Sikker nok?

Sikker nok

 

Er din virksomhed sikker nok?

Har I kendskab til, hvad der er det svageste led i jeres virksomhed?

En kæde er aldrig stærkere end det svageste led. Dette gælder også indenfor it-sikkerhed.

Er din virksomhed sikker nok?

Analyser viser, at det er alle typer ansatte, der begår sikkerhedsbrud. Lige fra maskinarbejderen og salgschefen til direktøren og sekretæren. Sikker-hedsbruddene spænder fra brud på fortroligheden, når en medarbejder opnår uretmæssig adgang til viden, som ikke er nødvendig for at udføre sit arbejde, til tyveri af data, når en medarbejder tager kopi af virksomhedsdata.

For at højne sikkerheden kan virksomheder med fordel udarbejde it-sikkerhedspolitikker. It-sikkerheds-politikkerne definerer de organisatoriske rammer og fastlæggelsen af niveauet for virksomhedens it-sikkerhed. På den måde kan virksomheden formelt tilkendegive overfor ansatte og andre, at virksomhedens it er under-kastet standarder og retningslinjer, som skal følges.

Mange virksomheder er ikke tilstrækkeligt opmærksomme på niveauet for it-risici og it-sikkerhed. Dette sætter vi fokus på i denne pjece med 10 gode råd.

Mange virksomheder mangler samspil mellem it-driften, it-sikkerheden og virksomhedens strategi. Dette giver sig udslag i, at ledelsen ikke har overblik over de relevante it-risici, som er gældende for virksomheden, ligesom der ofte ikke er etableret fornøden funktionsadskillelse mellem initierende, udførende og kontrollerende enheder.

Virksomhedernes medarbejdere anvender i stigende grad ny teknologi, såsom mobile enheder, der indeholder mulighed for at tage erhvervsmæssig korrespondance og data med ud af virksomheden.

Samtidig har mange medarbejdere ofte fået tildelt for omfattende rettigheder i forhold til deres arbejdsbetingede behov. Disse medarbejdere udgør en potentiel trussel for virksomheden. Mange er ikke klar over, at en af de største trusler mod sikkerheden i dag, er virksomhedens egne medarbejdere. Ofte skyldes dette medarbejdernes uvidenhed omkring sikker it-adfærd. Det er derfor vigtigt at informere medarbejderne og lade mindst muligt være op til tilfældighederne.

10 gode råd om it-sikkerhed

  1. Udarbejd løbende it-risikoanalyser til identificering af sårbarheder og risici.
  2. Udarbejd forståelige og anvendelige it-sikkerhedspolitikker, som medarbejderne har kendskab til.
  3. Etabler funktionsadskillelse både organisatorisk og system-mæssigt. Opret brugerne med unikke bruger-id og tildel kun rettigheder efter behov. Foretag ændringer af eventuelle standardbrugere og fjern unødvendige rettigheder.
  4. Sørg for skriftlige aftaler med leverandører og definer parternes roller, ansvar og krav om dokumentation.
  5. Foretag løbende opdatering af væsentlige systemer og software. Test af software og opdateringer bør skei testmiljøet inden de flyttes til driftsmiljøet.
  6. Password skal være af god kvalitet. Dvs. at det skal ændres regelmæssigt, bestå af minimum 8 karakterer samt bestå af bogstaver, tal og specialtegn. Samtidig skal der være faste og formelle procedurer for oprettelse, nedlæggelse og ændring af brugernes rettigheder.
  7. Opbevaring af servere skal ske i dedikerede serverrum, hvortil kun autoriserede personer med arbejdsmæssigt behov har adgang. Serverrummet skal være behørigt beskyttet og sikret kontinuerlig drift ved anvendelse af:nødstrømsanlæg, klimaanlæg og brandalarm.
  8. Ved anvendelse af mobile enheder skal kommunikationen og eventuelle data være krypteret.
  9. Der skal løbende og regelmæssigt foretages sikkerheds- kopiering i flere generationer. Med jævne mellemrum skal der ske test af kvaliteten af sikkerhedskopieringen.
  10. Anvend firewall, antivirus og spam-filter, som forhindrer, at skadelig kode eller uønskede mails når frem til medarbejderne. Log netværkstrafikken og gennemgå den regelmæssigt til identifikation af afvigelser.

Hvem er vi, og hvad kan vi?

Vi er en specialafdeling med fokus på it-revision og it-sikkerhed. Vi anvender anerkendte koncepter, der tager udgangspunkt i vurderingen af risiko og væsentlighed.

Vores rapportering er beslutnings-orienteret, konstruktiv og værdiska-bende med fokus på virksomhedens konkrete behov. Som specialister indgår vi som en del af revisions-teamet hos vores kunder, da vi har erfaring fra finansiel revision samt indgående tekniske kompetencer.

Vi er i et konstant uddannelsesforløb og gennem vidensdeling med Grant Thorntons internationale netværk sikrer og udvikler vi til stadighed vores kompetencer.

Vi deltager gerne i et uforpligtende møde for at drøfte din virksomheds konkrete behov eller læs mere på www.grantthornton.dk

Er din virksomhed sikker nok? Med denne folder får du gode råd til at it-sikre din virksomhed:

 Sikker nok?

 

IT-Revision & Risikostyring udfører revision og rådgivning indenfor områder relateret til virksomhedens it-anvendelse.
 

Indenfor it-revision udfører vi traditionelle ydelser såsom revision af:Indenfor it-rådgivning kan vi bl.a. assistere på følgende områder:
Generelle it-kontrollerIt-risikostyring / risikoanalyse 
Økonomisystemer Outsourcing 
Betalingssystemer Kommunikationssikkerhed 
Brugerrettigheder Anskaffelse af applikationer 
Lønsystemer Due diligence 
Produktionssystemer RS 3411 og SAS 70 Erklæringer 
Dataanalyser Interne kontrol- og risikostyringssystemer (4., 7. og 8. direktiv) 
Interne kontrol- og risikostyringssystemer (4., 7. og 8. direktiv) E-handel 

 

 

 

Michael Clement

Director, leder af IT-Revision & Risikostyring

Kontakt

T +45 35 27 12 36

 E-mail

© 2009 Grant Thornton - Statsautoriseret Revisionsaktieselskab