Embedded Files
I lektion 3 gennemgik vi personlig it-sikkerhed. Man kan tale om IT-sikkerhed på 3 niveauer:
Personlig IT-sikkerhed
IT-sikkerhed for virksomheder og organisationer
IT-sikkerhed for nationale stater
Personlig IT-sikkerhed er vigtig, fordi kriminelle kan hæve dine penge og lignende, hvis de får adgang til dit login og password, afpresse. Hvis IT-kriminelle får adgang til dine data kan de afpresse penge, skade dit omdømme (identitetstyveri), købe ting i dit navn eller måske forhindre, at du kan få fat i vigtige dokumenter.
IT-sikkerhed for virksomheder og organisationer er vigtig, fordi kriminelle kan skade virksomheders udstyr, hvis de får adgang til virksomheders data eller logins. De kan fx forhindre produktion af varer eller lignende, stjæle og misbruge informationer om kunder og dermed skade både kunderne og virksomhedens image.
IT-sikkerhed for lande er lige så vigtig som landes fysiske sikkerhed og stabilitet, fordi hvis fremmede magter kan få adgang til andre landes data om borgere via logins, kan de forberede angreb, ødelægge kritisk infrastruktur (el, vand, internet, infrastruktur) eller påvirke valgresultater og lign.
I denne lektion skal vi arbejde med IT-sikkerhed i virksomheder og organisationer. Læs om CIA-modellen og de syv råd til IT-sikkerhed og slut af med at tage testen.
Datasikkerhed og CIA-modellen
Datasikkerhed og CIA-modellen
Når vi taler om sikkerhed, ser vi på:
Data
Adgange
CIA-modellen er en model, der handler om it-sikkerhed. CIA står for confidentiality, integrity og availability.
På dansk betyder dette, at data skal være:
Fortrolighed - kun de rette skal have adgang
Dataintegritet - data skal være korrekte, og kun de rette personer skal kunne rette i dem
Tilgængelighed - de der skal kunne få adgang, skal have det og ikke andre.
Eksempel: En skoles informationer om lærere, elever, skemaer m.m. skal være korrekte, så forskellige grupper skal have forskellige muligheder for at rette. Elever skal ikke kunne rette i skemaer. Lærere kan rette i skemaer, men ikke i oplysninger om elever. Administrationen kan rette i data om elever, hvis elever fx flytter.
Man kan jo beskytte data så meget, at man ikke kan få adgang længere, men de rigtige skal have adgang til data.
De syv råd om IT-sikkerhed i virksomheder
De syv råd om IT-sikkerhed i virksomheder
1 ud af 4 små og mellemstore virksomheder har ikke implementeret de mest essentielle it-sikkerhedstiltag. Der kan opstilles 7 gode råd om it-sikkerhed. Rådene giver viden og værktøjer til mindre virksomheder, som kan styrke deres basale it-sikkerhed.
1. Få overblik over vigtige data og systemer
1. Få overblik over vigtige data og systemer
Alle virksomheder er i besiddelse af systemer og data, der er centrale for den daglige drift, og som netop derfor kan udnyttes af it-kriminelle. Ved at få et overblik over de mest kritiske data og systemer i virksomheden, bliver I mere opmærksomme på, hvor det er særlig vigtigt at sikre sig mod angreb.
Eksempler på vigtige virksomhedsdata og it-systemer er:
Data og it-systemer, som er afgørende for at holde produktionen i gang
Kundeinformationer og CRM-systemer
Persondata
Forretningshemmeligheder, manualer og patenter
Økonomiske nøgletal og prisstrategier
Produktionsdata
2. Opdater programmer løbende
2. Opdater programmer løbende
It-kriminelle opdager hele tiden nye huller i computerprogrammer, der kan anvendes til at angribe virksomheden. Hvis I indfører gode rutiner for opdateringer, kan I fjerne eller minimere kendte sårbarheder. Dette sikrer dog ikke imod eventuelle sikkerhedshuller, som skyldes fejlagtig opsætning, dårlige password og lignende.
3. Køb antivirus og firewall
3. Køb antivirus og firewall
Et antivirusprogram og en firewall er to vigtige sikkerhedsforanstaltninger, som alle virksomheder som minimum bør investere i. De kan i nogen tilfælde købes samlet i en it-sikkerhedspakke og kan være med til at beskytte virksomhedens systemer og data mod angreb fra it-kriminelle.
4. Tag backup af data
4. Tag backup af data
Mangelfuld backup (sikkerhedskopiering) er en af de mest almindelige årsager til, at virksomheder mister deres kritiske data. Med rutiner for backup kan I sikre virksomheden bedre mod tab af værdifulde og forretningskritiske data. Følg de fire trin for bedre backup-rutiner i virksomheden.
5. Lær at spotte mistænkelige mails
5. Lær at spotte mistænkelige mails
It-kriminelles vej ind i en virksomhed sker ofte via mails (phishing). Derfor er det vigtigt at være kritisk overfor mistænkelige mails, så medarbejdere i virksomheden ikke klikker på et ondsindet link, downloader et dokument inficeret med virus eller overfører penge til en ukendt afsender.
6. Lav stærke adgangskoder
6. Lav stærke adgangskoder
Adgangskoder (passwords) er i høj kurs hos it-kriminelle, da det kan give dem adgang til virksomheders systemer. Derfor er det vigtigt, at alle medarbejdere bruger stærke adgangskoder.
7. Stil sikkerhedskrav til it-leverandøren
7. Stil sikkerhedskrav til it-leverandøren
Mange virksomheder outsourcer it-drift og it-sikkerhed til eksterne leverandører. Men det er virksomhederne, som har det endelige ansvar for, at it-sikkerheden er i orden. Hvis jeres virksomhed bruger eksterne it-leverandører, kan I her få værktøjer til at sikre, at sikkerheden er tænkt tilstrækkeligt ind i løsninger, som I har outsourcet.
Prøv quizzen om de 7 råd
Prøv quizzen om de 7 råd
Tryk på billedet og tag testen. Hvis du bliver i tvivl, kan du tjekke op på de 7 råd her .
Opgave: Evaluering af cybertrusler
Opgave: Evaluering af cybertrusler
Se videoen og lav en evaluering af casen baseret på modellen nedenfor.
Du kan læse mere om Bahne og deres IT-sikkerhed her.
Lav en evaluering af Bahne Sørensen A/S og det IT-angreb, de blev udsat for. I evalueringen skal I desuden forsøge at lave en beredskabsplan for virksomheden, så de i fremtiden kan undgå lignende angreb.
Lav en beredskabsplan ved at besvare spørgsmålene i de 4 faser for risikostyring:
Forudsigelse: Hvordan kan vi forstå risikoen, finde sårbarheder, afdække svage områder?
Forebyggelse: Hvordan kan sårbare områder minimeres og hændelser forebygges?
Opdagelse af sikkerhedsbrud: Hvordan kan hændelser og trusler isoleres og stoppes?
Reaktion / håndtering af sikkerhedsbrud: Hvordan bør man reagere på angreb og begrænse skaden?
Report abuse