Du gör väl inte de här misstagen med säkerheten?

Bilden visar en person som loggar in på en dator

Bristande säkerhet kan ha förödande konsekvenser för företag, i värsta fall så kan man tappa år av arbete och tvingas börja om från början om man saknar säkerhetskopior av sina kritiska system.

Enligt Omid Osman, Managed Services Manager på Jeeves, är säkerhet något som ofta inte får tillräcklig med uppmärksamhet, trots att det borde vara högt upp på agendan för alla bolag. Många är inte medvetna om hur sårbara de är och blir förvånade när vi belyser det. Bristande säkerhet är vanligt och många undrar varför de inte har tagit tag i det tidigare.

- Många företag jag träffar saknar en tydlig säkerhetsstrategi och de har varken tiden eller kunskapen som krävs. Det är också vanligt att man tror att "någon annan" ansvarar för säkerheten, som till exempel drift- eller applikationsleverantören. Detta ökar risken för att hantering av säkerheten för system som exempelvis SQL server eller affärssystemet faller mellan stolarna och glöms bort, förklarar Omid.

Kundens ansvar

Det är kundens ansvar att säkerheten genomförs och efterlevs, och det är viktigt att kunden har kravställt eller skrivit avtal om detta. Jeeves kan ge rekommendationer för att jobba säkert med Jeeves ERP, men det är ändå kunden som är ansvarig för att det genomförs och efterlevs.

Säkerhet behövs i flera lager berättar Omid, från hårdvara till de applikationer som användarna använder, och det är viktigt att man säkerställer att alla anställda har utbildning och verktyg för att följa företagets säkerhetsriktlinjer och rutiner.

- Ett vanligt scenario som är förekommande vid exempelvis en implementering eller uppgradering av ett system är användningen av starka generella konton, så kallade administratorkonton. Dessa konton har oftast väldigt höga rättigheter till olika delar av den tekniska miljön, säger Omid.

Har man det uppsatt som i ovan exempel blir man som företag extremt sårbar. Risken med att lösenordet för dessa konton exponeras i diverse textfiler, konfigurationsfiler eller andra mindre applikationer i klartext ökar.

- Det tar inte många minuter att hitta lösenordet till dessa konton och med hjälp av dem kan en person komma in och manipulera data, skapa nya kunder, skicka fakturor, ta bort eller förstöra data, lägga in skadlig kod och dölja sina spår. Detta ökar risken för bedrägerier och kan inte heller ses som säkert ur ett GDPR perspektiv. Även omedvetna misstag kan lättare uppstå med detta scenario, enligt Omid.

Vad ska man göra i stället?

Det enskilt viktigaste är att applicera en säkerhetsmodell som är beprövad och som man tror på.

- Zero trust modellen kan vara en sådan. Det är en säkerhetsmodell som innebär att inget får förtroende automatiskt och att alla anslutningar, inklusive de som kommer från användare och enheter inom nätverket, måste verifieras och autentiseras. Zero trust-modellen kräver också kontinuerlig övervakning och utvärdering av alla anslutningar och aktiviteter för att hålla säkerheten uppdaterad och skydda mot hot, berättar Omid.

Det är viktigt att ha kontroll över behörigheter och roller för att säkerställa att inget eller ingen kan komma åt saker de inte ska. Om man har arbetat med starka generella konton som har använts under en längre tid, är det klokt att ta hjälp att reda ut behörigheterna. Man kan inte bara ändra lösenordet på det starka kontot eftersom det kan skapa fler problem än det löser tipsar Omid.

Kan vi på Jeeves hjälpa till?

När det kommer till säkerhet i Jeeves ERP kan vi absolut hjälpa till genom att våra teknikkonsulter genomför en säkerhetsanalys av miljön. Baserat på den analysen tar vi fram rekommendationer för ändringar i Jeeves ERP, SQL server och den övriga infrastrukturen.

En tydlig säkerhetsstrategi är ett viktigt steg för att säkerställa att företaget är skyddat mot potentiella hot och sårbarheter. Man bör ställa sig följande frågor när man utvecklar sin strategi:

  • Hur hanterar vi säkerheten i vår miljö?
  • Vad eller vem har tillgång till våra kritiska system?
  • Hur säkerställer vi att säkerheten efterlevs? Vilka kontroller gör vi?
  • Hur ska vår plan för kontinuerlig revison av säkerheten se ut?

Genom att besvara dessa frågor och ta fram en tydlig strategi för säkerhet, kan företaget ta kontroll över sina sårbarheter och säkerställa att de har en robust och kontinuerligt uppdaterad säkerhetsplan.

Vad får man om man gör allt det här?

Sammantaget är bristande säkerhet ett allvarligt problem som kan ha förödande konsekvenser för företag. Det är viktigt att ha en tydlig säkerhetsstrategi och att alla anställda har utbildning och verktyg för att följa rutiner.

Framför allt köper du dig sinnesro när du vet att ni har bättre kontroll över er säkerhet. En av de största fördelarna är att du får spårbarhet i dina system, vilket gör det lättare att felsöka om något går fel, och du ser vem som gjort vad. Du minskar även risken för bedrägerier eller oavsiktliga felaktiga handlingar i dina system, enligt Omid.

Med en definierad säkerhetsstrategi blir det tydligt för alla hur ni jobbar med säkerhet och det är även ett användbart dokument att visa upp för till exempel revisorer eller kunder, avslutar Omid.

Tycker du att det här låter krångligt kan du alltid välja att lägga över ditt affärssystem i molnet, då får du säkerheten och säkerhetsstrategin på köpet! Läs mer om det här: Hur flyttar man sitt Jeeves ERP till molnet? | Jeeves ERP

Några som önskade att de hade haft en tydligare säkerhetsstrategi är det här bolaget där 90 fakturor till ett värde av 30 miljoner under några få veckor under sommaren gick i väg till ett bluffbolag, läs den här Skulle ditt företag betala 90 falska fakturor? | Jeeves ERP

Behöver du hjälp? Tveka inte att höra av dig!