Artikkel 9: Fra innsikt til tiltak – fra sårbarhetsjekk til løpende IT-sikkerhet

Gjennom denne artikkelserien har IT-sikkerhet blitt belyst fra flere vinkler: trusselbildet, helheten, de viktigste tekniske områdene og ledelsens ansvar. For mange virksomheter oppstår da et naturlig spørsmål:

Hvordan omsettes denne innsikten til konkrete og riktige tiltak i praksis?

God IT-sikkerhet starter ikke med å velge løsninger, men med å forstå egen situasjon.

Start med oversikt – Sårbarhetsjekken

For de fleste virksomheter er det krevende å vite hvor man faktisk står innen IT-sikkerhet. Enkelte tiltak kan være på plass, mens andre mangler helt – uten at dette nødvendigvis er synlig i det daglige.

En sårbarhetsjekk gir en strukturert gjennomgang av dagens sikkerhetsstatus, og tar blant annet for seg:

• brukere og tilgangsstyring
• e-post og Microsoft 365
• nettverk og tilkobling
• PC-er, servere og oppdateringsnivå
• grunnleggende beredskap og rutiner

Formålet er ikke å peke på feil, men å gi et realistisk bilde av:

• hvor risikoen er størst
• hva som fungerer godt i dag
• hvilke områder som bør prioriteres først

Med dette som utgangspunkt blir det langt enklere å ta riktige valg videre.

To nivåer i arbeidet med IT-sikkerhet

Når virksomheten har fått oversikt, kan sikkerhetsarbeidet deles inn i to hovednivåer som utfyller hverandre:

1. Målrettede sikkerhetstiltak
2. Kontinuerlig oppfølging og helhetlig drift

Disse nivåene dekker ulike behov, men gir størst effekt når de kombineres.

On-Guard – målrettede sikkerhetstiltak

On-Guard er en portefølje av konkrete sikkerhetstjenester som retter seg mot spesifikke risikoområder. Tjenestene kan benyttes enkeltvis, og prioriteres basert på funnene fra sårbarhetsjekken.

Eksempler på områder som dekkes av On-Guard:

• E-post og brukere – beskyttelse mot phishing, svindel og misbruk av kontoer
• Backup av Microsoft 365 – sikring av e-post, filer og data i skyen
• Beskyttelse av domenenavn – redusert risiko for e-postsvindel og identitetsmisbruk
• Endepunkter – beskyttelse av PC-er og servere mot skadevare og uønsket aktivitet

On-Guard gjør det mulig å styrke sikkerheten der behovet er størst, uten å gjøre mer enn nødvendig.

SIKKER – kontinuerlig oppfølging og helhet

Mens On-Guard fokuserer på enkeltområder, er SIKKER en portefølje av tjenester som handler om helhetlig oppfølging over tid.

SIKKER-tjenestene er utviklet for virksomheter som ønsker at IT-sikkerheten:

• settes opp etter beste praksis
• følges opp kontinuerlig
• vurderes og justeres i takt med endrede behov

Eksempler på tjenester i SIKKER-porteføljen:

• SIKKER MS365 – løpende oppfølging av sikkerhet og konfigurasjon i Microsoft 365
• SIKKER Nettverk – overvåkning og vedlikehold av nettverk og brannmur
• SIKKER Maskin – oppfølging av PC-er, servere, oppdateringer og sikkerhetsstatus

SIKKER erstatter ikke målrettede tiltak, men sørger for at sikkerheten faktisk fungerer i praksis – over tid.

Fra innsikt til en håndterbar hverdag

For mange virksomheter blir IT-sikkerhet først håndterbart når:

• man har oversikt over egen sikkerhetsstatus
• tiltak prioriteres i riktig rekkefølge
• ansvar og oppfølging er tydelig definert

Sårbarhetsjekken gir beslutningsgrunnlaget.
On-Guard gir målrettede forbedringer.
SIKKER sørger for kontinuitet og helhet.

Avslutning

God IT-sikkerhet handler ikke om å gjøre alt på én gang, men om å ta bevisste valg basert på egen situasjon. Med riktig oversikt og struktur kan virksomheter bygge en tryggere digital hverdag – steg for steg.

Denne artikkelen avslutter artikkelserien «IT-sikkerhet gjort forståelig for bedrifter», og viser hvordan innsikt kan omsettes til konkrete og prioriterte tiltak.