Inga IT-system är felfria, och det av den enkla anledningen att det de försvarar oss emot och omvärlden ständigt förändras. De cyberkriminella blir allt fler och allt skickligare på att upptäcka säkerhetshål i företags IT-system och rutiner. Det är inte heller svårt att hitta exempel på system och lösningar som är direkt svaga.
Att sätta upp ett starkt digitalt försvarssystem kräver många steg, och flera av dem är manuella. En liten svaghet i själva systemet, från leverantören eller i själva installationen, övergår snabbt till följdfel. Dessa utgör svagheter som är mycket svåra för någon utan rätt kompetens att upptäcka.
Kartlägg svagheter och hot
En av de viktigaste förutsättningarna för att på ett bra sätt kartlägga ett företags egen IT-säkerhet är insikt i, och överblick över företagets viktigaste tillgångar. Vad finns det i företaget som är intressant och attraktivt för bland annat cyberkriminella? Om man inte vet var företagets största värden finns, och vilka värden företaget faktiskt exponerar mot omvärlden, så är det svårt att veta vart man ska rikta in försvaret.
Stora kostnader för digitala försvar utan effekt
Många företag satsar stora summor på digitalt försvar, men eftersom de inte har en överblick över vem som vill in och vad de söker så slutar det ofta med att försvaret sätt in på fel ställen. Det blir som att köpa en dyr fotbollsmålvakt och sedan sätta den personen på mittfältet: Misslyckat, dyrt och med ett praktiskt taget helt öppet fotbollsmål.
Om ett företag vet vem som försöker ta sig in är det lättare att veta vilka inkräktare man ska leta efter i IT-systemen. Ett IT-säkerhetsföretag med erfarenhet kommer också att kunna ha en uppfattning om hur olika aktörer fungerar och kan på så sätt testa hur systemen klarar av en sådan attack.
Gör penetrationstestning med certifierade säkerhetstestare
Det är mycket svårt att upptäcka sårbarheter i IT-system. Detta är ett separat yrkesområde, och är inget som okvalificerade personer bör göra på egen hand. Genom att starta ett samarbete med en professionell aktör, ett IT-säkerhetsföretag, får du kompetenta specialister med bred erfarenhet inom detta område. Sådana specialister finns det många av hos oss på Netsecurity
Ett penetrationstest är ett planerat hackningsförsök
I praktiken innebär det att du skickar in en etisk hackare, helst en anställd på ett IT-säkerhetsföretag, för att testa hur säkert ditt system är. Även om hackaren inte gör någon verklig skada, kommer han att bete sig som en verklig inkräktare. Genom att försöka komma in i systemet kommer det att bli synligt vilka säkerhetshål och svagheter som finns, och vad du kan göra för att förbättra och täppa till hålen.
Kan ett penetrationstest göra någon skada?
Det är inte ovanligt att företag är rädda för att IT-säkerhetsexperter ska komma in och peka ut syndabockar eller hänga ut anställda, och man drar sig därför för att ta in sådan expertis. Denna oro är onödig: syftet med testningen är att kartlägga var utmaningarna och svagheterna ligger. Vem som har gjort något, eller inte gjort något man borde ha gjort, är oviktigt. Fokus ligger på hur hela företaget kan arbeta tillsammans för att säkerställa att samma svagheter inte finns kvar nästa gång man genomför en penetrationstest.
Regelbundna tester ger bäst resultat
Hotbilden mot företag och organisationer förändras ständigt, och de cyberkriminella testar ständigt nya metoder och verktyg för att göra intrång. Det räcker därför inte att testa säkerheten bara en gång utan det är något som bör göras regelbundet. Precis som företag exempelvis gör när det gäller brandövningar. Regelbundna tester är också viktigt för att medarbetare ska ha ett bra säkerhetsmedvetande över tid.