De 5 vigtigste metoder til at mindske risikoen for en Intern IT Sikkerhedstrussel

Der er et (berettiget) stort fokus på IT Sikkerhedstrusler som har deres oprindelse uden for

organisationen – som fx hacker angreb forårsaget at et enkelt klik på en phishing e-mail –

men i denne debat glemmer vi ofte risikoen fra trusler, som opstår internt i organisationen.

 

Ifølge standard kilder(2) så opstår 90% af alle sikkerhedsbrister internt, hvoraf 71% er forårsaget

af ubevidste handlinger (”sløseri”) mens 29% er bevidste handlinger forårsaget af organisationens

egne medarbejdere. Dette tal er alarmerende højt og derfor er det meget vigtigt at der i

organisationens IT Sikkerheds tiltag tages højde for denne type af trussel.

 

For effektivt at kunne håndtere og mindske risikoen for Internt forårsagede IT Sikkerhedstrusler er

det nødvendigt med en plan. ”Best Practice” for denne  plan er følgende:

 

1 - BEGRÆNSNING: Hold øje med risikobetonet opførsel

  1.     Uddan og advar brugerne når deres handlinger strider mod IT sikkerhedspolitikken
  2.     Begræns adgangen til sensitive informationer og værdier baseret på roller
    (Fokus på CIS(3) 20 Critical Security Controls “CSC#5 Controlled Use of Admin Privileges”
    og “CSC#13 Data Protection”, “CSC#14 Controlled Access based on the need to know”
    og “CSC#16 Account Monitoring and Control”)

 

2 - MEDARBEJDERE: Kend dine medarbejdere

  1.     Spot problemer med enkelte medarbejdere ved kontrol af personlige data
  2.    Evaluer personlige data med bestemte mellemrum indenfor lovens rammer – fx en gang om året
  3.     Sørg for at medarbejdere og leverandører har læst og forstået organisationens IT Sikkerhedspolitik

 

3 – VÆRDIER(4): Identificer organisationens mest betydningsfulde værdier

  1.     Vær bevidst om organisationens mest betydningsfulde værdier og værn om dem. Dette
    betyder at du skal kortlægge hvor de er og hvem der har samt bruger adgangen til dem
  2.    Hvilken betydning vil det få hvis disse værdier uberettiget bliver viderebragt til 3rdie part

 

4 - Overvåg: Dokumenter adgang til værdierne

  1.    Overvåg og alarmer / dokumenter medarbejdere som bryder organisationens IT Sikkerhedspolitik
  2.       Overvåg og alarmer / dokumenter medarbejdere som misbruger data eller services
    (Fokus på CIS 20 Critical Security Controls ”CSC#5 Controlled use of Administrative Privileges”)
  3.       Undersøg risikobetonet adfærd
    (Fokus på CIS 20 Critical Security Controls “CSC#6 Maintenance, monitoring and Analysis of Audit Logs”)

 

For aktivt at kunne nedbringe risikoen for en intern trussel samt at kunne opdage en evt. trussel hurtigere

forslår vi at organisationen som minimum gennemfører planer for følgende punkter:

 

IT Sikkerhedspolitik

Organisationen skal have en IT Sikkerhedspolitik som er formuleret i nemt forståelig tekst og som alle

medarbejdere og leverandører skal ”bevise” at de har læst og forstået før de får adgang til organisations

IT systemer. Denne politik skal med jævne mellemrum (mindst 1 gang om året) revideres og påføres det

nye revisionsnummer. Dokumentationen skal være godkendt af medarbejdere med relevante roller så som

organisations ledelse, IT ansvarlige og HR.

 

Brugerawareness

For at sikre en målbar forbedring af forståelsen IT sikkerhedstrusler og organisationens IT Sikkerhedspolitik

skal der indføres et bruger awareness træning system som sikrer kontinuerlig uddannelse af alle brugerne. Det

foreslås i CIS 20 CSC#5 at alle brugerkonti timer ud én gang om året og at det kun er muligt at få kontoen

reaktiveret når brugeren via awareness træningsprogrammet har demonstreret forståelse og accept af
organisationens IT Sikkerhedspolitik.

Vi foreslår at kigge nærmere på Wombat Security: https://www.draware.dk/produkter/wombat-security  (CSC#17)

 

Data Management

Det er umuligt at beskytte sensitive data ordentligt hvis man ikke har kortlagt hvor de er, hvor kritisk de er,

hvem der har adgang til data og hvem der bruger denne adgang. Det er derfor meget vigtigt at der:

  •        Udføres et stykke ”detektiv arbejde” for at kortlægge data, dataveje og dataejere
  •        Indføres en streng kontrol med adgang til data (CSC#14)
  •        En overvågning af brugen af denne adgang for hurtig indgriben ved data exfiltration (CSC#5 + CSC#13)
  •        Denne kontrol er særlig vigtig i forbindelse med databaskyttelsesforordningen og muligheden for at
    kunne dokumentere (Notifikationspligten) hvis en sikkerhedsbrist finder sted.

 

Overvågning af brugeradfærd

Selvom de fleste brugere følger organisationens IT Sikkerhedspolitik (bevidst eller ubevidst afhængigt af om de

kender den!) så vil der i enhver organisation være medarbejdere med (bevidst eller ubevidst) risikobetonet adfærd.

Det er af afgørende betydning af overvåge hvilke medarbejder som har denne risikobetonede adfærd og som

derfor formodentligt vil være de første der forårsager en IT sikkerhedsbrist. Blandt risikobetonede adfærdsmønstre
kan nævnes:

  •        Download af uautoriseret materiale fra Internettet
  •        Besøg på uautoriserede hjemmesider
  •        Flittig brug af USB
  •        Medarbejdere der ikke har bevist at de har forstået og vil følge organisationens IT Sikkerhedspolitik
  •        Medarbejdere med utilstrækkelig brugerawareness- fx forholdsregler hvad angår IT sikkerhed på rejse og
    medarbejdere som medbringer organisationens endpoints (fx en laptop) udenfor organisations)

Vi foreslår at kigge nærmere på EventTracker Security Center (SIEM): https://www.draware.dk/produkter/eventtracker/security-center  (CSC #6)

Husk i den forbindelse at organisationen kan nå langt for at begrænse skadevirkningerne af ubevidst risikobetonet

adfærd hos brugerne ved at fjerne lokale admin rettigheder og begrænse brugernes kontakt med Internet baserede

trusler gennem filtre og korrekt opsætning af browsere.

 

Beredskabsplan (Incident Response Team og PLAN)

Når skaden (IT sikkerhedsbrist som fører til tab af (person)følsomme data) alligevel sker er det afgørende at kunne

reagere hurtigt og korrekt. Derfor er der brug for en CSIRP der fungerer som en ”kogebog” for håndtering af

IT Sikkerhedsbrister. Dette er IKKE en beredskabsplan (som typisk forklarer hvad organisationen skal gøre når der

kommer vand i serverrummet eller lignende). Udarbejdelse af CSIRT og CSIRP kan du få hjælp til hos Draware og

der findes rigtigt god information på www.sans.org. Dette punkt er dækket af CIS 20 CSC#19

 

Hvis du ikke ved hvordan organisationen griber ovenstående praktisk an og måske heller ikke ved hvor langt

organisationen allerede er i denne proces foreslår vi at du får Draware’ hjælp til at udføre en GAP analyse baseret på

Center for Internet Security 20 Critical Security Controls. Så gerne mere på videoen: https://www.youtube.com/watch?v=2RTrOyZiZFk

 

(1): Eng: ”Insider Threats”

(2): www.observeit.com (”Insider Threat program – Your 90-day plan”)

(3): CIS er Center for Internet Security som er organisationen der er ansvarlig for den 20 Critical Security Controls.

(4): Eng: ”Assets”

Se mere på www.cisecurity.org

COM_EASYBLOG_PREV_RECIPE
COM_EASYBLOG_NEXT_RECIPE