Tietoturvan tarkistuslista PK-yrityksille

Checklista för informationssäkerhet för små och medelstora företag

Det finska cybersäkerhetsföretaget och vår långvariga partner WithSecure har tagit fram en checklista för företag som är bra att gå igenom oavsett företagets storlek. Listan hjälper företag att identifiera de mest kritiska utvecklingsområdena och systematiskt stärka sin cybersäkerhet. 

Säkerhetsanvisningarna är indelade i fyra huvudområden: 

1. Säkra grunderna
2. Upptäck och reagera i tid
3. Säkerställ processer, kompetens och leverantörskedjor
4. Skärp rutiner och minimera attackytan

Ju högre säkerhetsnivå man eftersträvar, desto viktigare blir de åtgärder som listas mot slutet av varje punkt. Åtgärderna är indelade i tre delar: 

Kritiska: Kritiska för alla företag – nödvändiga för att skydda verksamheten och säkerställa kontinuitet.
Viktiga: Viktiga för de flesta företag – förbättrar säkerheten avsevärt och minskar risker, men är inte alltid nödvändiga i alla situationer.
Valfria: Relevanta för företag eller funktioner med hög säkerhetsnivå – tilläggsåtgärder som möjliggör mycket hög skyddsnivå eller uppfyller särskilda krav (t.ex. regleringar eller kritisk infrastruktur).

1. Säkra grunderna

Dessa åtgärder utgör grunden för allt säkerhetsarbete. Genomförda på ett noggrant sätt minskar de riskerna avsevärt.

Kritiska

  • Tillgångshantering: Identifiera och dokumentera alla IT-system och deras roll i affärsprocesserna.
  • Nätverks- och enhetssäkerhet: Skydda nätverk och enheter med brandväggar och antivirusprogram.
  • Identitets- och åtkomsthantering:
    • Använd flerfaktorsautentisering i alla molntjänster.
    • Begränsa antalet administratörskonton.
    • Tillåt fjärråtkomst endast via starkt skyddade kanaler (VPN + flerfaktorsautentisering).
  • Uppdateringshantering: Inför en systematisk uppdateringsprocess, särskilt för enheter med internetåtkomst.
  • Skydd av samarbetsverktyg: Skydda e-post- och molntjänster med säkerhetsprogram.
  • Kontinuitet och återhämtning: Säkerställ regelbundna säkerhetskopior av viktig data.
  • Enhetshantering: Hantera slutenheter centralt för smidigare administration och övervakning.
  • Dataskyddsåtgärder: Kryptera slutenheter och känslig information.
  • Identitets- och åtkomsthantering (IAM):
    Håll antalet administratörskonton för system och tjänster (inkl. slutenheter) så lågt som möjligt.
  • Användningspolicyer och efterlevnad:
    • Utforma och kommunicera tydliga användningsanvisningar till personalen.
    • Identifiera gällande lagar, standarder och avtalskrav (t.ex. NIS2).
  • Utbildning och medvetenhet: Utbilda personalen i cybersäkerhetsgrunder och hotigenkänning.

2. Upptäck och reagera i tid 

God cybersäkerhet kräver ständig situationsmedvetenhet och förmåga att reagera. 

Kritiska

  • Hotidentifiering på slutenheter och molntjänster: Använd system för hotdetektion och -bekämpning på datorer och servrar.
  • Logginsamling och övervakning: Genomför central loggning för kritiska system.
  • Extern övervaknings- och svarstjänst: Använd en övervakningspartner (t.ex. MDR-tjänst där en partner övervakar säkerheten dygnet runt).

Viktiga

  • Hantering av exponeringar och risker: Använd verktyg som identifierar sårbarheter, felkonfigurationer och potentiella attackvägar.
  • Programvaruhantering: Dokumentera använda applikationer och säkerställ deras påverkan på verksamhet och efterlevnad, särskilt vid behandling av personuppgifter.
  • Stöd vid incidenter: Ha tillgång till experthjälp vid säkerhetsincidenter.

Valfria

  • Nätverksövervakning: Övervaka nätverkstrafiken för att identifiera avvikelser.
  • Säkerhetsloggövervakning: Använd ett SIEM-system (Security Information and Event Management) för effektiv hotidentifiering.
  • Hotinformation (Threat Intelligence): Använd aktuell information om cyberhot för att förebygga och reagera.

3. Säkerställ processer, kompetens och leverantörskedjor 

Följande åtgärder förbättrar kontinuiteten och visar mognadsnivån för externa parter.

Kritiska

  • Systemhärdning: Ta bort onödiga program och tjänster, särskilt sådana som kan nås externt. Gör återstående tjänster så säkra som möjligt.
  • Hantering av godkända program (APM): Tillåt endast förhandsgodkända program, bibliotek och skript i dina system. Blockera allt annat.
  • Single Sign-On (IAM/SSO): Aktivera enkel inloggning så att användare inte behöver komma ihåg flera lösenord och hanteringen förenklas.
  • Säkerhetskopiering och återställning (BC/DR): Ta säkerhetskopior på viktiga system på ett sätt som gör att de inte kan ändras i efterhand.

Viktiga

  • Nätverksskydd:
    Dela upp nätverket i mindre segment efter användningsområde, t.ex. skilj bokföringssystem från andra.
  • Hantering av privilegierade användare (PAM):
    Begränsa och övervaka noggrant användare med särskilda rättigheter.
  • Zero Trust-principen:
    Lita inte automatiskt på någon – kontrollera alltid rättigheter för användare och enheter, oavsett om anslutningen kommer inifrån eller utifrån.
  • Hantering av fjärrsessioner:
    Ange automatisk tidsgräns för fjärranslutningar och använd säkrare autentiseringsmetoder där det är möjligt (t.ex. biometrisk autentisering).

Valfria

  • Hotidentifiering och respons:
    Skapa tydliga handlingsplaner för olika incident- och angreppsscenarier.
  • Dataskydd:
    • Klassificera information enligt dess känslighet och skydda därefter.
    • Förhindra obehörigt dataläckage med DLP-lösningar.
    • Kryptera all data – både i vila och vid överföring.

4. Skärp rutiner och minimera attackytan 

I det sista steget fokuserar vi på teknisk fördjupning: att minimera attackytan och säkerställa skyddet av systemen.

Kritiska

  • Hantering av risker och exponeringar:
    • Identifiera de viktigaste leverantörerna och samarbetspartnerna.
    • Bedöm vilka cybersäkerhetsrisker som är förknippade med dem.
    • Skapa planer för hur verksamheten kan fortsätta även vid problem.

Viktiga

  • Kontinuitet och återhämtning (BC/DR): Träna regelbundet på hur man agerar vid störningar eller katastrofer för att vara förberedd vid skarpt läge.
  • Incidentidentifiering och respons: Öva på att reagera vid cyberattacker genom att genomföra simulerade angreppsscenarier. Testa och förbättra handlingsplaner utifrån dessa övningar.
  • Medvetenhet hos personalen: Genomför regelbundna phishing-kampanjer så att anställda lär sig att känna igen bedrägerier och agera korrekt.

Valfria

  • Efterlevnad av regler och krav (Compliance): Bygg ett ledningssystem för informationssäkerhet (ISMS) för att hantera viktig data på ett säkert och systematiskt sätt. Sträva efter att följa t.ex. ISO 27001-standarden för att förbättra riskhanteringen och uppfylla krav.
  • Certifieringar och verifierad tillförlitlighet: Skaffa exempelvis ISO 27001- eller SOC2-certifiering som visar att du följer goda säkerhetspraxis.
  • Omfattande säkerhetstestning: Genomför "purple team"-övningar där man kombinerar attack- och försvarstestning för att identifiera och åtgärda svagheter i systemen.
  • Revisioner och utvärderingar: Låt externa experter genomföra regelbundna granskningar för att säkerställa att cybersäkerheten är uppdaterad.

DG Cybersäkerhet – Helhetslösningar för företag

I vår DG Cybersäkerhet-tjänst som genomförs i samarbete med WithSecure börjar allt med en säkerhetskartläggning där vi analyserar hur ert företags säkerhet ser ut i nuläget.

Utifrån kartläggningen skapar vi en rapport över nuläget samt föreslår åtgärder och lösningar för att nå önskad säkerhetsnivå. 

DG Cybersäkerhet är en tjänst som kombinerar AI och mänsklig expertis och innehåller alla verktyg som behövs för att säkerställa helhetsmässig cybersäkerhet.

Läs mer om DG Cybersäkerhet-tjänsten

 

 

Läs också dessa artiklar

Hälsningar från DG-dagarna! – Gemenskap och nya IT-lösningar

Läs mer
ChatGPT - Tekoälyn sähkönkulutus

AI:s elförbrukning och ansvar – hur mycket energi och vatten förbrukar AI-tjänster?

Läs mer

Microsoft 365 Copilot eller ChatGPT – vilket passar min användning?

Läs mer
Microsoft 365 - tietoturvan oletusasetukset

Microsoft 365-konton kapas – så här håller du dig säker

Läs mer

Kontakta oss

Jag godkänner onlinetjänstens användarvillkor.