Fokus på it-sikkerhed bør øges

Hacking, ondsindede phishing angreb, ransomware, ’CEO fraud’ og tyveri af personfølsomme data. Der er ingen tvivl om, at danske virksomheder i stigende grad udsættes for digitale angreb, som desværre ofte har store økonomiske konsekvenser. De fleste virksomheder erkender i dag, at it-sikkerhed er en opgave, der bør sættes mere fokus på – men hvor starter du, og hvilke metoder bør tages i brug?

Mød eksperten bag artiklen, der giver dig gode råd og inspiration til arbejdet med it-sikkerhed.

Mads Nørgaard Madsen
Partner og leder af Security & Technology, PwC,
Email

PwC’s seneste Cybercrime Survey fra 2016 slår fast, at der løbende sker en stigning i antal, når det gælder danske virksomheder, der rammes af cybertrusler. Denne stigning, samt en højere kompleksitet, resulterer ofte i tyveri af forretningskritiske data, personfølsomme data og fjendtlig overtagelse af medarbejderes pc/mobiltelefoner eller it-systemer.

Et andet udpræget fænomen er det såkaldte ’CEO fraud’, hvor hackere udgiver sig for at være andre personer for derved at få den ramte virksomhed til at udbetale midler til kriminelle.

Fælles for alle disse typer af angreb er, at de koster din virksomhed penge, ressourcer og omdømme. Det kan derfor i høj grad betale sig at stille skarpt på it-sikkerheden.

Hvem bliver ramt?

Der er desværre ikke længere et entydigt mønster for, hvem der bliver ramt af cyberangreb. Cyberkriminelle hackere angriber kort og godt, hvor der er værdier. Tidligere har der været et mønster, hvor det typisk kun var store virksomheder med dertilhørende større økonomi, der blev angrebet.

I dag udnytter hackere i lige så høj grad, at mindre virksomheder typisk har svært ved at opnå samme høje sikkerhedsniveau som de store virksomheder.

Hvordan kan du sikre din virksomhed og afdække ’cyberrisikoprofilen’?

Som udgangspunkt bør I stille jer følgende spørgsmål:

      1. Har vi prioriteret, hvilke systemer der er mest forretningskritiske?
      2. Tror vi, at vores nuværende it-sikkerhedssystemer er gode nok til at imødekomme dette stigende trusselsniveau?
      3. Er vi i stand til at imødekomme de gældende lovkrav, fx GDPR i 2018 (EU-persondataforordningen), som kræves af den branche/ sektor, vi opererer i?
      4. Imødekommer vi vores kunders forventninger til sikkerhed og fortrolighed?
      5. Hvis vi ændrer på vores forretningsmodel, kan vi så fastholde vores ønskede sikkerhedsniveau?

Kan I ikke sige entydigt ja til alle ovenstående punkter, bør din virksomhed vurdere jeres nuværende sikkerhedsniveau. I bør også fastlægge, hvordan I fremadrettet kontrollerer, at virksomheden forbliver på det ønskede sikkerhedsniveau.

Sikkerhedstesten kan benyttes til at teste:

  • Om de valgte sikkerhedsprodukter fungerer i henhold til det valgte sikkerhedsniveau?
  • Hvorvidt nye applikationer lever op til det valgte sikkerhedsniveau?
  • Om der er kommet nye enheder på netværket, der ikke har samme sikkerhedsniveau som de øvrige produkter, og dermed er en sårbarhed?
  • Om I er dygtige nok til at implementere sikkerhedsprodukter/-procedurer?

Når en sådan sikkerhedstest er gennemført, vil du være i besiddelse af en solid vurdering af din virksomheds sikkerhedsniveau. Du vil bl.a. have en liste af kritiske observationer, som din virksomhed med fordel bør forholde sig til.

Hvordan fastholdes et prioriteret sikkerhedsniveau?

En sikkerhedsvurdering giver et billede af virksomhedens sårbarhed lige nu, og den er med til at sikre, at I kan prioritere jeres sikkerhedstiltag på bedste vis.

For at kunne fastholde sikkerhedsniveauet fremadrettet kan du hos PwC få indsigt i en række ’Managed Security Services’.

Managed Security Services understøtter en sikkerhedsstrategi både før, under og efter et angreb – og de er skalérbare på alle operationelle niveauer.

Med ’Managed Security Services’ opnår din virksomhed:

  • Sårbarhedsscanninger, hvor vi tester din infrastruktur eksternt for sårbarheder.
  • En phishing-kampagne, der tester en udvalgt medarbejders sikkerhedsbevidsthed, hvor medarbejderen lokkes til at trykke på et forkert link, der kunne have resulteret i en installation af potentielt fjendtligt software i din infrastruktur.
  • Cyberbriefings, der giver den ansvarlige for it-sikkerhed adgang til halvårlige briefings om trends og tendenser inden for cybersikkerhed.
  • En it-hotline, hvor du kan kontakte en sikkerhedskonsulent fra PwC og få rådgivning om et presserende problem eller hjælp til at vurdere, hvordan I bør forholde jer til en konkret problemstilling.
  • ’Incident Response’, hvor vi kommer ud til din virksomhed inden for et aftalt tidsrum, hvis du er udsat for et angreb.
  • En såkaldt penetrationstest, hvor vi laver et målrettet (men venligsindet) angreb på særlige sikkerhedssensitive systemer i din virksomheds infrastruktur.
  • ’SIEM as a Service’, hvor vi – via input fra vores Threat Intelligence Center – kan overvåge din virksomheds logfiler med henblik på at finde afvigelser i netværkstrafikken.

Kontakt

Mads Nørgaard Madsen
Partner, PwC
Tlf: +45 3945 3484
Email

Følg PwC

LinkedIn
Twitter
Facebook
Youtube