Du gjør vel ikke disse feilene med sikkerheten?
Mangel på sikkerhet kan få ødeleggende konsekvenser for bedrifter, i verste fall kan du miste år med arbeid og bli tvunget til å starte fra bunnen av dersom du ikke har sikkerhetskopier av dine kritiske systemer.
Ifølge Omid Osman, Managed Services Manager i Jeeves, er sikkerhet noe som ofte ikke får nok oppmerksomhet, selv om det burde stå høyt på agendaen for alle selskaper. Mange er ikke klar over hvor sårbare de er og blir overrasket når vi fremhever det. Mangel på sikkerhet er vanlig og mange lurer på hvorfor de ikke har fanget det opp tidligere.
- Mange selskaper jeg møter mangler en klar sikkerhetsstrategi og de har verken tid eller kunnskap som kreves. Det er også vanlig å tenke at “noen andre” er ansvarlig for sikkerheten, for eksempel drifts- eller applikasjonsleverandøren. Dette øker risikoen for at styring av sikkerheten til systemer som SQL-server eller forretningssystemet faller gjennom sprekkene og blir glemt, forklarer Omid.
Kundens ansvar
Det er kundens ansvar at sikkerheten iverksettes og overholdes, og det er viktig at kunden har stilt krav eller skrevet avtale om dette. Jeeves kan gi anbefalinger for å arbeide trygt med Jeeves ERP, men det er fortsatt kunden som er ansvarlig for implementeringen og overholdelse. Sikkerhet er nødvendig i flere lag, sier Omid, fra maskinvare til applikasjonene brukerne bruker, og det er viktig å sørge for at alle ansatte har opplæring og verktøy for å følge selskapets sikkerhetsretningslinjer og prosedyrer. - Et vanlig scenario som oppstår ved for eksempel implementering eller oppgradering av et system er bruk av sterke generelle kontoer, såkalte administratorkontoer. Disse kontoene har vanligvis svært høye rettigheter i forhold til ulike deler av det tekniske miljøet, sier Omid. Har du et oppsett som i eksempelet ovenfor, er du som bedrift ekstremt sårbar. Risikoen for at passordet til disse kontoene blir eksponert i ulike tekstfiler, konfigurasjonsfiler eller andre små applikasjoner i klartekst øker. Det tar ikke mange minuttene å finne passordet til disse kontoene, og med deres hjelp kan en person komme inn og manipulere data, opprette nye kunder, sende fakturaer, slette eller ødelegge data, sette inn ondsinnet kode og dekke sporene sine. Dette øker risikoen for svindel og kan heller ikke ses på som trygt fra et GDPR-perspektiv. Selv ubevisste feil kan lettere oppstå med dette scenariet, ifølge Omid.
Så hva skal man gjøre i stedet?
Det viktigste er å bruke en sikkerhetsmodell som er velprøvd og pålitelig.
- Zero trust-modellen kan være en slik. Det er en sikkerhetsmodell som betyr at ingenting automatisk er klarert og alle tilkoblinger, inkludert de fra brukere og enheter i nettverket, må verifiseres og autentiseres. Nulltillitsmodellen krever også kontinuerlig overvåking og evaluering av alle forbindelser og aktiviteter for å holde sikkerheten oppdatert og beskytte mot trusler, sier Omid.
Det er viktig å ha kontroll over tillatelser og roller for å sikre at ingenting eller ingen kan få tilgang til ting de ikke burde. Hvis du har jobbet med sterke generelle kontoer som har vært i bruk lenge, er det lurt å søke hjelp til å sortere ut tillatelsene. Du kan ikke bare endre passordet på den sterke kontoen fordi det kan skape flere problemer enn det løser, råder Omid.
Kan vi hos Jeeves bistå med noe?
Når det kommer til sikkerhet i Jeeves ERP, kan vi absolutt hjelpe ved å la våre tekniske konsulenter utføre en sikkerhetsanalyse av miljøet. Basert på den analysen gir vi anbefalinger for endringer i Jeeves ERP, SQL-server og den øvrige infrastrukturen. En tydelig sikkerhetsstrategi er et viktig skritt for å sikre at selskapet er beskyttet mot potensielle trusler og sårbarheter. Du bør stille deg selv følgende spørsmål når du utvikler strategien din:
- Hvordan håndterer vi sikkerheten i miljøet vårt?
- Hva eller hvem har tilgang til våre kritiske systemer?
- Hvordan sikrer vi at sikkerheten etterleves? Hvilke kontroller gjør vi?
- Hvordan skal vår kontinuerlige plan for sikkerhetsrevisjon se ut?
Ved å svare på disse spørsmålene og utvikle en klar strategi for sikkerhet, kan selskapet ta kontroll over sårbarhetene sine og sikre at det har en robust og kontinuerlig oppdatert sikkerhetsplan.
Hva får man hvis man gjør alt dette?
Samlet sett er mangel på sikkerhet et alvorlig problem som kan få ødeleggende konsekvenser for virksomheter. Det er viktig med en klar sikkerhetsstrategi og at alle ansatte har opplæring og verktøy for å følge prosedyrer. Fremfor alt kjøper du deg trygghet når du vet at du har bedre kontroll over sikkerheten din. En av de største fordelene er at du får sporbarhet i systemene dine, noe som gjør det lettere å feilsøke hvis noe går galt, og du ser hvem som har gjort hva. Du reduserer også risikoen for svindel eller utilsiktet feilhandling i systemene dine, ifølge Omid. Med en definert sikkerhetsstrategi blir det tydelig for alle hvordan man jobber med sikkerhet og det er også et nyttig dokument å vise frem til for eksempel revisorer eller kunder, avslutter Omid.