Jeres seneste audit sagde, at I havde styr på det. I havde politikker, beredskabsplan og dokumentation.
Tillykke!
Men tre måneder senere stod I med krypterede servere og en plan, ingen havde testet.
Fandtes eller virkede?
I bestod jeres audit. Men sagde rapporten noget om, hvad der sker, hvis jeres beredskabsplan skal bruges kl. 4 om natten en lørdag?
Hvis ikke, bekræftede den, at planen fandtes. Ikke at den virker.
Fire niveauer, fire spørgsmål
Der er fire niveauer af sikkerhedstjek, og de svarer på fire forskellige spørgsmål.
Niveau 1: IT-sikkerhedstjek
Et IT-sikkerhedstjek er indgangsbilletten.
Det kigger på det basale: har I MFA, opdateres jeres software, er der styr på passwords og backup?
Det er der, de fleste SMV’er bør starte. Ikke fordi det er nok, men fordi det afslører de huller, der er billigst at lukke og dyrest at ignorere.
Niveau 2: Cybersikkerhedsaudit
En cybersikkerhedsaudit går dybere.
Her tjekker nogen jeres politikker, processer og kontroller systematisk. Har I en IT-sikkerhedspolitik? Dækker den fjernarbejde, BYOD og leverandøradgang? Er der procedurer for, hvem der gør hvad, når noget går galt?
Auditten bekræfter, om rammerne er på plads. Men den tester ikke, om de holder under pres.
Niveau 3: Sikkerhedsmodenhedstest
En sikkerhedsmodenhedstest viser, hvor I reelt står.
Ikke bare om I har en beredskabsplan, men om den er opdateret, testet og kendt af dem, der skal bruge den. Ikke bare om I har en patchpolitik, men om den faktisk bliver fulgt.
Modenhedstesten placerer jer på en skala og viser afstanden mellem det, I tror I gør, og det I faktisk gør.
Niveau 4: Enterprise audit
En enterprise audit er den store helbredsundersøgelse.
Den kombinerer de tre foregående og tester hele organisationen på tværs: teknik, processer, mennesker, leverandører og compliance.
Den bruges af store virksomheder og organisationer, der har brug for et samlet billede, eller som skal dokumentere over for bestyrelse, myndigheder eller kunder.
Tallene taler for sig selv
Ifølge brancheundersøgelser har kun 43% af danske virksomheder en beredskabsplan. Og kun 12% har øvet den.
Hver tredje virksomhed mangler en plan helt, og seks ud af ti har ikke gennemført sikkerhedsøvelser det seneste år.
Det betyder, at flertallet af danske virksomheder har enten ingen plan, en plan de aldrig har testet, eller en plan de sidst kiggede på for flere år siden.
Tre ting du kan gøre nu
Start med et IT-sikkerhedstjek, hvis I aldrig har fået kigget på det basale. Det er hverken dyrt eller kompliceret, og det giver jer et konkret udgangspunkt.
Bestil en audit, når I har det basale på plads, og I har brug for at vide, om jeres processer og politikker hænger sammen. En audit uden fundament er en rapport om ingenting.
Overvej en modenhedstest, når I vil vide, om det I har på papir faktisk fungerer i praksis. Det er forskellen på at have en beredskabsplan og vide, at den virker, når den skal bruges.
Hvad sagde jeres rapport?
Sagde jeres seneste rapport noget om, hvad der sker, når planen skal bruges? Eller bekræftede den bare, at den fandtes?
Find det rigtige niveau for jer
Et IT-sikkerhedstjek afslører de basale huller: MFA, passwords, backup, opdateringer. Det er startpunktet for de fleste SMV’er og det billigste sted at begynde.
En cybersikkerhedsaudit tjekker, om jeres politikker og processer hænger sammen. Om I har procedurer for fjernarbejde, leverandøradgang og krisehåndtering, og om de er dokumenteret.
Og en teknisk sikkerhedsgennemgang går i dybden med jeres faktiske opsætning og viser afstanden mellem det, I tror I gør, og det I faktisk gør.
Audit bestået. Tre måneder senere: krypteret. Blev jeres plan testet, eller bare bekræftet?
Har du brug for at finde det rigtige niveau for jer?
Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
