CIS

Cyber 101

Forside / CIS / Cyber 101

Kom i Cybersikkerhed – hurtigt, effektivt og målbart!

Start

Hent vores liste med gode råd

Hvis du gerne vil i gang med at forbedre virksomhedens cybersikkerhed, kan du starte med at følge rådene i dokumentet herunder, som du kan hente kvit og frit uden at registrere dig. Er du i tvivl om hvordan du skal implementere rådene, så hjælper vi gerne.

Kom i mål

Kom i mål med cybersikkerheden

Ønsker du at opbygge et robust og målbart cybersikkerhedsprogram, som gør virksomheden i stand til at modstå truslerne fra cyberkriminelle, er forankret i ledelsen og har de nødvendige ressourcer, så start med vores CIS analyse og se vores analyse videoer.

sos

Er du privat?

Grænsen for at håndtere cybersikkerhed i privatsfæren og på arbejde kan være noget udvisket. Der er hjælp at hente hos Center for Cybersikkerhed (CFCS) om hjemmearbejde, på sikkerdigital.dk og naturligvis i Dedikos Cybersikkerhedsråd her og her.

Hvorfor?

Cybersikkerhed er ofte meget ressourcekrævende og det forudsætter en kontinuerlig målbar indsats for at nå den accepterede risiko. Derfor bør du have et krystalklart billede af følgende før du går i gang:

  1. Hvad er den risiko virksomheden prøver at mitigere?*
  2. Hvem ejer konsekvensen af en utilstrækkelig cybersikkerhed?
  3. Hvordan vil virksomheden måle niveauet af cybersikkerhed?

Løsning: Få hjælp af os til at bygge dit robuste cybersikkerhedsprogram med den rette ledelsesforankring. Vi har prøvet det før!

*Et cyberangreb kan f.eks. føre til en total lammelse af virksomhedens digitale infrastruktur, produktionsstop, manglende adgang til kritiske systemer, tab af sensitive data til cyberkriminelle, misbrug af adgang og rettigheder, forringet aktiekurs, skår i omdømmet, bøder og måske skal ledende medarbejdere se sig om efter et nyt job! Kan virksomheden i det hele taget betale en løsesum til cyberkriminelle og vil det betyde en kundeflugt, når nyheden offentliggøres i dagspressen? Omkostningen kan typisk beløbe sig til små 20 millioner kroner, eller det kan koste væsentligt mere.

Få et målbart svar på hvad risikoen er

Vores Cybersikkerhedsanalyse giver dig hurtigt og effektivt et pragmatisk svar på, om virksomheden er forberedt tilstrækkeligt på at kunne håndtere cybertrusler som f.eks. Phishing, Ransomware, Sårbarheder og Administrative rettigheder, ved at give en målbar score for:

A: Hvor sikker* er virksomheden lige nu?
B: Hvor sikker skal virksomheden være (= Accepteret risiko)?
C: Hvordan kommer organisationen fra A til B?

Vi giver dig svaret og en handlingsplan for bl.a.:

1. Hvor lang tid tager det og hvad vil det koste?
2. Hvilken software skal du bruge for at gøre cybersikkerheden robust?
3. Hvordan skal cybersikkerheden kommunikeres til og fra ledelsen?

Løsning: Kontakt Christian Schmidt og lad os tage en uforpligtende snak om cybersikkerheden i din virksomhed.

*Ordet “cybersikkerhed” dækker i virkeligheden over en cyberrisiko. Når risikoen er mitigeret til et vist niveau – f.eks. 85% – er det ledelsen, der tager stilling til om de resterende 15% (den accepterede risiko) er et acceptabelt niveau af risiko. Sådan burde det i hvert tilfælde være.

    E-mails med følgende domæner besvares ikke: hotmail.com, gmail.com, yahoo.com og lign.

    De første 6 tiltag

    1. Hvis risikoen ikke er forankret i ledelsen / ejerkredsen, så få lavet en CIS cybersikkerhedsanalyse, som viser problemets omfang. Det kan hjælpe til med at skaffe de nødvendige ressourcer.
    2. Brug inventarstyring aktivt til at dokumentere hvad virksomheden har af infrastruktur og services (f.eks. SaaS og MSSP). Sørg for at kun autoriseret hardware og software kan tilsluttes og bruges i netværket.
    3. Vurder og fjern sårbarheder efter risiko i hele infrastrukturen (ude såvel som inde) i en rettidig, målbar og kontinuerlig proces.
    4. Dokumenter og brug kun rettigheder efter princippet om mindste privilegier (PoLP). Husk 2FA* overalt hvor det giver mening – også internt i netværket. Brug sikre passwords som ikke er lækket til cyberkriminelle og som har den nødvendige kompleksitet.
    5. Sørg for at alle systemer kontinuerligt er sat op efter bedste praksis (CIS Benchmarks) og ikke kun efter best effort.
    6. Vær sikker på at du kan opdage tegn på ondsindet aktivitet, så cyberkriminelle ikke snuser rundt i din virksomhed uden du ved det. Se mere om dwell time i Verizon DBIR 2022.

    *2-Factor-Authentication: er to-faktor godkendelse (eller multi-faktor godkendelse) som typisk er en kombination af noget du ved, noget du er og noget du har. Se en nærmere beskrivelse her.

    De næste 6 tiltag

    1. Vær helt sikker på, at alle medarbejdere – uanset om de er i eller udenfor virksomheden – sikkert kan bruge e-mail og adgang til Internettet. Her skal lægges særlig vægt på sikring af fjernarbejdspladser.
    2. Implementer, vedligehold og “lyt” til det bedste antimalware system, som du overhovedet kan komme i nærheden af. Ved du f.eks. om dit antimalware system er effektivt nok? Måske er det bedst, at producenten selv overvåger dit antimalware system (MTR*)?
    3. Sørg for at der er firewalls med L7 i hele netværket og ikke kun mod Internettet. Det kan passende kombineres med en effektiv segmentering af netværket efter kritikalitet og sensitive data.
    4. Implementer, vedligehold og afprøv backup af virksomhedens data og systemer. Gennemfør en BIA og vær sikker på, at backup ikke kan slettes / krypteres efter eksterne eller interne ondsindede aktører.
    5. Klassificer, opdag, dokumenter og beskyt virksomhedens sensitive data (herunder persondata) mod uautoriseret adgang og lækage (Data Loss Prevention – DLP).
    6. Uddan alle medarbejdere målbart i relevante cybersikkerhedsemner efter bedste praksis. Awareness træning virker og husk regelmæssige phishing tests.

    *MTR – Maganed Threat Response: er en betegnelse for, at nogen overvåger tegn på ondsindet adfærd og tager mitigerende action. Andre forkortelser du evt. kan søge efter på Google, er EDR og XDR.

    De sidste 6 tiltag

    1. Implementer og vedligehold en Incident Response Plan som klassificerer cyberhændelser med en modsvarende rettidig handling. Dette kræver ofte et samarbejde med eksterne eksperter i form af en outsourcet service. Se vores inspirationsliste i toppen at denne side.
    2. Foretag målrettede (pen)tests af virksomhedens cybersikkerhed i stedet for at håbe, at de nuværende tiltag er tilstrækkeligt effektive. Se eksempler på vores services her.
    3. Dokumenter alle cyberhændelser og undersøg tendensen. Kommer der færre over tid som tegn på, at cybertiltagene virker?
    4. Lær af cyberhændelser og del dem kontrolleret med omverdenen, når de indtræffer. Sørg for at have en business continuity plan (BCP).
    5. Sørg for at alle medarbejdere har det rigtige mindset omkring cybersikkerhed:
    • Det er OK at dumme sig. Men helst kun én gang!
    • Hvordan kan vi blive bedre til cybersikkerhed?
    • Cybersikkerhed i virksomheden og i privatsfæren er essentiel!
    1. Virksomhedens cybermotto bør være: Vi ved at det sker, men vi har nedsat sandsynligheden og konsekvensen til et acceptabelt niveau.

      Vurder din cyberstyrke helt gratis

      Brug vores modenhedsmodeller til at vurdere om cybersikkerheden i din virksomhed er tilstrækkelig eller se vores blog og webinarer for at hente mere inspiration. Kontakt os og få en uforpligtende snak om emnet.