Skip to content Skip to footer
Search

Loading Results

Teknologivalg - inhouse og eksternt

Karakteren af virksomhedens teknologiske infrastruktur og setup er en afgørende faktor for virksomhedens cyber-sikkerhedsniveau. Cyberkriminelle udnytter sårbarheder i virksomheders systemer og infrastruktur, og derfor er det afgørende, at ledelsen foretager teknologivalg, der beskytter virksomheden optimalt mod cyberkriminalitet.

Foretag analyse af det teknologiske setup

Det er helt naturligt, at CFO’en og ledelsen foretager en grundig analyse af det teknologiske setup som en del af hele processen omkring det cyberstrategiske fundament.

Her skal det bl.a. afgøres, hvad og om der skal outsources, og hvad virksomheden selv skal drive. Dernæst skal virksomheden skabe overblik over, om teknologi-valgene beskytter forretningen tilstrækkeligt. Disse svar og løsninger skal findes i tæt samarbejde med virksomhedens it-ansvarlige og evt. it-servicepartnere i tilfælde af, at man har outsourcet.

Virksomheden ønsker klarhed over følgende:

  • Hvordan er det eksisterende teknologiske forsvar?
  • Passer det med de identificerede trusler og risici?
  • Hvad er behovet for yderligere sikring?
  • Hvad er teknologiens muligheder og begrænsninger?
  • Har vi prioriteret investeringer i et teknologisk forsvar for virksomhedens mest sårbare aktiver?

Cyberkriminelle udnytter sårbarheder i virksomheders systemer og infrastruktur, og derfor er det afgørende, at ledelsen foretager teknologivalg, der beskytter virksomheden optimalt mod cyberkriminalitet.

Mads Nørgaard Madsen, Partner og leder af Security & Technology, PwC

Teknologivalget er vigtigt

Der er en række konkrete teknologivalg, der skal tages i forhold til at beskytte virksomhedens aktiver mod cybertruslen. Det drejer sig bl.a. om, hvordan brugernes pc’ere er beskyttet, om infrastruktur- og netværkssikkerhed, bruger- og identitetsstyring, ligesom det drejer sig om systemer til logning, til at opdage potentielle angreb og til at forebygge ubudne gæsters indtrængen.

Krav til egen it-afdeling (inhouse)

  • Har vi tilstrækkelige processer og teknologi til at styre brugeres adgang til systemer og data?
  • Har vi de rigtige systemer til at forhindre uønsket adgang til kritisk data?
  • Får vi løbende testet og opdateret vores kritiske systemer?

  • Kan vi detektere, identificere og overvåge hændelser, mens de sker?

  • Er der allokeret tilstrækkelige ressourcer med de rette tekniske kompetencer til at løfte it-sikkerhedsopgaven?
  • Har virksomheden de rette tekniske kompetencer inhouse, eller er der behov for ekstern hjælp?

  • Er der en tilstrækkelig backup, der kan medvirke til effektiv genetablering?

Krav til it-leverandør (outsourcing)

  • Modsvarer leverandørens sikkerhedsbestemmelser reelt vores behov og risici, eller er der blot tale om en standardaftale, hvor vores forretning ikke nødvendigvis får den rette beskyttelse?

  • Har vi indblik i, hvordan leverandøren håndterer løbende opdatering og konfiguration af systemer? 
  • Har vi indblik i, hvordan leverandøren håndterer adgangsstyring til vores systemer og data? Hvor mange administrative medarbejdere kan tilgå vores systemer?

  • Er der løbende opfølgning på leverandørens sikkerhedsniveau, foretages der bl.a. løbende sårbarhedsscanninger?
  • Får leverandøren foretaget regelmæssige penetrationstest? 
  • Har vi modtaget en revisionserklæring, der beskriver det aktuelle sikkerhedsniveau?

  • Er der en effektiv proces for hændelseshåndtering, der gør, at vi kan komme i drift inden for et givent tidsrum? Svarer dette til vores forretnings krav?
  • Er der en klar ansvarsfordeling og en veldefineret snitflade mellem leverandørens beredskab og vores beredskab, der gør det muligt at kommunikere hændelser til relevante interessenter og minimere skader og tab?

Case: Risiko ved mangelfuld eller dårlig netværkssegmentering

PwC’s Incident Response Team møder indimellem hosting-leverandører, der bliver ramt af malware, og som grundet dårlig eller mangelfuld netværkssegmentering er skyld i, at kunder udsættes for cyberhændelser. Selvom man som virksomhed har en rigtig god cybersikkerhed, kan man blive ramt, hvis hostingleverandøren ikke har det.

I et konkret eksempel havde hosting-leverandøren ikke styr på netværkssegmenteringen, så da en af deres kunder blev ramt, så medførte det, at alle kunder blev ramt. Det gik så galt, at man var nødt til at slukke for internettet. Og i sådan en situation vil det være godt med en aftale om fx garanteret oppetid og maksimal nedetid.

 

Sådan kommer du videre

  • Skab overblik over det nuværende teknologiske forsvar og beskyttelsesniveau ift. de vigtigste aktiver for forretningen.
  • Gå i dialog med egne it-ansvarlige og eksterne it-servicepartnere med fokus på sikkerhed (ikke drift).
  • Afdæk, om der er allokeret tilstrækkelige ressourcer med de rette teknologiske kompetencer til at løfte opgaven.
  • Find ud af, om I har de rette teknologiske kompetencer selv, eller om der er behov for ekstern hjælp.

 

Kontakt os

Christian Kjær

Christian Kjær

Partner, Security & Technology, PwC Denmark

Tlf: 3945 3282

William Sharp

William Sharp

Partner, Security & Technology, PwC Denmark

Tlf: 8932 0076

Følg PwC