Det er besluttet. I skal have tjekket jeres IT-sikkerhed.
Godt!
Men hvad bestiller I?
Svaret afhænger ikke af, hvad jeres IT-leverandør anbefaler. Det afhænger af 7 spørgsmål, I selv skal besvare først.
Det forkerte valg giver falsk tryghed
De mest almindelige sikkerhedstests lyder måske ens, men tester vidt forskellige ting. Det forkerte valg giver falsk tryghed.
Før I bestiller noget, besvar disse 7 spørgsmål.
De tre første stiller I internt. De fire sidste stiller I til den, der skal udføre testen.
Til jer selv
1. Hvorfor gør vi det?
Er det fordi en kunde kræver dokumentation? Er det fordi I er omfattet af NIS2? Har I oplevet en hændelse? Eller vil I reelt vide, om I kan modstå et angreb?
Svaret afgør alt.
En test valgt for at tilfredsstille en kunde ser anderledes ud end en test valgt for at finde sandheden. Vær ærlige over for jer selv om formålet, før I går videre.
2. Hvad har vi i dag?
Har I aldrig fået tjekket opsætning, passwords, MFA og backup? Start der.
Har I politikker og planer, men aldrig testet om de virker? Så er det processerne.
Har I styr på det basale, men aldrig ladet nogen forsøge at bryde ind? Teknisk test.
Har I trænet medarbejderne, men aldrig testet om de lukker en fremmed ind ad døren? Så er det mennesket.
Hvor I står i dag, afgør hvor I starter. Der er ingen skam i at starte med det basale. Det er der, de fleste huller er, og det er der, hackerne finder ind først.
3. Hvem stiller vi krav til, og hvem stiller krav til os?
Stiller jeres kunder krav til jeres sikkerhed, som I ikke kan dokumentere?
Stiller I krav til jeres leverandører, eller stoler I på mundtlige forsikringer?
Har I en liste over, hvem der har adgang til jeres data og systemer?
Kan jeres leverandører svare på, hvornår deres sikkerhed sidst blev testet?
Hvis I stiller krav til andre, skal I selv kunne leve op til dem. Hvis andre stiller krav til jer, skal I kunne dokumentere det. Begge veje kræver et faktuelt grundlag, ikke en fornemmelse.
Til den, der skal udføre testen
4. Hvad dækker testen, og hvad dækker den ikke?
5. Hvad er det værste, testen ikke vil finde?
6. Tester I teknikken, mennesket, processerne, leverandøren eller compliance?
7. Hvad får vi konkret i hånden bagefter, og hvad gør vi med det?
Enhver seriøs rådgiver kan svare på alle fire uden at tøve. Hvis de ikke kan, har I jeres svar.
Sådan bruger I spørgsmålene
Skriv svarene på de tre første ned, før I kontakter nogen. De er jeres beslutningsgrundlag og afslører straks, hvad I mangler og hvor I skal starte.
Stil de fire sidste til enhver, der tilbyder jer en sikkerhedstest. Svarene fortæller jer, om de forstår jeres reelle behov, eller om de sælger det, de tilfældigvis har på hylderne.
En test er et øjebliksbillede
Og planlæg allerede nu, hvornår I tester igen.
En test er et øjebliksbillede. Den viser, hvor I står lige nu. Ikke om et halvt år, når medarbejdere er skiftet, systemer er ændret og nye trusler er dukket op.
Ved I, hvad I har brug for?
Hvis ikke, har I nu de 7 spørgsmål, der giver jer svaret.
Få hjælp til at vælge rigtigt
Har I besvaret de tre første spørgsmål og er klar til at tale med nogen, der kan svare på de fire sidste?
Et IT-sikkerhedstjek er startpunktet, hvis I aldrig har fået kigget på opsætning, passwords, MFA og backup. Det afslører de huller, hackerne finder først.
En cybersikkerhedsaudit tester, om jeres politikker og processer hænger sammen, og om de virker i praksis. Det er næste skridt, når det basale er på plads.
Og en leverandøraudit dokumenterer, om jeres leverandører lever op til de krav, I stiller, eller om I stoler på mundtlige forsikringer.
7 spørgsmål. 3 til jer selv. 4 til testeren. Har I svarene?
Klar til at stille de fire spørgsmål til en rådgiver, der kan svare uden at tøve?
Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
