Sikkerhedstrappen
IT-sikkerhed skal bygges op og vedligeholdes. Virksomheden skal udvikle både tekniske og organisatoriske foranstaltninger, hvis I skal være sikret mod IT-kriminelle.

Risikoen for at blive ramt af en IT-sikkerhedshændelse varierer fra virksomhed til virksomhed. En IT-sikkerhedshændelse kan være eksempelvis være hackeres indtrængen i virksomhedens systemer, datalæk eller kryptering eller sletning af virksomhedens filer. Større virksomheder med mange brugere, systemer og store mængder data har som regel en højere risiko end mindre virksomheder med få brugere, færre systemer og mindre mængder data.
Sikkerhedstrappen har fire trin. Hvert trin er bygget af en række forskellige byggeklodser, som er enten organisatoriske eller tekniske. Hvor langt en virksomhed skal gå op ad trappen for at være godt sikret, afhænger af virksomhedens risiko. Derfor kan det være en god ide at starte med at undersøge, hvilken IT-sikkerhedsrisiko, jeres virksomhed har.
Læs mere om de enkelte trin i trappen nedenfor:
Trin 1
Automatiske opdateringer
Det er meget vigtigt, at alle programmer, styresystemer osv. holdes opdaterede. Det er især vigtigt, at jeres sikkerhedsprogrammer er opdaterede, da de nyeste opdateringer gør fx jeres antivirus i stand til at beskytte mod de nyeste trusler.
To trin til at holde systemer opdaterede:
- Slå automatisk opdatering til, hvor det er muligt.
- Sørg for at der er udpeget en eller flere personer, som har ansvaret for, at alle IT-systemer bliver opdateret.
Antivirus
Antivirus er softwareløsninger, som scanner dit netværk og systemer og leder efter skadelige programmer, som er lagt ind af hackere. Der er mange løsninger at vælge imellem, men som virksomhed er det essentielt at have en eller anden form for antivirus.
Tre nyttige spørgsmål at stille leverandører af antivirus-software:
1. Er løsningen intelligent, så den ikke kun sikrer mod kendte virus, men også mod den måde, som skadelig kode udvikler sig på?
2. Hvilke supportfunktioner følger med jeres antivirus-løsning
3. Kan løsningen bruges af medarbejdere, som ikke har stærke IT-kompetencer?
Procedure for backup
Hvis uheldet er ude, kan skaden begrænses, hvis I har back up af de data, som er blevet påvirket. Derfor er det helt essentielt, at virksomheder tager backup af de data, som er vigtige for driften.
Fem veje til en god back up-løsning
- Find ud af hvad for nogle data, som der skal tages backup af.
- Find ud af hvor ofte I skal tage backup.
- Test jeres backup-løsning, så I ved at I kan genskabe data.
- Det kan være en god ide at købe en sikkerhedspakke, som indeholder automatisk backup.
- Overvej om I skal tage backup af jeres systemer, så I hurtigt kan genskabe dem.
Passwordpolitik
En god passwordpolitik sikrer, at medarbejdernes passwords (kodeord) bliver opdateret jævnligt og at kodeordene er lange og unikke, så de bliver svære at bryde. Passwordpolitikken bruges også, når der købes nyt udstyr eller software ind, fordi det er vigtigt, at udstyr/software sættes op, så det lever op til kravene i virksomheden passwordpolitik.
Fem tips til en god passwordpolitik
- Kodeord skal være mindst 12 tegn lange.
- Kodeord skal være unikke.
- Alle nye enheder (fx routere og servere) og nye programmer får ændret det standardpassword, de bliver leveret med.
- Brugere med administratorrettigheder bruger to-faktor login.
- Brug en passwordmanager, så du kan lave lange komplicerede passwords til dine tjenester. Der findes en række af disse
Firewall
En firewall tjekker trafikken i jeres netværk og ind og ud af netværket op imod nogle regler. På den måde kan firewallen sikre, at uvedkommende ikke kan trænge ind i jeres netværk og at jeres brugere ikke kan besøge skadelige sider på nettet.
Tommelfingerregler når du skal købe en firewall
- Den rigtige type firewall afgøres af, hvor stor en risiko virksomheden står overfor.
- Mindre virksomheder køber ofte en software-firewall og større virksomheder køber typisk en hardware-firewall.
- Tjek om din sikkerhedspakke indeholder en software-firewall.
- Tjek også om din firewall automatisk kan detektere og forhindre angreb på baggrund af mønstre i netværkstrafikken (IDS/IPS).
Databehandleraftale
Hvis I bruger underleverandører til behandling af personoplysninger, eller hvis I selv er databehandler for en anden virksomhed, skal I lave en databehandleraftale. Første skridt er at afklare, om I er dataansvarlig, databehandler eller om I deler dataansvaret.
Der findes en række krav til, hvad en databehandleraftale skal indeholde.
Tre gode steder at få mere information:
- Læs Anbefaling 17 – Lav en databehandleraftale.
- For en mere udførlig vejledning, klik ind på PrivacyKompasset: https://startvaekst.virk.dk/privacykompasset/
- Se Datatilsynets vejledning om databehandleraftaler: https://datatilsynet.dk/databeskyttelse/vejledninger.
Trin 2
VPN
VPN er en forkortelse for Virtual Private Network. Det vil sige, at der etableres en virtuel tunnel mellem to eller flere enheder.
Dermed kan brugere via VPN sende mails, filer mm. gennem en krypteret forbindelse. På den måde kan uvedkommende ikke opsnappe de data, der udveksles.
Hvordan finder jeg en god VPN?
Der findes et hav af muligheder for at anskaffe sig en VPN-løsning. Der er både versioner, som er gratis, og nogle betalingsløsninger. Brug en kendt softwareudbyder, når der skal vælges en VPN-løsning til virksomheden.
Uddannelse af medarbejdere
God IT-sikkerhed starter ved den enkelte medarbejder. Derfor er det vigtigt, at alle medarbejdere løbende bliver trænet i god IT-sikkerhed. For at sikre at der skabes en god IT-sikkerhedskultur i virksomheden, bør træning følges op med løbende awareness-indsatser. Det kan også være en god ide at teste medarbejdernes viden om IT-sikkerhed.
Styring af adgangsrettigheder
Den enkelte medarbejder bør kun have adgang til de data og systemer, som er nødvendige, for at vedkommende kan udføre sit arbejde. Det vil betyde mindre sandsynlighed for, at en nuværende eller tidligere medarbejder kan misbruge sin adgang.
Tip
Undersøg, om I skal implementere separation af rettigheder. Det vil sige, at der er nogle handlinger, som medarbejdere ikke kan udføre på egen hånd som fx overføre store beløb eller slette vigtige filer.
Sørg desuden for at almindelige brugere ikke har administratorrettigheder.
IT-sikkerhedspolitik
For at skabe klare retningslinjer om, hvad der forventes af både ledere og medarbejdere, når det gælder IT-sikkerhed, kan det være en god ide at lave en IT-sikkerhedspolitik for virksomheden.
Omfanget af en IT-sikkerhedspolitik varierer alt efter behov. For nogle virksomheder vil det være tilstrækkeligt med en side eller to, som beskriver de overordnede linjer, mens større virksomheder ofte vil have behov for mere udførlige dokumenter. Når I laver jeres IT-sikkerhedspolitik bør i også tage stilling til, hvem der har ansvaret for sikkerheden. Herunder hvordan I organiserer arbejdet med sikkerhed. Under sikkerhedspolitikken kan I også lave en række mere præcise regler (kaldet procedurer) for de forhold, som er de vigtigste for virksomheden.
Hvordan kommer jeg i gang?
På sikkerdigital.dk findes en skabelon, der kan bruges til at lave en IT-sikkerhedspolitik, som passer til jeres virksomhed.
Krypteringsteknologi
Hvis uvedkommende personer får adgang til jeres data, kan skaden begrænses, hvis data er krypteret. Det betyder, at data ikke kan læses af personer, som ikke har den tilhørende dekrypteringsnøgle.
Når I skal vælge en krypteringsløsning, kan det være en god ide at se, hvilke løsninger der bliver anbefalet af uafhængige eksperter fra forskningsverdenen. Det anbefales at anvende standardiserede og velafprøvede krypteringsløsninger.
Tip
Kig på krypteringsnøglens længde. Jo længere nøglen er, des længere tid vil det tage for en hacker at bryde krypteringen.
Risikovurdering
Virksomhedens IT-sikkerhed skal være tilpasset, så den modsvarer den risiko, virksomheden står overfor. Med en risikovurdering skaber I et overblik over: •Hvilke trusler kan ramme jer? •Hvad er sandsynligheden for, at I rammes? •Hvad er konsekvenserne, hvis I rammes?
Med udgangspunkt i risikovurderingen kan I tage stilling til, hvor der evt. skal sættes ind for at nedbringe risikoen ved fx at implementere yderligere sikkerhedsforanstaltninger.
Lav jeres egen risikovurdering
Det kan være svært at komme i gang med at lave en risikovurdering. På sikkerdigital.dk kan I finde et værktøj og en vejledning, som gør det nemt at starte med en risikovurdering.
Fysisk adgangsstyring
Selv med den mest avancerede sikkerhedspakke kommer til kort, hvis kriminelle kan spadsere ind i virksomhedens lokaler og få adgang til data og systemer ad den vej. Derfor bør alle døre og vinduer som minimum være låst af, og det kan overvejes, om der også skal være alarmer på. Der er også vigtigt, at bygningerne er sikret mod brand, oversvømmelser osv.
3 gode råd til at sikre jeres lokaler
- Sørg for at der er lås på alle yderdøre og -vinduer.
- Serverrum og steder, hvor der opbevares data bør sikre yderligere fx med hævet gulv, godkendte arkivskabe og gitre.
- Overvej at installere alarmer, som kan give besked ved indbrud, brand osv.
Trin 3
Regler for brug af egen telefon/pc
I mange virksomheder kan medarbejdere tilslutte deres private telefoner, tablets eller PC’ere til virksomhedens netværk. Hvis der ikke er begrænsninger på, hvem der kan koble sine enheder på netværket, kan det udgøre en sårbarhed, fordi det vil være muligt for hackere at tilkoble enheder, som kan bruges til at inficere netværket og de enheder, som er forbundet med det.
Hvordan formindsker virksomheden risikoen ved medarbejdernes private enheder?
Det er muligt at installere overvågning af netværket, så det kun er godkendte enheder, som kan få adgang. Derudover kan overvågningen sættes op, så IT-afdelingen modtager en alarm, hvis uvedkommende prøver at koble deres enheder på netværket.
To-faktor login
Ved at aktivere to-faktor login kan I sikre, at hackere ikke kan få adgang til jeres konti, selvom de har opsnappet brugernavn og kodeord.
Adskillige digitale services har mulighed for at aktivere to-faktor login (fx Google, Facebook, Apple, Dropbox, Microsoft m.fl.). To-faktor login betyder, at der er to adgangskoder på to forskellige enheder – for eksempel både på pc og mobiltelefon.
Kom i gang med to-faktor login
Tjek jeres tjenesteudbydere om de har en guide til opsætning af to-faktor login.
Logning af systemaktivitet
Ligegyldigt hvor gode sikkerhedsforanstaltninger, I har taget, er der altid en risiko for, at jeres systemer rammes af et IT-sikkerhedsbrud. Derfor kan det være en fordel at have logningssystem (fx SIEM), der gør jer i stand til at identificere et brud på sikkerheden i rette tid til at kunne rette op på det.
Hvad skal virksomheden logge?
Det er forskelligt fra virksomhed til virksomhed, hvad der er vigtigst at holde øje med. For de fleste kan det være relevant at logge:
- Fejl i forsøg på at logge ind på virksomhedens systemer.
- Handlinger i programmer.
- Sletning eller kopiering af datafiler.
Hændelseshåndtering og beredskabsplan
Når der opstår en sikkerhedshændelse, er det vigtigt at vide, hvem der skal gøre hvad, ligesom det er en god ide at samle op på de hændelser, der opstår. Virksomheden kan med fordel skrive en procedure for, hvordan I skal håndtere sådanne hændelser – særligt hvis de involverer personoplysninger.
Er virksomheden ramt af en virkelig alvorlig hændelse, kan der være behov for at aktivere et egentligt beredskab. En god beredskabsplan sikrer, at I reagerer hurtigt og hensigtsmæssigt, hvis virksomheden bliver ramt af et IT-sikkerhedsbrud. En god beredskabsplan sætter rammerne for, hvordan I skal reagere ved en alvorlig IT-sikkerhedshændelse og beskriver bl.a. hvem der har ansvaret. Husk at teste jeres beredskab – fx ved en årlig øvelse.
Lav en beredskabsplan
Du kan finde en skabelon til en beredskabsplan, som kan tilpasses til virksomhedens behov på sikkerdigital.dk. Husk også at stille krav til beredskabet hos jeres IT-leverandører, da et brud på deres IT-sikkerhed kan få store konsekvenser for jeres virksomhed.
System til opdeling af netværk
For at sikre at et sikkerhedsbrud ikke spreder sig, kan virksomheden opdele netværket i mindre enheder. Enhederne adskilles af en firewall. Det er især vigtigt at indhegne ældre IT-systemer, der ikke længere kan opdateres.
Tips til netværkssegmentering
Tag udgangspunkt i hvilke dele af netværket som er mest sårbare. Det kan fx være ældre systemer, som ikke kan opdateres, eller systemer hvor mange medarbejderes IT-udstyr er koblet på.
DMARC/Spamfilter
En af de mest almindelige metoder, som IT-kriminelle bruger til at få adgang til virksomhedens systemer, er gennem phishingmails. Phispingmails lokker brugerne til at klikke på links, der aktiverer malwareprogrammer. Derfor er det en god ide at installere et filter på sit mailsystem, som kan sammenligne med kendte trusler og blokere de meddelelser, som bliver genkendt.
Kom godt i gang
Der findes mange gode løsninger for at nedbringe antallet af phishing-mails, som virksomheden modtager. En af disse er DMARC, som er gratis at implementere for virksomheder. Læs mere om teknologien på: https://dmarc.org/
Trin 4
Data Loss Prevention (DLP)
Med en DLP-løsning kan virksomheden få et bedre overblik over, om personoplysninger bliver sendt via mails, offentliggjort på hjemmesider, eller på anden vis bliver eksponeret for uvedkommende.
Hvorfor skal vi bruge DLP?
Med EU's nye GDPR-regler er der kommet ekstra fokus på, at virksomheder behandler fx personoplysninger på en forsvarlig måde. Med en DLP-løsning får virksomheden en ekstra sikring, der gør, at medarbejdere advares, hvis de er i færd med at sende personoplysninger ud via e-mail eller på anden måde offentliggøre dem i strid med reglerne.
Shadow IT-discovery
Hvis forskellige afdelinger i virksomheden har mulighed for at indkøbe IT-systemer uden, at disse bliver godkendt af IT-afdelingen, er der en risiko for, at data behandles på en måde, der kan udgøre en risiko. Det kan fx være cloud-baseret datalagring, analyseværktøjer mm. Et Shadow IT-discovery system skanner jeres netværkstrafik og viser, hvilke digitale tjenester, de forskellige afdelinger benytter. På den måde kan IT-afdelingen få et overblik over de systemer, der er installeret på virksomhedens computere og vurdere, om der er potentielle trusler.
Skal vi bruge Shadow IT-discovery?
Find ud af om I skal implementere Shadow IT-discovery. Det kan I bl.a. gøre ved at spørge jer selv:
- Har vi et overblik over alle de digitale tjenester og værktøjer, vores medarbejdere bruger i deres arbejde?
- Er der begrænsninger for, hvilke programmer mv. medarbejdere kan hente ned til deres computere?
- Hvordan sikrer vi, at det kun er sikre tjenester, som bliver brugt af virksomhedens medarbejdere?
Identity governance
Med Identity governance etableres en styring af adgangsrettigheder for alle medarbejdere.
Medarbejdere, der har adgang til data (fx personoplysninger) eller systemer, som de ikke har brug for, kan udgøre en risiko. Det gælder både for interne medarbejdere og eksterne som fx konsulenter. Det gælder også på interne systemer, såvel som på tjenester ude i skyen (cloud).
Hvordan kommer vi i gang?
I Windows findes en central database, som hedder Active discovery (AD). Med AD kan I verificere brugere og deres adgangsrettigheder, ligesom det kan bruges til at tilknytte politikker til brugerne, udrulle opdatering mm. Der findes også en række andre AD-løsninger på markedet, som virksomheden kan overveje at investere i.
Pseudonymisering
Oplysninger, som kan bruges til at identificere en bestemt person, skal beskyttes ifølge den europæiske persondataforordning, GDPR. Når personoplysninger pseudonymiseres, er det ikke længere muligt umiddelbart at henføre dem til en identificerbar person. Det betyder, at der er mindre risiko for, at vedkommende bliver påvirket, hvis data bliver opsnappet af uvedkommende.
Kom i gang!
Læs mere om pseudonymisering af personoplysninger på PrivacyKompasset.
Data discovery
Med Data discovery-teknologier kan virksomheden søge efter forskellige former for data som fx CPR-numre, kreditkortinformationer osv. i ustrukturerede data.
På den måde bliver det muligt at finde ud af, om virksomheden har følsomme personoplysninger liggende på steder, hvor det ikke er meningen.
Tre spørgsmål som kan hjælpe med at finde ud af, om virksomheden skal have DLP?
- Har virksomheden styr på de personoplysninger, vi ligger inde med?
- Har virksomheden en politik, som sikrer, at vi altid behandler data (herunder personoplysninger) forsvarligt?
- Er alt vores data sat i system, eller har vi store mængder ustrukturerede data?
Skanninger
Virksomheden kan få skannet de tjenester, som Istiller til rådighed på internettet som fx virksomhedens hjemmeside. Skanningerne kan finde sårbarheder, og dermed kan det afgøres, om hackere har let adgang til jeres tjenester.
TIP
Der findes mange forskellige leverandører, som skanner efter forskellige ting. Du kan spørge leverandøren, om skanningen foregår automatisk eller om der er en person, som manuelt forsøger at hacke jeres systemer.
Secure DNS
Virksomheden kan abonnere på tjenester, som sikrer, at medarbejderne ikke går ind på kendte skadelige sider på internettet. Hvis der er kendt, ondsindet kode på hjemmesiderne, bliver de ikke vist på medarbejdernes computere. På den måde forhindrer I, at der kommer ondsindet kode ind i din virksomhed.
TIP
Spørg jeres internetudbyder, om de har inkluderet sådan en tjeneste i jeres abonnement, eller om det er noget I kan købe til.
Styring af udstyr
Man skal ikke være en særlig stor eller særlig gammel virksomhed, før det kan knibe med at bevare overblikket over, hvilket udstyr virksomheden er i besiddelse af. Ved at lave en liste over jeres udstyr, kan I sikre, at det kun er jeres udstyr, der må komme på netværket.
I kan også fjernstyre udstyret og bl.a. slette data, hvis udstyret bliver stjålet eller på anden måde forsvinder. Med en liste kan I også sikre, at udstyret bliver destrueret på den rette måde, så uvedkommende ikke får adgang til gamle harddiske.