Vi befinder os i en tid, hvor virksomheder er mere digitalt avancerede end nogensinde før, og i takt med at teknologien forbedres, skal organisationernes sikkerhedstiltag også forbedres. Hvis de ikke gør det, kan det resultere i et dyrt databrud, som vi har set det ske med mange virksomheder. Cyberkriminalitetens landskab har udviklet sig, og trusselsaktører går efter alle typer organisationer, så for at beskytte din virksomheds data, penge og omdømme er det afgørende, at du investerer i et avanceret sikkerhedssystem. Men før du kan begynde at udvikle et sikkerhedsprogram for din organisation, er det afgørende, at du forstår de forskellige typer sikkerhed, og hvordan de alle arbejder sammen.

Hvad er informationssikkerhed?

Informationssikkerhed (også kendt som InfoSec) sikrer, at både fysiske og digitale data er beskyttet mod uautoriseret adgang, brug, videregivelse, forstyrrelse, ændring, inspektion, registrering eller ødelæggelse. Informationssikkerhed adskiller sig fra cybersikkerhed ved, at InfoSec har til formål at sikre data i enhver form, hvorimod cybersikkerhed kun beskytter digitale data. Hvis din virksomhed begynder at udvikle et sikkerhedsprogram, er informationssikkerhed det sted, hvor du først bør begynde, da det er grundlaget for datasikkerhed.

Governance Framework

Når du opretter dit informationssikkerhedsprogram, skal du starte med at have den rette styringsstruktur på plads. Styring er den ramme, der er etableret for at sikre, at sikkerhedsstrategierne er på linje med din virksomheds målsætning og mål. Styring bygger bro over kløften mellem forretning og informationssikkerhed, så holdene kan arbejde effektivt sammen. Rammerne definerer også de enkelte personers roller, ansvarsområder og ansvarlighed og sikrer, at du opfylder kravene til overholdelse.

CIA-triaden

Når InfoSec-eksperter udvikler politikker og procedurer for et effektivt informationssikkerhedsprogram, bruger de CIA-triaden (fortrolighed, integritet og tilgængelighed) som en rettesnor. Komponenterne i CIA-triaden er:

  • Fortrolighed: Sikrer, at oplysninger er utilgængelige for uautoriserede personer – dette håndhæves oftest ved hjælp af kryptering, som findes i mange former
  • Integritet: Beskytter oplysninger og systemer mod at blive ændret af uautoriserede personer; sikrer, at dataene er nøjagtige og troværdige
  • Beredygtighed: sikrer, at autoriserede personer kan få adgang til oplysningerne, når der er behov for det, og at al hardware og software vedligeholdes korrekt og opdateres, når det er nødvendigt

CIA-triaden er blevet de facto standardmodellen til at sikre din organisation. De tre grundlæggende principper hjælper med at opbygge et kraftigt sæt sikkerhedskontroller til at bevare og beskytte dine data.

Hvad er cybersikkerhed?

Cybersikkerhed, der er en delmængde af informationssikkerhed, er praksis for at forsvare din organisations netværk, computere og data mod uautoriseret digital adgang, angreb eller skade ved at implementere forskellige processer, teknologier og praksis. Med de utallige sofistikerede trusselsaktører, der er rettet mod alle typer organisationer, er det afgørende, at din it-infrastruktur til enhver tid er sikret for at forhindre et angreb i fuld skala på dit netværk og risikere at udsætte din virksomheds data og omdømme.

Social Engineering

Når cybertrusselsaktører retter sig mod din organisation, undersøger de ikke kun din virksomhed, men også dine medarbejdere. De ved, at medarbejdere uden for it-sikkerhed ikke er så opmærksomme på cybertrusler, så de udfører cyberangreb, der udnytter menneskelige sårbarheder. Gennem social engineering manipulerer trusselsaktører folk til at give dem adgang til følsomme oplysninger. De mest almindelige social engineering-angreb omfatter:

  • Phishing: Normalt i form af e-mails eller chats, hvor trusselsaktørerne udgiver sig for at være en rigtig organisation for at få personlige oplysninger
  • Pretexting: Når en trusselsaktør udgiver sig for at være en autoritetsperson eller en person, som målet nemt ville have tillid til, for at få deres personlige oplysninger
  • Baiting: Når trusselsaktører efterlader en malware-inficeret enhed, f.eks. en USB eller cd, på et sted, hvor den let kan findes af en person, som så vil bruge den inficerede enhed på sin computer og ved et uheld installere malware, hvilket giver trusselsaktørerne adgang til målets system
  • Quid pro quo: Når en trusselsaktør anmoder om personlige oplysninger til gengæld for en eller anden form for belønning, f.eks.f.eks. penge, gratis gave eller en gratis tjeneste

Som virksomhedsleder er det dit ansvar at opbygge en kultur med sikkerhedsbevidsthed og udfylde hullerne i dit teams viden om og forståelse af cybersikkerhed. Det er vigtigt, at din arbejdsstyrke er informeret om cybersikkerhedsrisici, så det vil være mindre sandsynligt, at en medarbejder bliver offer for et angreb. Giv dine medarbejdere den nødvendige uddannelse og teknologi for at styrke din organisations menneskelige firewall og mindske risikoen for et cyberangreb.

Hvad er netværkssikkerhed?

Netværkssikkerhed, en delmængde af cybersikkerhed, har til formål at beskytte alle data, der sendes gennem enheder i dit netværk, for at sikre, at oplysningerne ikke ændres eller opsnappes. Netværkssikkerhed har til opgave at beskytte organisationens it-infrastruktur mod alle typer cybertrusler, herunder:

  • Vira, orme og trojanske heste
  • Zero-day-angreb
  • Hacker-angreb
  • Denial of service-angreb
  • Spyware og adware

Din netværkssikkerhedsteam implementerer den hardware og software, der er nødvendig for at beskytte din sikkerhedsarkitektur. Med den rette netværkssikkerhed på plads kan dit system registrere nye trusler, før de infiltrerer dit netværk og kompromitterer dine data.

Der er mange komponenter i et netværkssikkerhedssystem, som arbejder sammen for at forbedre din sikkerhedstilstand. De mest almindelige netværkssikkerhedskomponenter omfatter:

  • Firewalls
  • Antivirussoftware
  • Intrusionsdetekterings- og -forebyggelsessystemer (IDS/IPS)
  • Virtuelle private netværk (VPN)

Når din netværkssikkerhed er kompromitteret, bør din første prioritet være at få angriberne ud så hurtigt som muligt. Jo længere de bliver i dit netværk, jo mere tid har de til at stjæle dine private data. Ifølge Ponemon Institutes 2013 Cost of Data Breach-undersøgelse er de gennemsnitlige omkostninger ved et databrud pr. kompromitteret post i USA, eksklusive katastrofale eller mega-datasikkerhedsbrud, 188 dollars. De gennemsnitlige samlede omkostninger for en organisation i USA er mere end 5,4 millioner dollars. Den mest effektive metode til at mindske de samlede omkostninger er at få angriberne ud af dit netværk så hurtigt som muligt.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.