Her er DKCERTs 17 anbefalinger til de it-ansvarlige

Af Nicolai Devantier, 24/05/19

DKCERTs seneste anbefalinger om informationssikkerhed til it-ansvarlige på uddannelses- og forskningsinstitutioner ser således ud.

DKCERT udsender hvert år en Trendrapport om sikkerhedsåret og med nye anbefalinger til universiteterne.

Rapporten sammenfatter sikkerhedshændelser, scanninger af forskningsnettet og de øvrige aktiviteter som DKCERT har været engageret i vedrørende informationssikkerheden på det danske forskningsnet.

Materialet sættes i perspektiv med information og data fra eksterne sikkerhedsfirmaer og eksterne skribenter.

Informationerne samles i en række anbefalinger til henholdsvis ledelsen og til de it-ansvarlige på uddannelses- og forskningsinstitutioner.

Her er anbefalingerne til de it-ansvarlige:

DKCERT anbefaler, at institutionens informationssikkerhedsansvarlige sammen med ledelsen og repræsentanter for forretningen udarbejder en risikovurdering som grundlag for alle sikkerhedstiltag.

En risikobaseret tilgang er et krav både i ISO 27001 og i GDPR. En risikovurdering kan med fordel udarbejdes ud fra anbefalingerne i ISO 27005 eller et rammeværk som fx Octave Allegro.

  • Forlang ledelsens aktive involvering i informationssikkerhedsarbejdet.
  • Ajourfør og vedligehold informationssikkerhedspolitikken med faste mellemrum.
  • Ved implementering af nye systemer skal du overveje brugen af persondata og beskyttelse af dem.
  • Hav fokus på sikkerheden ved udvikling af applikationer og tjenester samt tilretninger af eksisterende systemer.
  • Tænk sikkerhed ind i relationen til leverandører og samarbejdspartnere.
  • Hold brugernes enheder opdateret. Overvej, hvordan det kan sikres, at brugernes egne enheder er opdateret, når de anvender dem til arbejds- eller studieformål.
  • Effektiviser patch management – eventuelt ud fra principperne i ITIL.
  • Hav øget fokus på sikkerheden i institutionens webapplikationer.
  • Begræns brugernes privilegier, fx ved at fjerne lokal administrator i Windows.
  • Indfør whitelisting af de applikationer, brugerne må køre.
  • Klassificer data for at identificere kritiske data.
  • Begræns adgangen til kritiske data og beskyt dem eventuelt med kryptering.
  • Tag sikkerhedskopi af alle data, der skal beskyttes. Kontroller, at sikkerhedskopier kan indlæses. Husk at slette kopierne i henhold til din backup-politik – tænk her også på kravene i databeskyttelsesforordningen.
  • Indfør tiltag mod misbrug via gæstenetværk.
  • Anvend single sign-on suppleret med to-faktor-autentifikation.
  • Tilbyd en password manager til brugerne.
  • Undervis brugerne i sikkerhedsrisici og forholdsregler.

Links:

Keywords: 
Trendrapport
anbefalinger