Sikkerhetsrulett: hvordan prioriterer du pengene for best mulig sikkerhet?

/post - Offentliggjort:

De fleste bedrifter har begrenset ressurser til å bruke på cybersikkerhet. Enten du har ti tusen eller ti millioner kroner til rådighet, må du prioritere hva du skal bruke pengene på. Ser vi på NSM's grunnprinsipper, kan vi dele god sikringspraksis i 4 kategorier:

  1. Identifisere og kartlegge
  2. Beskytte og opprettholde
  3. Oppdage
  4. Håndtere og gjenopprette

Det er lett å tenke at vi må sette alle pengene på nummer 2 her, men vi vet jo at det ikke vil fungere særlig godt. Vi trenger litt innsats for å holde oversikt over hva vi har av digitale verdier, og hvor viktige de er for virksomheten vi driver.

Identifisere og kartlegge (20%)

Dette krever en kombinasjon av menneskelig aktivitet og teknologi. Vi må selv finne ut hvilke prosesser vi styrer etter, hva som er målene våre, hvilke risikoer vi er utsatt for, og hvilke regelverkskrav vi må følge. Alt dette danner grunnlaget for beslutninger om teknologi og bruk, og er en forutsetning. I tillegg må vi ha oversikt over maskinvare, programvare og brukerkontoer - inkludert hvilke tilganger som behøves.

Men hvor mye penger skal vi sette på slike aktiviteter? La oss si at vi stter 20% av det totale budsjettet på denne posten.

Beskytte og opprettholde (30%)

Mange virksomheter satser hardt på denne, men om du har nedprioritertert nummer 1 vet du jo ikke hva du skal beskytte og hvorfor! Likevel er det jo ikke til å komme fra at om vi ønsker å unngå å bli hacket, må vi sette inn en del innsats her. Hvis vi igjen ser til de gode rådene fra NSM, er det ti underpunkter vi må fokusere på for å beskytte oss godt:

  • Ivareta sikkerhet i anskaffelser
  • Etabler en sikker arkitektur
  • Ivareta en sikker konfigurasjon
  • Beskytt virksomhetens nettverk
  • Kontroller dataflyt
  • Ha kontroll på identiteter og tilganger
  • Beskytt data i ro og transitt
  • Beskytt e-post og nettleser
  • Etabler evne til gjenoppretting av data
  • Integrer sikkerhet i prosess for endringshåndtering

Som vi ser, er det også her en blanding av tekniske og prosesstiltak. Hvor mye av dette som er viktig for virksomheten, avhenger av hvordan du bruker teknologi. Dersom dere er et lite firma hvor alle bruker sine egne maskiner og alle bedriftsdata ligger i en skyløsning som Google Workplace eller Office 365 er det flere av punktene som ikke treffer helt, men hvis du drifter et typisk IKT-system i en stor organisasjon er alle viktige. Også her vil punkt 1 hjelpe for å prioritere hva man legger innsatsen på.

I denne kategorien ligger mye av de daglige aktivitetene som må til for å holde systemet sikkert og funksjonelt. Her kan det være mye å hente på automatisering og bruk av datasystemer som støtter prosessene.

La oss si vi setter 30% av budsjettet på denne kategorien.

Oppdage (25%)

Du vil bli angrepet. Dersom du ikke oppdager det, blir dette dyrt og vondt. Derfor er det vel verdt å ligge litt innsats i å kunne oppdage at man blir angrepet. I denne kategorien finnes det et mylder av teknologier man kan kjøpe, ofte til en veldig stiv pris. Det er ikke gitt at det mest fornuftige er å bruke mest mulig penger på å kjøpe teknologi og tjenester. Om vi ser på hvordan NSM bryter ned denne kategorien, er det 4 underkategorier:

  • Oppdag og fjern kjente sårbarheter og trusler
  • Etabler sikkerhetsovervåkning
  • Analyser data fra sikkerhetsovervåkning
  • Gjennomfør penetrasjonstesting

Det å oppdage og fikse sårbarheter er åpenbart en kritisk aktivitet. Det finnes mange måter å oppdage dette på, men de to vanligste er:

  1. Motta beskjed om oppdateringer i programvare man bruker fra utgiveren og installer oppdateringene automatisk eller manuelt
  2. Bruk en skanner eller agenter på maskinene til å oppdage sårbar programvare

Hvis du bruker en komnbinasjon av disse metodene, og samtidig har en automatisert metode for å holde inventarlisten for programvare oppdatert, har du kommet langt. Dette er det verdt å sette inn litt penger på å få til.

Sikkerhetsovervåkning er viktig for å kunne oppdage angrep. Et minstemål må være å ha et sentralisert styrt system for endepunktsbeskyttelse. I tillegg bør man samle inn viktige logger og analysere disse for tegn på kjente angrep eller unormale hendelser i systemene. Her er spennet i kvalitet og nøyaktighet på denne aktiviteten stort, og kostnadene likeså. En del av utgiftene her vil typisk komme fra lisenser til teknologi eller innkjøpte tjenester.

Penetrasjonstesting kan hjelpe deg å finne konfigurasjonsfeil, eller hull i oppsettet for deteksjon. Om du skal inkludere penetrasjonstesting i strategien for å oppdage sikkerhetshull er kanskje mest avhengig av hvor langt du er kommet med systematisk tilnærming for oppdateringer og evne til å oppdage angrep, men dersom dette er på plass er penetrasjonstester et veldig nyttig verktøy for forbedring.

Vi legge ganske stor innsats i å oppdage sårbarheter, trusler og angrep. Derfor foreslår vi at 25% av sikkerhetsbudsjettet legges inn her.

Håndtere og gjenopprette (25%)

Nå står det igjen 25% av budsjettet vårt, til å sette på håndtering og gjenoppretting. Vi har spart igjen såpass, fordi beredskap for å håndtere angrep og hendelser er viktig, og koster. Alle kan bli hacket, men det er de som er klare til å håndtere det som kommer fra det uten varig mén. Eller å gå konkurs. Nøkkelaktiviteter i kategorien er:

  • Bygg beredskap for hendelseshåndtering
  • Vurder og klassifiser hendelser
  • Kontroller og håndter hendelser
  • Evaluer og lær av hendelser

Her tenker jeg at de siste 3 underpunktene hører hjemme i planen for hendelseshåndtering, men om vi tenker gjennom hva som skal til for å ha grei beredskap her, kan vi liste noen mer praktiske ting:

  • Lag en plan for håndtering
  • Ha personell tilgjengelig med riktig kompetanse
  • Ha teknologi tilgjengelig for å hente ut digitale bevis
  • Gjennomfør jevnlig øvinger

Vi foreslår å sette 25% av budsjettet på dette. Dette inkluderer ikke kostnadene av selve hendelsene, men av aktivitetene og investeringene som må til for å kunne håndtere dem.

Praktisk budsjett for en liten bedrift med 50.000 kroner til rådighet

Antakelser: bedriften bruker M365 Business Premium, som inkluderer Defender for Endpoint og InTune. Vi regner en kostpris på 500 kroner per time for egenarbeid.

Fase Aktiviteter Direkte kostnader Årlig kostnad
Identifisere og kartlegge
  • Karlegge enheter og programvare - sjekk kvartalsvis (2 timer per år)
  • Gjennomføre risikovurdering (16 timer per år)
  • Kvartalsvis gjennomgang av brukerkontoer (2 timer per år)

Totalt 40 timer per år

Ingen. 10 000 kr.
Beskytte og opprettholde
  • Vedlikehold en liste med sikkerhetsvurderinger for leverandører. (6 timer per år)
  • Beskytt e-post (dekt av M365-lisensene - inkludert)
  • Sikkerhet ved endringer: innføre prosess og lære opp, 8 timer.
  • Administrere sikkerhetskopiering (6 timer årlig)
Brannmur - 2500 kr. Sikkerhetskopiering - servere - 2500 kr/år. 15000 kr.
Oppdage
  • Sårbarheter: månedlig gjennomgang (5 timer)
  • Vurdering av varsel fra antivirus og logger - ukentlig (20 timer)
Ingen. 12.500 kroner.
Håndgere og gjenopprette
  • Opprette og øve responsplan (10 timer)
  • Teste gjenopretting fra sikkerhetskopi (2 timer)
  • Ekstern disk for lagring av bevis (2500)
  • Abonnement på alternativ skytjeneste for å opprettholde evne til å drifte virksomheten (4000)
12500 kr.