27 maj 2020
Stoler du på it-sikkerheden i din virksomhed?

Stoler du på it-sikkerheden i din virksomhed?

!{LinkedContent-author-by}

Philip Sandahl Johansen

EY Danmark, Cybersecurity advisor, Technology Consulting

Løsningsorienteret cyber-konsulent med fokus på teknisk og organisatorisk informationssikkerhed, der servicerer kunder i både den private og den offentlige sektor.

27 maj 2020
Relaterede emner Cybersecurity

Falsk tryghed er en farlig situation, og det er derfor vigtigt, at sikkerheden omkring systemer, data og processer løbende efterprøves.

Efterprøvning kan sikre, at din virksomhed er passende beskyttet, og dels for at sikre, at I reelt får den sikkerhed, I betaler for. EY kan hjælpe med at teste dine systemer for en sikkerheds skyld.

  • Ved du, om din virksomheds firewall fungerer optimalt, eller er det muligt at få adgang til sårbare data ad denne vej? 
  • Er dine systemer opdateret for nylig?
  • Kan dine medarbejdere afkode en phishing-mail? 
  • Er sikkerheden hos jer, som du forventer? 

EY kan bistå med test af den tekniske sikkerhed og hjælpe din virksomhed med at finde sårbarhederne, før hackerne gør det!

Udfordringer observeret i det danske marked

Udfordringer for danske virksomheder lige nu er relateret til sårbarheder i den tekniske infrastruktur. Disse sårbarheder kan både være, som nævnt, tekniske, som øget pres på netværkssikkerhed, men kan også være organisatorisk som medarbejderårvågenhed. Nedenfor har vi listet de fire største udfordringer, som vi møder hos danske virksomheder lige nu:  

  • Internet og mobile platforme
    Desværre ser vi ofte, at sårbarheder i onlineplatformes sikkerhed resulterer i utilsigtet deling af data, sikkerhedsbrud eller systemnedbrud, der kan påføre økonomiske tab eller skade af omdømme. 
  • Netværkssikkerhed
    Vi ser en stigende trend i, at hackere nu går decideret efter sårbarheder i VPN-forbindelser og derved målretter deres angreb mod medarbejdere, som fx arbejder hjemmefra. Medarbejderstyrken er efterhånden meget mobil, og dette stiller således høje krav til netværkssikkerhed. En enkelt sårbarhed her kan medføre kompromittering af netværket eksempelvis gennem ransomware eller phishing. 
  • Periodisk systemopdatering
    Vi ser ofte, at sårbarheder i it-sikkerheden er et resultat af manglende systemopdateringer. En periodisk og systematisk tilgang til systemopdateringer sikrer, at den seneste sikkerhedssoftware er installeret, hvilket øger mulighederne for at identificere og modstå eventuelle hackerforsøg.
  • Medarbejderårvågenhed
    Vi ser til stadighed, at mange snydes til at opgive kodeord, adgang til arbejdscomputer eller i værste fald adgang til virksomhedens netværk. Ofte går hackerne målrettet efter medarbejderne som indgangsvinkel, eksempelvis gennem phishing-mails eller andre former for social engineering, hvor medarbejderne ”angribes” med henblik på at opnå adgang til oplysninger eller placere ondsindet kode på virksomhedens systemer. 

Hvad gør du for at opretholde og forbedre din it-sikkerhed?

Det er vigtigt, at din virksomhed ikke har en afventende tilgang til it-sikkerhed. Det er praktisk talt umuligt at være på forkant med hackerne, men du kan aktivt sikre dig ved at gøre det kompliceret og besværligt at bryde ind i din virksomhed. Særligt bør der være fokus på kontinuerligt at opdatere det eksisterende sikkerhedssystem. 

En optimeret og tidssvarende it-sikkerhed vil beskytte din virksomhed 

Trusselsbillederne er dynamiske, og it-sikkerhed er derfor noget, der løbende skal vedligeholdes og vurderes. I din virksomhed skal I være bevidste om, at et valg om ikke at prioritere it-sikkerhed samt test heraf er et fravalg af indsigt i de sårbarheder, som potentielt truer integritet, tilgængelighed og fortroligheden af jeres data og systemer. 

  • Periodiske tests af sårbarheder mindsker risikoen for utilsigtet ekstern eksponering
    Ved periodisk at teste for sårbarheder i platforme og systemer mindskes din virksomheds risiko for ekstern eksponering. Vi anbefaler, at der periodisk testes for åbne porte og sårbarheder i firewalls og netværk, og at der dertil defineres og implementeres konkrete tiltag til forbedring. Det er ikke givet, at en åben port reelt udgør en risiko. 
  • Test af procedurer, processer og implementerede sikkerhedsforanstaltninger
    Ved at simulere kriminel adfærd kan din virksomheds procedurer, processer og implementerede sikkerhed testes for effektivitet, og samtidig afdækkes sårbarheder og forbedringsområder. Vi anbefaler, at der periodisk foretages simulering af kriminel adfærd fx ved at tilgå virksomhedens netværk og teste for responstid i forhold til identificering eller ved at simulere konkrete angreb på udvalgte platforme eller systemer. 
  • Netværksscanninger kan identificere allerede kompromitterede enheder
    Periodiske scan af din virksomheds interne netværk kan bidrage til, at risikoen for, at der er nogen, som kigger med over medarbejdernes skulder, minimeres. Vi anbefaler, at der periodisk scannes for kompromitterede enheder på jeres netværk ved at tilgå udvalgte netværk og identificere samt overvåge anvendte IP-adresser m.m.
  • Test af medarbejdernes årvågenhed 
    Periodiske tests af udvalgte medarbejdergruppers årvågenhed over for phishing-mails og social engineering er din virksomheds sikring imod potentielle brud på it-sikkerheden, således at medarbejdere ikke bliver snydt til at afgive adgangskoder eller netværkstilgang. Vi anbefaler, at der periodisk udføres målrettede og skræddersyede phishing-tests, og at der føres kontrol med effekten af disse tests ved analyse af, hvorvidt der er positiv effekt af disse tests jf. antallet af medarbejdere, som falder for testen.

Hvordan arbejder vi med it-sikkerhed hos EY?

Hos EY anvender vi egne ressourcer, som arbejder ud fra et Advanced Security Center (ASC), som udelukkende har fokus på planlægning, udførelse og rapportering af tekniske tests vedrørende it-sikkerhed. 

  • Vores ASC har hjulpet mere end 500 virksomheder på globalt plan med at forbedre deres it-sikkerhed, dette gøres altid ud fra EY’s egne labs, hvorfra vi anvender de bedste værktøjer på markedet og samtidig udvikler vores egne løsninger. 
  • Vores tilgang til konkret opgaveløsning sikrer dig de mest kvalificerede tekniske kompetencer på markedet og samtidig en lavpraktisk og skræddersyet opbygning, hvor der tages særlig højde for din virksomheds modenhed, erfaring inden for it-sikkerhed og allerede implementerede sikkerhedsinitiativer.
  • Vores tilgang stopper ikke ved blot at identificere sårbarheden, men inkluderer også konkrete vurderinger af disse samt anbefalinger til tiltag til forbedring. 

!{ArticleSummary-Heading}

Det er praktisk talt umuligt at være på forkant med hackerne, men du kan aktivt sikre dig ved at gøre det kompliceret og besværligt at bryde ind i din virksomhed. Særligt bør der være fokus på kontinuerligt at opdatere det eksisterende sikkerhedssystem. I denne artikel kan de læse mere om udfordringerne, samt hvordan vi hos EY arbejder ud fra et Advanced Security Center (ASC), som udelukkende har fokus på planlægning, udførelse og rapportering af tekniske tests vedrørende it-sikkerhed. 

!{AboutThisArticle-Heading}

!{LinkedContent-author-by}

Philip Sandahl Johansen

EY Danmark, Cybersecurity advisor, Technology Consulting

Løsningsorienteret cyber-konsulent med fokus på teknisk og organisatorisk informationssikkerhed, der servicerer kunder i både den private og den offentlige sektor.

Relaterede emner Cybersecurity