Stadig flere organisasjoner migrerer deler eller hele sin IT-portefølje til skybaserte løsninger, blant annet med ønske om økt sikkerhet. En avgjørende forutsetning for at sikkerheten blir bedre, er at systemenes sikkerhetsinnstillinger konfigureres riktig. Her synder mange. Vi viser deg de vanligste feilene og hva du kan gjøre for å tette sikkerhetshullene.
Standardkonfigurering er ikke nødvendigvis sikkert
Vi har gang på gang sett eksempler på at organisasjoner lar sikkerhetsinnstillingene stå på systemenes standardinnstillinger med forventning om at standardinnstillingene er synonymt med god sikkerhet, noe som ofte ikke er tilfellet. Det kan eksempelvis gjelde overgang fra lokal filserver til Microsoft OneDrive, eller overgang fra lokal Active Directory instans til Microsoft Azure Active Directory.
Også SharePoint Online er en skybasert tjeneste som stadig flere organisasjoner tar i bruk, og et konkret eksempel på en standardinnstilling som kan gå på bekostning av sikkerheten er muligheten for ekstern deling av dokumenter. Standardinnstillingen er satt til at informasjon kan deles med alle, også til mottakere som ikke krever innlogging. En slik innstilling vil ofte kunne medføre at en organisasjon blir unødvendig sårbar for uautorisert tilgang til sensitiv informasjon.
Et annet eksempel er muligheten for gjestebrukere i Microsoft 365 til å invitere nye gjestebrukere, uten krav om godkjennelse fra virksomheten først, som gjør en virksomhet unødvendig sårbar ovenfor mangelfull tilgangsstyring.
Benchmarks og bedriftens behov
Dette er bare et par eksempler på konfigureringer som stort sett er relevant for alle organisasjoner, og Center for Internet Security (CIS) har utviklet Benchmarks for en rekke systemer og applikasjoner. Blant disse en for Microsoft 365, som oppgir over 80 anbefalte konfigureringer for økt sikkerhet i M365 og Azure Active Directory. CIS Microsoft 365 Foundations Benchmark er utviklet for å hjelpe organisasjoner med å etablere et grunnleggende sikkerhetsnivå for alle som tar i bruk M365 og Azure AD.
Benchmarkene bør ikke betraktes som en uttømmende liste over alle relevante konfigurasjoner, men som et utgangspunkt. I tillegg må hver enkelt organisasjon fortsatt evaluere sine spesifikke risikoer og forretningsbehov opp mot anbefalte beste-praksis.
God sikkerhet trenger ikke å være kostbart, mens dårlig sikkerhet kan være dyrt
Antallet konfigureringer som dekkes i en benchmark kan virke overveldende å forholde seg til. Samtidig kan ikke IT-sikkerhet neglisjeres. Et sikkerhetshull kan få store konsekvenser og påføre virksomheter betydelig økonomisk og omdømmemessig tap. Mindre virksomheter er ofte spesielt utsatte fordi:
- De kan brukes som «brohode» til større virksomheter
- Er ofte mindre kritisk til bruk av skyløsninger
- Kan ha ansatte som ikke tenker datasikkerhet
- De mangler grunnleggende sikkerhetskultur
BDO Risk Advisory Services har gjennomført en rekke gjennomganger av virksomheters sikkerhetskonfigureringer for å identifisere avvik fra anbefalte beste-praksis, evaluert hvilken risiko avvikene utgjør for organisasjonen og anbefalt konfigureringer tilpasset dens risikoprofil og behov.
Ta gjerne kontakt for en uforpliktende prat om hvordan vi kan bistå med en gjennomgang av dine systemers sikkerhetsinnstillinger og hvilke risikoer dagens innstillinger eksponerer din virksomhet for.