Kontakt

1-side IT-asset overblik der sænker cyber-risiko

FORFATTER

Marius Sangild

Executive summary

De fleste sikkerhedshændelser i SMV’er starter med kendte sårbarheder, fejl i opsætningen eller uklart ejerskab. Løsningen behøver ikke være et langt compliance-projekt. Et enkelt, ledelsesvenligt overblik over jeres IT-aktiver på én side giver jer ro i maven og et klart grundlag for prioritering.

Med en 60-minutters workshop på tværs af IT, økonomi og drift får I styr på hvad I har, hvem der ejer det, og hvad der er vigtigst. Resultatet er et 1-sides asset-overblik og en prioriteret Top 10-liste, som I kan bruge til at styre patching, backup og beredskab. Det er at komme på Forkant™ uden ekstra bureaukrati.

Hvorfor et simpelt asset-overblik virker i praksis

I stedet for at starte med værktøjer starter vi med beslutninger. Når ledelsen kan se systemer, data og ansvar på én side, bliver det tydeligt hvad der må gå ned, og hvad der ikke må. Det skaber forretningskontinuitet og bedre risikostyring. Tilgangen er i tråd med anerkendte rammeværk som NCSC’s 10 Steps: Asset Management, CIS Controls og NIST SP 800-53. Pointen er den samme: du kan ikke beskytte det, du ikke kender.

Hvis I allerede arbejder med sårbarhedsscanninger eller pentest, vil et 1-sides overblik gøre fund nemmere at omsætte til handling. Hvis I er i tvivl om opsætningen i M365 eller andre cloudtjenester, kan et sikkerhedstjek kobles på for at løfte baseline.

Sådan laver du 1-sides inventarliste på 60 minutter

Invitér IT, økonomi og drift. Print en A3-skabelon eller brug et delt dokument på skærmen. Formålet er at lande et første udkast, ikke det perfekte katalog.

  1. Start med forretningen. Hvilke produkter og services skal kunne leveres hver dag for at I kan fakturere og holde kunderne glade.
  2. Notér de systemer, data og leverandører der understøtter disse services. Inkludér både egne systemer, cloudtjenester og nøgleudstyr.
  3. Udpeg en systemejer for hvert aktiv. Én person der kan træffe beslutninger om ændringer, adgang og prioritet.
  4. Vurder betydning. Brug en enkel skala fra 1 til 5 for forretningspåvirkning ved nedbrud i 24 timer.
  5. Tilføj kritiske afhængigheder. For eksempel internet, SSO, ERP, lønsystem, e-mail og backup.
  6. Skriv nuværende styring. Patch-ansvar, backup-ansvar, overvågning, og hvordan I opdager hændelser.
  7. Lav jeres Top 10-liste. Vælg de ti vigtigste punkter på tværs af aktiver, hvor en forbedring vil sænke risiko tydeligt.

Hold tempoet højt. Der må gerne stå “ukendt” enkelte steder. Det viser, hvor I skal undersøge nærmere, ikke at I fejler.

Hvad skal stå på jeres 1-side

Det er fristende at gøre listen lang. Modstå det. Én side tvinger fokus på beslutninger og ejerskab. Brug følgende felter:

  • Aktivnavn og kategori. System, applikation, dataområde eller udstyr.
  • Forretningsproces. Hvilken ydelse eller intern proces aktiveret understøtter.
  • Systemejer. Navn og funktion. Én ejer per aktiv.
  • Leverandør og kontraktnote. SaaS, hosting eller intern drift.
  • Tilgængelighedskrav. Hvad må gerne gå ned, og hvad må ikke. Skriv max tolereret nedetid.
  • Data- og compliance-note. Persondata, fortrolighedsniveau og eventuelle regulatoriske krav.
  • Patch- og ændringscyklus. Hvem gør det, og hvor ofte.
  • Backup og gendannelsestid. Hvor ligger backup, hvor ofte testes restore, og hvem ejer planen.
  • Overvågning og hændelsesvej. Hvordan opdager vi problemer, og hvem rykker først.
  • Prioritet 1-5. Bruges til at skabe jeres Top 10-liste.

Felterne afspejler praksis fra rammeværk som CIS Controls og NIST, men er kogt ned, så de kan bruges i drift uden tunge kataloger. Se for eksempel CIS Control 01 og 02 for hardware og software inventar samt NIST-principper for konfiguration og risikostyring i SP 800-53.

Brug overblikket til at prioritere patching, backup og beredskab

Det vigtigste er, hvad I gør med listen. Brug den til at skabe synlige forbedringer i samme uge.

  1. Patching. Tag Top 10-listen og sikre, at de pågældende systemer følger en fast patch-kadence. Aftal servicevinduer, og dokumentér undtagelser. Hvis en leverandør styrer patching, skriv det ind.
  2. Backup. Bekræft at forretningskritiske systemer har verificeret backup. Test en konkret gendannelse på et sandkassemiljø. Skriv resultatet i jeres 1-side.
  3. Adgang og MFA. Tjek at systemerne i Top 10-listen bruger stærk identitet og MFA. Luk gamle konti. Her kan et hurtigt sikkerhedstjek hjælpe.
  4. Beredskab. For de 3 vigtigste aktiver, lav en mini-genopretningsplan på en halv side per aktiv. Hvem gør hvad første time, og hvordan kommunikerer vi. Hvis I ønsker træning af adfærd og kommunikation, kan awareness træning supplere.
  5. Kontinuerlig opfølgning. Kobling til jeres daglige drift og økonomi er nøglen. I kan samle det i et overskueligt program gennem Forkant™, som dokumenterer huskelister og compliance-krav uden at lægge flere processer på jer.

Når I arbejder sådan, bliver sårbarhedsscanninger og pentest et middel til prioritering, ikke en bunke fund. I undgår teknisk gæld, fordi ejerskab og beslutningsveje er tydelige.

Ejerskab, leverandører og styring uden ekstra bureaukrati

Mange SMV’er er afhængige af eksterne IT-partnere. Det er sundt, hvis I stadig har styring på rettigheder og beslutninger. Skriv ind i 1-siden, hvem der kan trykke på knappen for adgang, ændringer og nedlukning. Det minimerer friktion, når noget går galt, og gør samarbejdet med leverandører enklere.

Systemejerskab er ikke det samme som at løse alle opgaver. Ejeren sikrer prioritet, dokumentation og at de rigtige mennesker involveres. Den disciplin gør jeres virksomhed mere modstandsdygtig, fordi viden ikke kun ligger hos én IT-medarbejder eller en ekstern partner.

Hvis I vil have et strategisk blik på modenhed og dokumentation, kan en modenheds-analyse koble 1-siden til rammeværk som NIST CSF og ISO 27001. Det gør det lettere at vise bestyrelsen, at I er på forkant.

Compliance-værdi uden at starte et compliance-projekt

NIS2 stiller krav til styring, risikovurdering og hændelseshåndtering for en lang række virksomheder i Danmark. Et 1-sides asset-overblik hjælper jer med at vise, at I har styr på aktiver, ejerskab og prioritering. Læs mere i selve NIS2-direktivet. Hvis I behandler persondata, kan oversigten kobles direkte til GDPR-principper om behandlingsaktiviteter og risikovurdering. Se GDPR-forordningen. Pointen er, at et enkelt overblik skaber sporbarhed og gør senere dokumentation langt lettere.

Eksempel: sådan ser en 1-side ud

Forestil jer en tabel med 10-15 rækker. Øverst står ERP, e-mail, løn, webshop og fællesdrev. Hver række har systemejer, leverandør, prioritet 1-5, patch-cyklus, backup-ejer, tilgængelighedskrav og en kort note om persondata. Nederst står Top 10-listen med konkrete handlinger for de næste to uger. Det er ikke flot grafik. Det er et arbejdsdokument, der bliver brugt hver uge.

Når først 1-siden findes, bliver dialogen med ledelse og bestyrelse enklere. I kan gennemgå status på fem minutter på et månedligt møde, og I kan måle fremdrift. Hvis I vil opgradere formen, kan 1-siden indgå i en fast kadence gennem Forkant™ sammen med awareness, sårbarhedshåndtering og driftsopfølgning.

Handlingsopfordring: 60-minutters workshop i næste uge

  1. Book 60 minutter med IT, økonomi og drift. Print en A3 eller åbn et delt dokument.
  2. Brug felterne ovenfor og udfyld første udkast. Skriv “ukendt” hvor I er i tvivl.
  3. Vælg jeres Top 10 og planlæg patch, backup-test og mini-beredskabsplaner.
  4. Aftal en fast månedlig opfølgning. Opdater 1-siden og flyt aktiviteter til drift.
  5. Kobl indsatsen til jeres eksisterende arbejde. Overvej sikkerhedstjek for opsætning, pentest for afprøvning og modenheds-analyse for dokumentation.

Når I arbejder på denne måde, bliver IT-sikkerhed en strategisk fordel. I reducerer risiko, øger modstandskraft og får mere nattesøvn, uden at lægge flere timer på kalenderen.