Gå til hovedindhold

Mit Virk >

Anbefaling 15 – Logning af de vigtigste it-systemer i virksomheden

Anbefaling 15 – Logning af de vigtigste it-systemer i virksomheden

Logning af de vigtigste IT-systemer

Logning, dvs. registreringer af aktiviteter i virksomhedens IT-systemer er et vigtigt redskab for at opdage hvis noget går galt fx hvis I mister data efter angreb af IT-kriminelle. Samtidig er det vigtigt at kunne sikre beviser til efterforskning og målrette, hvor I skal sikre systemerne bedre. For ikke at bruge unødige ressourcer på logning af virksomhedens systemer, anbefales det at prioritere de systemer, som opbevarer eller behandler forretningshemmeligheder og/eller følsomme personoplysninger.

Overvågning af logs, kræver dog ofte specialistviden, fx for at kunne identificere nye typer af hackerangreb. I kan derfor overveje, om jeres logovervågning skal håndteres af en ekstern leverandør.

Anbefalinger til overvågning af de vigtigste systemer i virksomheden

  • Giv medarbejderne besked om overvågning af systemer
  • Prioriter hvilke systemer I vil overvåge
  • Beslut hvor ofte I gennemgår jeres logs og hvordan I gemmer dem

Giv medarbejderne besked om overvågning af systemer

Inden I begynder at overvåge de vigtigste systemer i virksomheden, skal I være opmærksomme på, at medarbejderne, der benytter disse systemer, skal informeres om det.

Medarbejderne skal på forhånd være klart informeret om, at registreringen/logningen finder sted, og at registreringen eventuelt vil blive gennemset som led i en kontrol ved mistanke om uregelmæssigheder i vitale IT-systemer.

Prioriter hvilke systemer i vil overvåge

I skal starte med at bestemme, hvilke systemer I har brug for at overvåge og logge.

I bør primært logge systemer med forretningshemmeligheder og følsomme personoplysninger - gerne på baggrund af jeres risikovurdering. Se Anbefaling 3 om risikovurdering.

Det anbefales, at I overvejer logning af følgende:

  • IT-sikkerhedsløsninger: Fx Firewall, antivirus m.m.
  • Fx Mail exchange-server, webservere, Virtual Private Network (VPN) mm.
  • Systemer med forretningshemmeligheder og følsomme personoplysninger.

Beslut hvor ofte I gennemgår jeres logs og hvordan I gemmer dem

Når I har besluttet, hvad I vil logge, skal I tage stilling til følgende:

  • Hvor tit vil gennemgå jeres logning? (fx regelmæssigt eller ved en konkret sikkerhedshændelse)
  • Hvor lang tid vil I opbevare de enkelte logs?
  • Vil I bruge et overvågningssystem, kaldet et SIEM-værktøj (Security Information & Event Management)? Systemet giver mulighed for at kunne identificere mønstre og sammenhænge på tværs af systemerne og samler alle logs i ét system.
  • Hvis I fravælger SIEM-værktøjet bør I selv lagre jeres logs sikkert og centralt
  • Hvor lang tid vil I opbevare de enkelte logs?

I mange tilfælde er der gået uger eller måneder, fra et hackerangreb er udført og til virksomheden har opdaget hændelsen. I en sådan situation er det vigtigt, at de relevante logs ikke er blevet slettet.

I bør opbevare de enkelte logs i så lang tid, som det giver mening for jeres virksomhed. I kan med fordel bruge disse guidelines til opbevaringsperiode i forhold til betydning:

  • Aktiviteter der logges har lav betydning: Opbevaring i 1-2 uger
  • Aktiviteter der logges har medium betydning: Opbevaring i 1-3 måneder
  • Aktiviteter der logges har høj betydning: Opbevaring i 3-12 måneder

HUSK: Logning kræver plads og vedligeholdelse i jeres IT-systemer. I skal have overblik over hvordan logs opbevares og hvem der har adgang til at læse, ændre og slette dem.