Af Eskil Sørensen, 01/06/21
DKCERTs seneste anbefalinger om informationssikkerhed til it-ansvarlige på uddannelses- og forskningsinstitutioner ser således ud.
DKCERT udsender hvert år en Trendrapport om sikkerhedsåret og med nye anbefalinger til universiteterne.
Rapporten sammenfatter sikkerhedshændelser, scanninger af forskningsnettet og de øvrige aktiviteter som DKCERT har været engageret i vedrørende informationssikkerheden på det danske forskningsnet.
Materialet sættes i perspektiv med information og data fra eksterne sikkerhedsfirmaer og eksterne skribenter.
Informationerne samles i en række anbefalinger til henholdsvis ledelsen og til de it-ansvarlige på uddannelses- og forskningsinstitutioner.
Her er anbefalingerne til de it-ansvarlige:
DKCERT anbefaler, at institutionens informationssikkerhedsansvarlige sammen med ledelsen og repræ-sentanter for forretningen udarbejder en risikovurdering som grundlag for alle sikkerhedstiltag. En risi-kobaseret tilgang er et krav både i ISO 27001 og i GDPR. En risikovurdering kan med fordel udarbejdes ud fra anbefalingerne i ISO 27005 eller et rammeværk som fx Octave Allegro.
- Opfordr ledelsen til at være aktiv i informationssikkerhedsarbejdet.
- Ajourfør og vedligehold informationssikkerhedspolitikken med faste mellemrum.
- Ved implementering af nye systemer skal du overveje brugen af persondata og beskyttelse af disse. Vær opmærksom på princippet om dataminimering jf. GDPR.
- Hav fokus på sikkerheden ved udvikling af applikationer og tjenester samt tilretninger af eksiste-rende systemer, eksempelvis med udgangspunkt i principperne om security og privacy by design.
- Tænk sikkerhed ind i relationen til leverandører og samarbejdspartnere.
- Hold brugernes enheder opdateret. Overvej, hvordan det kan sikres, at brugernes egne enheder er opdateret og sikre, når de anvender dem til arbejds- eller studieformål.
- Effektiviser og vedligehold patch management – eventuelt ud fra principperne i ITIL.
- Hav fokus på sikkerheden i institutionens webapplikationer.
- Begræns brugernes privilegier, fx ved at fjerne lokal administrator i Windows.
- Etabler whitelisting af tilladte applikationer.
- Klassificer data for at identificere kritiske data.
- Begræns adgangen til kritiske data og beskyt dem eventuelt med kryptering.
- Tag sikkerhedskopi af alle data, der skal beskyttes. Kontroller, at sikkerhedskopier kan indlæses, og husk at slette kopierne i henhold til din backup-politik.
- Indfør tiltag mod misbrug via gæstenetværk.
- Anvend single sign-on suppleret med to-faktor-autentifikation.
- Tilbyd en passwordmanager til brugerne.
- Undervis brugerne i sikkerhedsrisici og forholdsregler