Handlingsplan for bedre cybersikkerhed | Antimalware, som primært er baseret på adfærd og sekundært på signaturer
08
6. Antimalware, som primært er
baseret på adfærd og
sekundært på signaturer
Der bør være antimalware-løsninger på perimeteren, i netværket og på det enkelte endpoint. Det er dog svært at
identificere, hvilken løsning der bedst mitigerer denne risiko, men her kan Gartners EPP reviews måske hjælpe
www.gartner.com/reviews/market/endpoint-detection-and-response-solutions.
Vi anbefaler, at du gør følgende:
A. Indfører en af de bedste (mest anerkendte) antimalware-løsninger, som er god til at håndtere ukendt malware-
aktivitet. Dette kan evt. kombineres med en traditionel antivirusscanner.
B. Sørg for, at denne løsning er AKTIV på ALLE endpoints via månedlige målinger af systemer uden AV. Det er
meget vigtigt, at denne løsning afvikles på endpoints, der IKKE har lokale admin-rettigheder, da det ellers er
nemt for malware at deaktivere antimalware-løsningen.
C. Sørg for at have en god proces til at opdage og håndtere ikke-remedierede malware-hændelser.
Hjælpen er nær: Se CIS #8 på www.cisecurity.org og vores produkter fra SentinelOne på www.sentinelone.com
og go.sentinelone.com/EPP-Buyers-Guide.html.
Handlingsplan for bedre cybersikkerhed | Struktureret og målrettet plan for backup OG gendannelse
09
7. Struktureret og målrettet plan
for backup OG gendannelse
Mange organisationer har ved brug af moderne backupfunktioner – evt. som en outsourcet service – fået godt styr
på backupprocessen. Det er derfor ofte processen til systematiseret afprøvning af gendannelse, der udestår.
Derfor bør du følge disse råd:
A. Gennemfør en Business Impact-analyse, der afdækker, hvad forskellen på den tålte nedetid i forhold til den
konstaterede genetableringstid er for de vigtigste forretningskritiske systemer.
B. Lav en plan, der sikrer ledelsens accept af ovenstående. Dette skulle gerne føre til tildeling af ressourcer fra
ledelsen, hvor der er for stor afstand mellem målingerne i punkt A.
C. Sørg for, at der er offline backuparkiver, der ikke er sårbare overfor ransomware.
D. Sørg for en backuptype og -frekvens, der understøtter forretningens drift.
E. Lav en systematiseret plan for test af system- og datagenetablering.
F. Husk, at artikel 32 i Databeskyttelsesforordningen bygger på en CIA-baseret risikomodel (fortrolighed,
integritet og tilgængelighed), så backup og gendannelse spiller en væsentlig rolle ved overholdelse af
Databeskyttelsesforordningen.
Hjælpen er nær: Se CIS #10 på www.cisecurity.org og løsninger fra VEEAM på www.veeam.com/data-center-
availability-suite.html og ManageEngine RecoveryManager Plus på www.manageengine.com/ad-recovery-manager.
Handlingsplan for bedre cybersikkerhed | Opdeling og sikring af netværket
10
8. Opdeling og sikring af
netværket
Det er væsentligt, at en kompromittering af en server/arbejdsstation ikke fører til en horisontal spredning af
malware, som vælter alle servere og/eller arbejdsstationer. Her kan opdeling i VLAN og mikrosegmentering hjælpe.
Der bør være firewalls mellem alle zoner i netværket med forskellige niveauer af ”trust”.
Hjælpen er nær: Se CIS #12 på www.cisecurity.org og løsninger fra fx PaloAlto®, Cisco® og Sophos®.
Handlingsplan for bedre cybersikkerhed | En veldokumenteret og indøvet cybersikkerhedsberedskabsplan
11
9. En veldokumenteret og indøvet
cybersikkerhedsberedskabsplan
En normal, driftsfokuseret beredskabsplan er IKKE det samme som en cybersikkerheds beredskabsplan – også
kaldet CSIRT og CSIRP. Den originale dokumentation for disse kan findes i NIST artikel NIST SP800-61R2.
Følgende bør indtænkes i denne plan:
A. Identificer og dokumenter det team (uanset hvor lille det end måtte være), som skal håndtere
cybersikkerhedshændelser. Der kan være tale om simple rapporteringer til Digitaliseringsstyrelsen via virk.dk
eller større brister, som omfatter store dele af organisationen inklusive ledelsen, HR, Jura, IT m.fl. Dette team
kaldes CSIRT (Computer Security Incident Response Team).
B. Udpeg de mest sandsynlige cybersikkerhedshændelser baseret på en risikovurdering og beskriv, hvordan de
skal håndteres i et flowchart-lignende format. Der findes mange metodikker beskrevet på internettet, som kan
bruges til inspiration. Denne plan kaldes CSIRP (Computer Security Incident Response Plan).
C. Indøv disse planer og gendokumentér dem, indtil de er funktionelle. Ligesom en brandøvelse skal disse planer
regelmæssigt gennemtestes og rettes, hvor det er nødvendigt.
D. Blandt de specifikke planer skal der også være en helt generisk plan, der dækker alle de cybersikkerheds-
hændelser, der ikke er dokumenteret specifikt.
E. Den årlige rapport fra Ponemon Institute (The Cost of a Data Breach) peger på, at det ved indførelse af
ovenstående cybersikkerhedsberedskabsplan samt udbredt brug af kryptering og awareness-træning er muligt
at sænke udgifterne ved en cybersikkerhedshændelse med op til 33%. Se mere på
www.ibm.com/security/data-breach, breachlevelindex.com,
www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks og
enterprise.verizon.com/resources/reports/dbir.
Hjælpen er nær: Se CIS #19 på www.cisecurity.org g Drawares plan og serviceløsning til en
cybersikkerhedsberedskabsplan på www.draware.dk. Uddybende baggrundsmateriale kan findes i Drawares IT-
sikkerhedshåndbog på www.draware.dk/nyheder/32-events-temaer/189-event-1 og NIST 800 SP800-61R2 på
nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf.
Handlingsplan for bedre cybersikkerhed | Målrettet, målbar uddannelse af medarbejdere
12
10. Målrettet, målbar uddannelse
af medarbejdere
Af uransagelige grunde er awareness-træning ofte et ret misforstået initiativ. Det er til gengæld et af de IT-
sikkerhedsinitiativer, som har det hurtigste ROI, og som er med til i væsentlig grad at styrke sikkerheden og
mindske omkostninger til håndtering af cyberhændelser – hvis organisationen altså gennemfører awareness-
træningen efter bedste praksis.
Awareness-træning er ikke et projekt, men en MÅLBAR, LEDELSESFORANKRET PROCES, der omfatter hele
organisationen.
Der findes meget god litteratur på nettet (søg fx BJ Fogg, Blooms Taxonomi, ARCS Model, Ebbinghaus
forgetting curve og SANS MGT433 samt SANS Awareness Roadmap), der tilsammen understøtter, at
nedenstående er bedste praksis.
A. Definer de grundlæggende byggesten for awareness-træningen, nemlig en risikobaseret, målbar definition af
hvorfor, hvem, hvordan og hvor ofte.
B. Få ledelsens opbakning til dette initiativ, som bør være defineret som en flerårig, løbende proces.
C. Sørg for at definere, hvem der er ansvarlig for denne proces i organisationen og alloker de nødvendige
ressourcer til den/de medarbejdere.
D. Indtænk motivation, evne og tilskyndelse i awareness-programmet. Så er der større chance for en succes.
E. Gør effekten af awareness-træningen målbar.
F. Gennemfør awareness-træningen med respekt for organisationens mission/mål og organisationens kultur
baseret på en risikovurdering, der sætter awareness-træningen i kontekst.
G. Fokuser awareness-træningen på tre områder: 1) Informationssikkerhedspolitikken, 2)
Databeskyttelsesforordningen/persondatahåndtering og 3) generel, men målrettet undervisning og test.
H. Gennemfør regelmæssige tests i form af simulerede phishingkampagner, USB- og SMS-kampagner, on-site
undersøgelser, quizzer og spørgeskemaer. Formålet er at måle og dokumentere, om awareness fungerer – ikke
at pege fingre ad eller udstille individuelle medarbejdere.
Hjælpen er nær: Se CIS #19 på www.cisecurity.org og vores produkter ProofPoint Wombat Security på
www.wombatsecurity.com samt Drawares Awarenessprofil på www.draware.dk/it-sikkerhedsbarometer. Se også
trusselslandskabet i relation til awareness-træning på www.proofpoint.com/us/resources/threat-reports/quarterly-
threat-analysis samt KnowBe4 https://www.knowbe4.com/.
Handlingsplan for bedre cybersikkerhed | Teknisk risikomitigering og Databeskyttelsesforordningen
13
Teknisk risikomitigering og
Databeskyttelsesforordningen
Vi har ofte observeret, at håndteringen af persondata og efterlevelse af Databeskyttelsesforordningen bliver en
”complianceøvelse”, som dokumenteres med ISO27001-tiltag og ISMS-systemer. Det efterlader spørgsmålet, om
organisationen kan leve op til kravene i artikel 32-34 med udgangspunkt i følgende:
”Du skal sige, hvad du gør, og hvorfor du gør det. Du skal gøre, hvad du siger, og kunne vise, at det er
tilstrækkeligt i forhold til den vurderede risiko”. Sagt med andre ord skal der laves en risikovurdering (specifikt for
persondata), og så skal de iværksatte tekniske og organisatoriske tiltag beviseligt kunne mitigere denne vurderede
risiko. Det er væsentligt sværere end blot en compliance-øvelse baseret på dokumentation og databehandleraftaler.
Nedenstående retningslinjer tjener som et godt udgangspunkt, men husk også, at alle de foregående
punkter er med til at mitigere risikoen:
A. Forestil dig, at organisationen har haft et alvorligt persondatarelateret sikkerhedsbrud, og en it-revisor
efterfølgende stiller spørgsmålet: ”Hvad gjorde organisationen for at opdage og forhindre dette sikkerhedsbrud,
og var det tilstrækkeligt?”
Hvis du ikke i relevant omfang kan svare fyldestgørende, er der en potentiel risiko for bl.a. bøder og tab af
renommé (foruden driftstab og tab af IP).
B. Dokumentér lokationen, omfanget og typen af persondata. Både i systemer og systemernes mapping til
infrastrukturen.
Dette kan være on site, fysisk/virtuelt eller i skyen. Det er ikke tilstrækkeligt kun at pege på system xyz, men
fx også hvor på hvilken server den underliggende database er i drift.
C. Inddel gerne infrastrukturen i en speciel gruppe af persondata-devices og lav specifikke sårbarheds- og
inventoryscanninger på denne gruppe.
D. Indtænk sporbarhed på alle persondata. Hvor er det mest sandsynligt, at der kan forekomme en
datasikkerhedsbrist, og kan vi spore denne hændelse i detaljer – historisk? Fx ½-1 år tilbage i tid. Dette gøres
bedst ved at indføre audit-/ loggingsystemer.
E. Indfør udstrakt brug af persondatakryptering – både i hvile og i transport.
F. Indfør DLP-systemer, hvor det på baggrund af en risikovurdering er mest relevant. Tænk fx sikker USB-
håndtering og muligheden for at opdage (person)data-exfiltration på perimeteren.
G. Sørg for, at cybersikkerhedsberedskabsplanen favner og håndterer ovenstående.
H. Indtænk awareness-træning, som specifikt tager hånd om persondatabehandling, og som sikrer, at
medarbejderne er opmærksomme på og kan identificere og rapportere en sikkerhedsbrist.
I. Lav en aftale med en ekstern IT-sikkerhedsrådgiver, som i akutte tilfælde kan træde til og hjælpe med
håndteringen af en (persondata)sikkerhedsbrist. Der skal være en fast kontrakt med defineret tilkaldetid.
J. Tegn en cyberforsikring, der kan hjælpe med at tage noget af den økonomiske risiko, men undersøg dette nøje.
Handlingsplan for bedre cybersikkerhed | Teknisk risikomitigering og Databeskyttelsesforordningen
14
Hjælpen er nær: Se CIS #6 og #13 på www.cisecurity.org og vores produkter Netsurion EventTracker på
www.eventtracker.com, ManageEngine ADAudit, Cloud Security Plus, Datasecurity Plus, ExchangeReporter Plus,
LOG360 og SharePoint manager Plus på www.manageengine.com/products.html, IDERA SQL Compliance Manager
og SQL Secure på www.idera.com/productssolutions/it-database-management-tools#PROTECTDatabaseIntegrity,
Kryptering med SecureDoc www.winmagic.com og Lepide Auditor på www.lepide.com/lepideauditor samt Drawares
Behandlingssikkerhedsprofil på https://www.draware.dk/it-sikkerhedsbarometer.
Handlingsplan for bedre cybersikkerhed | Links
15
Links
Nedenfor finder du en række links, der er relevante for arbejdet med cybersikkerhed og rapportering af
cyberhændelser i Danmark
1. NC3Skyt (Rigspolitiet)
politi.dk/samarbejde/nc3skyt
2. Indberetninger af persondatasikkerhedsbrud
indberet.virk.dk/myndigheder/stat/ERST/Indberetning_af_brud_paa_sikkerhed
3. Vejledninger om Databeskyttelsesforordningen.
www.datatilsynet.dk/generelt-om-databeskyttelse/vejledninger-og-skabeloner
4. Politiets Efterretningstjeneste
www.pet.dk/Om%20PET/PETs%20itstrategi.aspx
5. Statens IT/Digitaliseringsstyrelsen
digst.dk
6. Center for Cyber Sikkerhed CFCS (Forsvarets Efterretningstjeneste)
fe-ddis.dk/Produkter/Pages/Produkter.aspx
7. National Strategi for cyber- og informationssikkerhed
digst.dk/strategier/cyber-og-informationssikkerhed
8. Vejledninger til en sikker digital hverdag til borgere
www.sikkerdigital.dk
9. Sikkerhedstjekket på virk.dk
startvaekst.virk.dk/sikkerhedstjekket
10. Persondatahåndtering på virk.dk
startvaekst.virk.dk/privacykompasset
11. De største datasikkerhedsbrister
https://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
12. Bøder vedr. Databeskyttelsesforordningen
http://www.enforcementtracker.com/
13. Hvad koster et datasikkerhedsbrud
https://www.ibm.com/security/data-breach
Handlingsplan for bedre cybersikkerhed | Drawares danske IT-sikkerhedsbarometer™
16
Drawares danske IT-
sikkerhedsbarometer™
Kom i gang med at måle din IT-sikkerhed på: security.draware.dk
SIKKERHEDSPROFIL – HVOR SIKRE ER VI?
En dybdegående GAP-analyse, som danner grundlag for arbejdet med kommende IT-sikkerhedsprojekter og
grundlag for en konkret accepteret risiko. Profilen er baseret på CIS® 20 CSC og anbefalingerne i denne standard
samt 66 ud af 114 ISO 27001/2-kontroller.
KONTROLPROFIL – HVORDAN DOKUMENTERER VI DET?
Gennem bedste praksis-KPI’er gør kontrolprofilen det nemt at dokumentere et tilstrækkeligt sikkerhedsniveau
baseret på CIS® 20 CSC. Profilens dashboard sikrer en enkel og visuel kommunikation af sikkerhedstiltag og deres
effekt til ledelsen.Samtidig bidrager profilens tendensark med en kontinuerlig vurdering af tiltagenes effekt.
PROCESPROFIL – HVORDAN BLIVER VI SIKRE?
Denne profil sikrer en korrekt beskrivelse af processerne for organisationens mitigeringstiltag. Her refereres til
kontrolprofilen. Profilen behandler formål, actions og udvalgte ISO-kontroller og danner et overblik over samspillet
mellem medarbejdere, roller, mitigeringstiltag, værktøjer og kontroller.
LEDELSESPROFIL – ER LEDELSESFORANKRINGEN TILSTRÆKKELIG?
Profilen forankrer IT-sikkerhedstiltag hos ledelsen på en konkret og målbar måde. Ledelsesprofilen muliggør
vurdering af sikkerhedsniveauet ud fra udvalgte processer og områder med ledelsens prioritering. Samtidig gør
ledelsesprofilen det muligt at præsentere de vigtigste nøgletal (KRI/KPI) enkelt og visuelt.
ORGANISATIONSPROFIL – ER DEN ORGANISATORISKE EFFEKT TILSTRÆKKELIG?
En måling og sammenligning af sikkerhedsniveauet i organisationens afdelinger. Profilens tekniske del gør det nemt
at udbrede bedste praksis i afdelinger, hvor sikkerhedsprofilen er særligt gunstig, og sætte ind med awareness-
træning, hvor den er særligt utilstrækkelig.
RISIKOPROFIL – HVILKE TILTAG ER RELEVANTE FOR VORES RISIKONIVEAU?
Profilen hjælper med at omsætte sikkerhedsprofilen til en risikoanalyse og korrelere projekternes nødvendighed for
at mitigere den konstaterede risiko til et acceptabelt niveau og ressourceforbrug. Profilen gør det nemmere for
ledelsen at prioritere budgetallokeringer.
BEHANDLINGSSIKKERHEDSPROFIL – HVILKE TILTAG ER RELEVANTE FOR VORES
PERSONDATABEHANDLING?
Profilen beregner det nuværende og ønskede risikoniveau for organisationens persondatabehandling. Samtidig
dannes et overblik over behandlingsaktiviteter, og relevante tekniske og organisatoriske tiltag anvises med henblik
på at opfylde lov- kravet om risikobaseret behandlingssikkerhed.
LEVERANDØRPROFIL – HVILKE TILTAG ER RELEVANTE FOR VORES PERSONDATABEHANDLING?
Profilen beregner det nuværende og ønskede sikkerhedsniveau for organisationens leverandører. Samtidig giver
profilen et overblik over relevante tekniske og organisatoriske tiltag, der er nødvendige for leverandørerne, før et
samarbejde kan eksistere på et lovligt og sikkert grundlag.
Handlingsplan for bedre cybersikkerhed | Drawares danske IT-sikkerhedsbarometer™
17
INFORMATIONSSIKKERHEDSPROFIL – FORBEREDELSE TIL ISO27001 AUDIT
Med udgangspunkt i ISO27001 og de praktiske resultater fra sikkerhedsprofil guides du igennem de indledende trin
og relevante processer til at forberede organisationen til en ISO27001 Audit.
AWARENESSPROFILEN – FORBERED OG GENNEMFØR STRUKTURERET OG MÅLBAR AWARENESS-
TRÆNING
Den nyeste tænkning indenfor awareness-træning anvendes i denne profil til at hjælpe organisationen i gang med
at gennemføre struktureret og målbar awareness-træning, så medarbejderne kan blive organisationens bedste
firewall.
Hjælpen er nær: Beskrivelsen af GAP-analysen dansk IT-sikkerhedsbarometer™ finder du her
https://security.draware.dk/pdf/Dansk-IT-Sikkerhedsbarometer-oversigt.pdf og beskrivelsen af de enkelte profiler
her https://security.draware.dk/pdf/Dansk-IT-Sikkerhedsbarometer-beskrivelse.pdf.
Handlingsplan for bedre cybersikkerhed | Hvem er vi?
18
Hvem er vi?
Draware A/S er grundlagt i 1995 og fokuserer på rådgivning om og salg, implementering og support af
softwareløsninger vedr. IT-sikkerhed, overvågning og drift hos vores kunder i Norden. Vi er lokaliseret på Amager.
Du er velkommen til at kontakte Christian Schmidt: Tlf. +45 30 93 60 09 / [email protected]
Handlingsplan for bedre cybersikkerhed | Kontakt os
19
Kontakt os
security.draware.dk
www.draware.dk [email protected]
+45 36 10 20 30 /
30 93 60 09
Weidekampsgade 6,
DK-2300 København S
Draware IT Security Review anbefales af
Handlingsplan for bedre cybersikkerhed | Kontakt os
20
Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited ("DTTL"), its global network of member firms, and their related entities. DTTL
(also referred to as “Deloitte Global”) and each of its member firms are legally separate and independent entities. DTTL does not provide services to
clients. Please see www.deloitte.com/about to learn more.
This communication is for internal distribution and use only among personnel of Deloitte Touche Tohmatsu Limited, its member firms, and their
related entities (collectively, the "Deloitte Network"). None of the Deloitte Network shall be responsible for any loss whatsoever sustained by any
person who relies on this communication.
© 2020. See Legal for more information.