10 sikringstiltag for din hjemmeside!

Beredskabsplan og sikringstiltag

Alle virksomheder har i dag en hjemmeside – og langt de fleste virksomheder benytter hjemmesiden som deres primære kanal i deres udadrettede kommunikation. Hjemmesiden rettes mod potentielle og eksisterende kunder, samarbejdspartnere, medlemmer og andre direkte relaterede interessenter til virksomheden. Endvidere er hjemmesiden som kommunikationskanal blevet et vigtigt redskab i forhold til virksomhedens ”ansigt udad til” og omdømme og branding.
Det at hjemmesider over de seneste år, langsomt er blevet af større og større betydning, har medført at mange virksomheder ikke har klarlagt hvilke risici der følger med for virksomheden hvis hjemmesiden ikke fungere optimalt. Flere har ”glemt” at indarbejde såvel forbyggende som udbedrende sikringstiltag i tilfælde af, at hjemmesiden ødelægges eller angribes.

Virksomheder mangler ofte en beredskabsplan for deres hjemmeside, der tager højde for vigtigheden af hjemmesiden som primær kommunikationskanal. I langt de fleste tilfælde er hjemmesiden outsourcet til et ”hostingfirma  / web-hotel” og dermed anser virksomheden det ikke for relevant at have en beredskabsplan – ”Det er der jo nogle andre der tager sig af”. Der er ikke noget der kan være mere fejlagtigt end denne opfattelse – opgaven med at drive hjemmesiden er outsourcet, men selve ansvaret for hjemmesiden, ligger stadig i virksomhedens eget regi.

Det sker ikke for os

Med tanke på om det kan ske, om der virkelig er nogen, der er interesseret i vores virksomhed, vil strejfe alle IT-ansvarlige og IT-sikkerhedsansvarlige. Argumentet; ”Vi er ikke interessante i vores virksomhed” holder ikke, da enhver virksomhed kan have en profil, som vil kunne give anledning til at støde en persongruppe eller være af en sådan karakter, at der kunne være økonomisk interesse i at fortage et angreb på hjemmesiden. I begge tilfælde vil det være muligt for en ”angriber”, at købe sig til værktøjer og ressourcer på internettet, der vil kunne hjælpe med at opnå de mål der er sat for misbrug eller ødelæggelse af hjemmesiden. Hvor vigtig er vores hjemmeside?
Når sikringstiltag og beredskabsplan skal planlægges og udarbejdes for at begrænse virkningen af et angreb, er det vigtigt, at der tages udgangspunkt i en konsekvensanalyse, som er en del af risikovurderingen. I konsekvensanalysen bliver det klarlagt, hvilken konsekvens et eventuelt sikkerhedsbrud på hjemmesiden vil have for virksomheden.  Efter denne klarlæggelse opnås viden om omkostningen for eventuelle tiltag, i relation til den mistede ”værdi” det vil have for virksomheden ved et sikkerhedsbrud.

Siscon 10 sikringstiltag for din hjemmeside

Siscon kommer her med et forslag til 10 tiltag, forebyggende og udbedrende, til overvejelse i forbindelse med sikring af din hjemmeside. De nedenfor nævnte tiltag kan have plads i en driftshåndbog eller som en delmængde af en større beredskabsplan. Siscon anbefaler at alle virksomheder tager deres beredskabsplan seriøst og laver en velfunderet beredskabsplan som kan hjælpe når uheldet er ude.

1. Indgående kendskab til aftalekontrakt med hostingfirma og øvrige ”leverandører” til hjemmesiden.
Skab klarhed over hvem der har hvilket ansvar og hvilke opgaver, og hvilke interessenter virksomheden er afhængig af

2. Backup af indhold og platform
Sikrer hurtig og korrekt genskabelse af hjemmeside

3. Udarbejd en restore procedure
Denne sikre hurtig og korrekt reetablering – den skal afprøves med faste intervaller

4. Intern rolle- og opgavefordeling.
Organisationen skal have vished over hvilke personer der er udpeget til at varetage hvilket ansvar og opgaver

5. Overvågning.
Et generelt kendskab til den operationelle status

6. Sikkerheds- og sårbarhedsscanninger.
Der skal foreligge en vished for, at såvel applikation som platform, har det ønskede sikkerhedsmæssige niveau.

7. Kontrol.
Afprøvning af de funktioner der er på siden f.eks. 2-faktor log-on

8. ”Quick-instruks”.
En kort oversigt der guider indsatsen i den ønskede og dermed rigtige retning fra starten af, i tilfælde af angreb, hvorved fejl undgås.

9. Eskaleringsdiagram.
Generel viden om hvem der skal medvirker i ved større sikkerhedshændelser

10. Forbered en ”Nødhjemmeside”.
Der skal forefindes en nødhjemmesiden som indeholder de vigtigste funktioner samt information om status, så interessenterne ved I arbejder på sagen.

Der er ingen tvivl om, at jo mere velovervejet og forberedt man er, på et ”angreb” på hjemmesiden, både som IT-afdeling og organisation, jo mindre påvirkning vil det have internt som eksternt.  En god beredskabsplan og et stort fokus på trusler og risici, vil kunne mindske effekten af et angreb både i relation til omdømme og muligheden for at komme tilbage til ”normalen” hurtigst muligt. Kom og hør mere om beredskab på Siscons beredskabsseminar

Ønsker du en gennemgang af din virksomheds beredskab kontakt os for et uforpligtende møde. Læs mere på Siscons hjemmeside eller kontakt Lars Bærentzen på mail lab@siscon.dk eller telefon 40 93 13 14.