Søgeresultater

Det lyder så uvenligt, men det er i kort form hovedbudskabet i en Zero Trust modellen som anbefales af de førende eksperter. Men hvad betyder det i praksis, og hvordan implementerer man denne strategi? Den gamle strategi var trust-but-verify, hvor vi i udgangspunktet stolede på en bruger, hvis de havde adgang. Det tør vi ikke basere vores sikkerhed på længere. Zero Trust bygger på 3 principper: Assume breach Verify explicitly Least privilege access Lad os se lidt nærmere på principperne. Asume breach Dette er på mange måder et mindset. I stedet for at antage vi i udgangspunktet ikke er i fare, antager vi med assume breach at vores netværk, servere og applikationer er sårbare og at vi højst sandsynlig allerede er under angreb. Dette er en vigtig forudsætning, som bringer os ud af vores comfortzone og tvinger os til at tænke proaktivt. Verify explicitly Dette princip betyder at vi skal verificere brugernes adgang ud fra alle tilgængelige parametre og datapunkter fx enhed, lokation, enhedsstatus, data som der ønskes adgang til og sågar brugerens adfærd. Denne verificering skal ske løbende. Least privilege access Dette princip betyder at vi skal sikre at brugere kun har de nødvendige rettigheder, men ikke nok med det, vi skal også sikre at de kun har dem når det er krævet. Her taler vi om Just-In-Time and Just-Enough Access (JIT/JEA). Jo mere omfattende rettigheder vi taler om, jo vigtigere er det. Men Zero Trust principperne gælder for alle entiteter - det vi også kalder sikkerhed i dybden. Brugerkonti, 2-faktor, rettigheder Enheder, overvågning, antimalware, opdatering Applikationer, kun godkendte, roller, opdaterede Data, klassificerede og krypterede samt logning af adgang Infrastruktur, konfiguration og adgang, samt overvågning Netværk, patches, segmenteres og overvåges Så som du kan se, er det nødvendigt ikke at stole på nogen. Zero Trust er en god model/tjekliste når du arbejder med den tekniske IT-sikkerhed. Vi bruger Zero Trust modellen i vores arbejde med IT-sikkerhed. Skal vi hjælpe din virksomhed?

Mange tror fejlagtigt at bare deres data og systemer ligger i skyen, så er IT-sikkerhed en andens ansvar. Men her tager de grueligt fejl. Kender du ”shared responsibility” modellen? Modellen beskriver I sin enkelthed ansvarsfordelingen mellem en cloud-udbyder og kunden på de forskellige services. Se figur 1. Bemærk at kunden ALTID har ansvaret for følgende: Informationer og data (dvs. også backup) Enheder – dvs. sikkerhed på de fysiske enheder der anvendes inkl. antimalware Konti og identiteter, herunder brugere og deres rettigheder Kører man systemer on-premise giver det sig selv at man påtager sig et langt større ansvar for IT-sikkerhed end hvis man anvender hosting eller cloud. Men det er dog vigtigt at mærke sig at de allervigtigste ting han man stadig selv ansvaret for. Lad os lige tage de enkelte punkter: Informationer og data Cloud-udbyderen tilbyder en service fx ERP, CRM, projektstyring, kontorplatform. Men DU har ansvaret for de data og informationer du importerer eller opretter i systemet. Det gælder både når én af dine brugere ved en fejl sletter data. hvis du bliver udsat for et ransomware angreb når leverandøren ved en fejl kommer til at slette dine data eller bliver lagt ned i en længere periode Her skal du naturligvis tænke på backup. Gerne en backup der er helt uafhængig af din udbyder og hostingpartner, da det jo i værste fald er dem der er eller har problemet. Tænk også i muligheden for at lave delvis genetablering (restore), typisk vil det kun være en del af dine data du mister. Oftest tilbyder cloud-tjenester at gå tilbage til et snapshot. Men den pris kan være for høj, for dermed mister du alle de ændringer der er foretaget siden dit genindlæsningspunkt. Enheder Naturligvis har du selv ansvaret for dine pc’er og mobile enheder. Så her er det afgørende med en god antimalware løsning. Det er ikke her du skal spare. Men tænk også på dine mobile enheder. Konti og identiteter Dine medarbejdere og brugerkonti har du ansvaret for. Herunder også de brugere med administrative rettigheder. Hvor mange brugere har alt for mange rettigheder på dine løsninger? Hvad med dine samarbejdspartnere og konsulenter? Hvad med 2-faktor login og kvaliteten af dine brugeres passwords? Der er mange IT-sikkerhedsrelaterede udfordringer her. IT-sikkerhed handler om at minimere risikoen for at blive udsat for brud på fortrolighed, integritet af data og tilgængelighed. Og du har selv det største ansvar!

Du har hørt det før, du ved det godt. Når uheldet er ude eller de IT-kriminelle har taget dine data som gidsel - så har du kun backup’en at falde tilbage på. Men alligevel ser vi gang på gang at der tages for let på backup-procedurerne. Og flere rapporter indikerer at op imod 80% af virksomheder der er ramte af ransomware angreb ender med at betale "dummebøden". Men hvad er en god backup procedure? I mange år har best-practise være backup-modellen 3-2-1, og den holder til dels stadig. 3-2-1 = 3 kopier af data, på 2 forskellige medier, hvoraf 1 medie opbevares offline. Modellen siger altså, at du skal have 3 separate kopier af data, hvor den primære er dine produktionsdata. De 2 forskellige backups skal lagres på 2 forskellige medier. Dette stammer fra de gode gamle dage, hvor backup ofte blev gemt på bånd. Af de 2 medier, skal den ene opbevares offline og man kan med fordel tilføje off-site. I dagens komplekse verden anvender vi altså stadig en backupstrategi fra IT-teknologiens barndom. Men en del har trods alt ændret sig. I dag er vores data spredt ud over flere forskellige cloud-tjenester og datamængderne kan være meget store. Ligesom mange virksomheder i dag har åbent 24/7. Det kan derfor være vanskeligt at nå at tage fuld backup af alle data fx i løbet af natten. Samtidig ønsker vi måske at tage backup meget ofte - fx hvert kvarter, så vi mister mindst mulige data. Her taler vi om RTO og RPO. RTO - Recovery Time Objective Det er et mål for den tid vi vil acceptere det tager at reetablere vores data, ud fra en backup. Oftest udtrykt i timer - en RTO på 6 timer betyder at vi accepterer at det kan tage op til 6 timer at reetablere vores systemer fra en backup ved tab af data. RPO - Recovery Point Objective Det er den tid vi maksimalt accepterer at miste data ved behov for at indlæse en backup. RPO udtrykkes normalt også i timer. Lad os antage at vi tager natlige backups af vores data kl. 2.00 om natten. Sker vores “uheld” så kl. 14.00 om eftermiddagen bliver vores RPO altså 12 timer. Vi mister altså maksimalt ca. 12 timers data - som brugerne skal genindtaste - hvis det er muligt. Sker skaden derimod midnat mister vi 22 timers data. Vores maksimale RPO er altså ca. 24 timer, som er logisk nok, da vi jo netop tager en backup pr. døgn. For at undgå sådanne lange RPO tider taler vi om at tage løbende eller inkrementelle backups - hvor vi oftere og løbende tager kopi af ændringer i data. Fx hvert kvarter, eller hver gang data ændrer sig. På denne måde bliver vores RPO meget mindre. Måske tæt på nul. RTO og RPO skal ledelsen forholde sig til - hvad kan og vil vi acceptere? Måske tænker du “Jamen, mine data ligger jo i skyen, Microsoft tager vel backup?” Det er til dels korrekt, men de fleste cloud-udbydere pointerer at data er kundens ansvar. Du betaler for en service og det er ikke leverandørens ansvar at beskytte dig fra brugerfejl og hackerangreb. Og måske skal du netop bruge backup’en fordi din leverandør er nede eller har lavet en kæmpe fejl. Derfor er det også vigtigt at den ene af dine 2 forskellige backups er uafhængig af dine cloud og hostingpartnere. Hvis problemet er dem, hvordan kan du så stole på at kunne få adgang til dine data? Kravet om at den ene backup skal være offline er også stadig aktuel. I gamle dage tog sekretæren nattens bånd med hjem i tasken og satte et nyt i båndoptageren. Og denne praksis har reddet mange virksomheders data fx når fabrikken i løbet af natten er brændt ned til grunden. Mange praktiserer stadig at tage fx en USB-harddisk med hjem i privaten og det kan bestemt være et godt supplement for mindre virksomheder. Men det er ikke den optimale løsning og modellen understøtter også ofte en uacceptabel lang RPO - hvor gammel er din "aktuelle" USB-kopi? Bedre er det at have en sekundær backup i skyen som er helt uafhængig af virksomhedens lokation, hostingpartnere og cloud-udbydere. Fordi truslen fra IT-kriminelle og ransomwareangreb er så aktuel, er det også vigtigt at kryptere backups og beskytte dem fra kompromittering og sletning. I dag findes der sofistikerede real-time backup-løsninger, men det er stadig godt at tænke worst-case igennem og anvende de gode dyder fra 3-2-1 modellen. Sidst - men ikke mindst - husk at øve og teste indlæsning af dine backup. Dette bør ske periodisk, fx kvartalsvist. Det gælder om at validere at backup er korrekt, at vores forventede RPO og RTO er realistiske og at vores medarbejdere kan finde ud af at genetablere data og systemer - helt eller delvist. Har du ikke styr på din backup strategi eller er du bare usikker på om din nuværende er hensigtsmæssig? Så kontakt os for en dialog om backup, vi tilbyder også at hjælpe med at teste din backup. Vi tilpasser vores ydelser til din virksomhed, så du kan roligt henvende dig - hvad enten din virksomhed er stor eller lille.

Mange virksomheder bliver pålagt at indsamle og opbevare fortrolige og personfølsomme data. I disse år er bl.a. revisorer og bogholdere blevet pålagt at indsamle og opbevare kopi af pas, kørekort og sygesikring. Indsamling Selve indsamlingen udgør allerede et IT-sikkerhedsproblem, for hvordan skal vi modtage denne type informationer? Den typiske procedure er måske at tage et billede med en mobiltelefon. Men hvem tager billedet? Er det receptionisten eller eleven med deres private mobiltelefon? Husker vi at slette? En anden metode er at anvende en scanner/kopimaskine. Men hvor gemmes disse filer? Hvis kunden selv tager billeder eller scanner, så beder vi måske dem om at sende informationerne i en mail til os? Hvem modtager mailen? Har vi styr på sletning? Og hvad med anvendelse af almindelig e-mail til at sende fortrolige informationer? Så allerede indsamlingen af denne type data rejser en lang række IT-sikkerhedsspørgsmål. Hvad så med opbevaringen? Når vi så har fået de krævede informationer, hvor skal vi så opbevare dem? Det er klart at jf. den nye bogføringslov skal de opbevares sikkert, digitalt. Så en papirkopi i en mappe er ikke farbar. Mange vil selvfølgelig gøre som de altid har gjort – oprette en kundemappe på virksomhedens F:- eller G:-fællesdrev – hvor alle andre informationer om kunden er placeret – måske i en undermappe. Vælges denne model rejser det en lang række IT-sikkerhedsmæssige problemstillinger. Fordelen vil typisk være at data er omfattet af virksomhedens backup og at de kan findes, hvis der skulle blive behov for dem. Men hvem har adgang til disse personfølsomme data? Hvad med eleven der lige er ansat? Hvad med receptionisten? Hvad med hackeren, der har fået adgang til din server og truer med at offentliggøre dine data? Det er klart at vi skal kunne styre HVEM der har adgang til disse data – og at det skal ske ud fra en need-to-know tilgang. Det vil være bedre at opbevare disse data et sted hvor data er krypterede og hvor det kræver særskilt login (med 2-faktor adgang) for at få adgang til netop de kunders data som du som sagsbehandler arbejder på. Man kan endda overveje om alm. medarbejdere overhovedet har behov for adgang til disse data. De skal vel typisk kun anvendes i helt specielle situationer? Hvad gør vi når kundeforholdet stopper? Jf. GDPR må du kun opbevare personinformationer så længe de er relevante for din behandling. Men lovgivningen kan pålægge dig at opbevare disse data mindst 5 år efter at kundeforholdet stopper. Hvordan overholder du dette? Det er svært når filer blot er placeret i mapper på G:-drevet. Her er det nødvendigt at have en database der holder styr på kundeforhold og deres ophør. Ligesom der skal være en procedure for arkivering og sletning af data. Hvem har ansvaret for denne procedure? Og hvem har adgang til arkivet? Så som du ser, kan der være mange problemstillinger forbundet med at indsamle, behandle, opbevare og slette data. Vi er parat til at tage denne dialog med dig. Fx igennem et D-mærket forløb eller et mere fokuseret forløb om netop ansvarlig dataanvendelse og problemstillinger som ovenstående.

En af de vanskelige IT-sikkerhedssårbarheder at gøre noget ved er brugere med administrative rettigheder. Der er jo behov for at nogen kan administrere virksomhedens netværk, men hvordan kan vi sikre at dette sker på en hensigtsmæssig måde? En af de absolut bedste værktøjer at kigge på er Just In Time (JIT) Access. Denne metode sikrer at brugere der skal lave administrative opgaver på netværket, kun får de nødvendige rettigheder i en defineret tidsrum og kun de rettigheder der er nødvendige for at løse opgaven. Da de fleste virksomheder anvender Microsoft Active Directory (AD) til at styre IT-sikkerheden er det her muligt at anvende Microsofts service Privileged Identity Management (PIM). PIM er en service i Azure AD (nu en del af Microsoft Entra). Med denne service defineres forskellige roller som kan tildeles udvalgte brugere. Disse brugere kan så vælge at aktivere en rolle efter behov (Just In Time) og brugeren kan vælge hvor lang tid de ønsker at bruge rollen – fx 2 timer. Der vil typisk være opsat en maksimal periode på fx 6 timer. Dette giver selvsagt flere klare fordele. Brugerne har ikke rettigheder standard, dvs. vi opnår et ekstra lag af sikkerhed. Vi kan muligvis undvære at oprette dedikerede admin-brugere, da alm. brugere kan opnå rettigheder efter behov Især eksterne konsulenter/IT-leverandører kan tildeles mere specifikke roller En anden stor fordel er at brugerne afkræves en forklaring ved hver anvendelse af rollen, herved opnår vi en audit log over anvendelse af admin-rettigheder. Dette kan være yderst fordelagtigt ifm. fejlfinding m.m. PIM og Just In Time Access er et vigtige elementer i en Zero Trust strategi og i implementering af et least privilege koncept. Så vi anbefaler klart kunder at implementere JIT Access med PIM som en foranstaltning i deres IT-sikkerhed. Se evt. denne video, hvis du vil vide mere.

Jeg bliver ofte spurgt om vores IT-sikkerhedsforløb også omfatter penetration testing - penetrationstest. Penetrationstest foregår typisk ved at man tillader et IT-sikkerhedsfirma at forsøge at bryde ind i virksomhedens systemer, som om de var hackere der ville forsøge det samme. Selvom IT-sikkerhedsfirmaet anvender stort set samme værktøjer og metoder som de IT-kriminelle er forskellen naturligvis, at eksperterne rapporterer de afdækkede sårbarheder til ledelsen, så de med denne viden kan iværksætte foranstaltninger så “hullerne” kan lukkes. Men penetrationstest er dyre. Skal det gøres ordentligt kræver det dybe kompetencer, mange konsulenttimer til planlægning og gennemførelse samt rapportering. Så ingen tvivl om at penetrationstest kan være et godt værktøj. Men hvornår skal værktøjet anvendes? Forestil dig at vi talte om en ældre villa som skulle sikres imod indbrud. Ville du starte med at hyre en tidligere indbrudstyv til at forsøge et indbrud? Nej vel. Det ville nok være smartere at kortlægge dine værdier, undersøge om dine forsikringer er tilstrækkelige, klippe hækken ned i højde, DNA-mærke værdigenstande, sikre vinduer og døre samt evt. opsætte en alarm. Herefter er du uden tvivl bedre sikret. Men hvis du stadig er usikker, er dette det bedste tidspunkt at bede en “ekspert” om at forsøge et indbrud. Er der stadig “huller”? På samme måde med IT-sikkerheden, kortlæg dine IT-sikkerhedsaktiver, vurder dine risici, implementér relevante foranstaltninger, undervis dine medarbejdere. Først herefter vil du få mest værdi ud af en evt. penetrationstest. Forstå mig ret, penetrationstest kan være meget effektive. Men hvis du har 100.000 der skal bruges på IT-sikkerhed, så start i den rigtige rækkefølge. Gennemfører du penetrationstest for tidligt, kommer du til at gentage processen - måske flere gange.

Bestyrelsen ”slår tonen an” til håndtering af IT-sikkerhed i virksomheden, hvordan bestyrelsen forholder sig til cybertruslen og kommunikerer, sender signaler til hele organisationen. Rent formelt er styring af virksomhedens risici – også cyberrisici – bestyrelsens ansvar. Og med de kommende NIS2 regler bliver det bødebelagt ikke at leve op til ansvaret. Bestyrelsesforeningens Center for Cyberkompetencer, har udarbejdet en god vejledning for bestyrelsesmedlemmer og heri er der beskrevet en række gode anbefalinger. ”Virksomheden skal træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger, der sikrer et sikkerhedsniveau, der passer til risikoen.” Men hvad er ”passende og forholdsmæssige” for den enkelte virksomhed eller institution? Her kommer bestyrelsens egne kompetencer i spil. Hvem I bestyrelsen har kompetencer til at vurdere dette? Det er naturligvis en mulighed at finde en egnet kandidat og udvide bestyrelsen, men ofte vil det være svært at finde egnede kandidater med dette fokus. En anden mulighed er at øge bestyrelsens vidensniveau, fx med en temadag eller at sende enkelte bestyrelsesmedlemmer på kursus. En tredje mulighed er at tilknytte en ekstern IT-sikkerhedsrådgiver i en kortere eller længere periode. På denne måde sikrer bestyrelsen at kompetencen er til stede, at der er sparring omkring IT-sikkerhedshåndteringen og at der kan implementeres passende foranstaltninger. Hos Digital Fighters tilbyder vi netop at spille denne rolle for virksomhedens bestyrelse og ledelse. Vi kan træne og uddanne bestyrelsen, deltage i konkret IT-sikkerhedsarbejde, være projektleder på implementering af foranstaltninger og facilitere ISO-27001 eller D-mærket certificeringer. Ligesom vi tilbyder løbende at følge op på virksomhedens IT-sikkerhed. Tag fat i os, hvis du ønsker at tage IT-sikkerheden alvorligt i din bestyrelse. Læs vejledningen ”Cybersikkerhed for bestyrelse og direktion”.

Center for Cybersikkerhed (CFCS) har netop opdateret deres vejledning for password-sikkerhed. Det er en ganske god vejledning. Helt overordnet giver vejledningen følgende gode anbefalinger. Anvend flerfaktor-autentifikation på alle internetvendte systemer. Anvend flerfaktor-autentifikation hvor muligt. Anvend en passwordmanager til at gemme og generere passwords. Et password bør være minimum 15 tegn. Et password må ikke genbruges. Alle 5 anbefalinger er yderst relevante og erfaringsmæssigt kniber det hos de fleste med dem alle. Flerfaktor-autentifikation kan efterhånden aktiveres på de fleste tjenester, husk at det også gælder for de sociale medier såsom LinkedIn, Facebook, Youtube og Instagram. Anvendelsen af en password manager app er ligeledes yderst relevant, da vi i dag tvinges til at oprette så mange forskellige adgangskoder på tværs af tjenester at det er umuligt ikke at komme til at genanvende passwords på tværs af disse – og dette er en stor sårbarhed, da læk af passwords fra én tjeneste kan anvendes på andre. Gennemgang af password politik og helt lavpraktiske ændringer af procedurer, herunder indføring af en password manager er altid en del af vores rådgivning. Du kan læse den opdaterede vejledning på Center for Cybersikkerheds hjemmeside via dette link. https://www.cfcs.dk/da/forebyggelse/vejledninger/passwords/

NIS2 kommer til at rulle hen over hele EU og mange virksomheder bliver ramt. De 1.000-1.400 virksomheder som bliver direkte ramt af kravene, men derudover alle underleverandører som vil blive ramt indirekte. Der er store konkurrencefordele ved at tage IT-sikkerhed alvorligt, det viste Cyberbarometer-analysen med al tydelighed. Alle IT-sikkerhedstiltag øger konkurrenceevnen. Hvad enten din virksomheds strategi er at blive ISO-27001 certificeret, D-mærket certificeret eller blot ønsker at få IT-sikkerhed på dagsordenen er det vigtigste budskab at komme i gang NU. Der er ingen fordele i at vente til vi kommer nærmere datoen. Samtidig er trusselsbilledet stadig meget højt, så en indsats nu kan potentielt spare dig for mange penge og bekymringer. Få en dialog med mig omkring din virksomheds situation, bestil et IT-sikkerhedstjek og/eller et D-mærket forløb. D-mærket sikrer at du allerede nu lever op til minimumskravene i NIS2. Mener du at en ISO-27001 certificering er vejen frem for din virksomhed, så lad mig være din projektleder og eksterne IT-ekspert som fører jer effektivt igennem processen. Vent ikke for længe, der er kun ca. 18 måneder til NIS2 træder i kraft og tiden går hurtigt.

Datatilsynet har frigivet et GDPR-univers til små og mindre virksomheder. Det er et godt initiativ om end det kommer noget sent. GDPR blev indført i 2018. Men bedre sent end aldrig. GDPR er en vigtig del af en virksomheds IT-sikkerhed og ansvarlige dataanvendelse. I vores arbejde er der altid fokus på at virksomheden foruden at have styr på IT-sikkerheden også efterlever GDPR. Men husk at GDPR-efterlevelse er et grundvilkår som ikke forholder sig til de aktuelle IT-sikkerhedstrusler. Så GDPR kan ikke stå alene. Med vores IT-sikkerhedstjek og D-mærket forløb kommer vi hele vejen rundt om virksomhedens IT-sikkerhed – herunder GDPR. Du kan besøge Datatilsynets GDPR-univers her: https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/gdpr-univers-for-smaa-virksomheder

IT-sikkerhed har aldrig været vigtigere for de danske virksomheder - store som små. Få en gennemgang af din virksomheds IT-sikkerhed og få i processen gode råd til hurtige forbedringer. Forbedringer der kan spare dig for mange bekymringer og penge. Sikkerhedstjekket er en kombination af en spørgeramme og et fysisk møde, hvor IT-sikkerheden gennemgås af en IT-sikkerhedsekspert. Alt efter resultatet, kan afdækkede problemstillinger håndteres straks eller foranstaltninger kan iværksættes ud fra konkrete anbefalinger. Sikkerhedstjekket er en priseffektiv metode til at få sikkerheden på dagsordenen. Og få en ekspertvurdering af virksomhedens IT-sikkerhedsniveau. Bestil allerede et IT-sikkerhedstjek i dag på telefon 3091 4006. Fast pris 4.995,- ekskl. moms og kørsel.

Cybertruslen udvikler sig konstant, hackerne finder nye sårbarheder og metoder og de kriminelle udnytter hele tiden aktuelle hændelser til at finde på udspekulerede metoder til at snyde dine medarbejdere. Derfor er det afgørende at opbygge et ledelsessystem hvor du sikrer at IT-sikkerheden løbende holdes opdateret. Best-practise er at etablere et årshjul med aktiviteter der gentages periodisk. Dels er det jo oplagt at selve ledelsessystemet dvs. IT-sikkerhedspolitikker, beredskabsplaner og andre relevante politikker og retningslinjer vurderes og opdateres. Det er også afgørende at ledelsen tager hånd om en løbende risikovurdering og laver en plan for håndteringen af de afdækkede risici. Når der er truffet foranstaltninger, er det også afgørende at der følges op på disse. Medarbejderne (og ledelsen) skal løbende undervises og trænes i IT-sikkerhed, det vi kalder awareness. Dette gøres bedst ved etablering af et awareness-program og fx via værktøjer som HackerStop sikre at der periodisk gennemføres aktiviteter og evt. tests. I løbet af et år vil der opstå IT-sikkerhedshændelser som skal håndteres og rapporteres. Og måske kræver disse hændelser ændringer som IT-sikkerhedsorganisationen skal implementere. Rent teknisk sker der hele tiden en udvikling af den software der anvendes. Vi skal sikre at der sker opdatering af enheder og programmer der anvendes i organisationen og at vores kritiske netværksenheder såsom firewalls, servere og netværksudstyr opdateres med firmware. Vi skal sikre at der tages backup og at disse periodisk testes, så vi er sikre på at de rent faktisk kan anvendes i en nødsituation. Er man certificeret skal der periodisk ske re-certificering og man kan være forpligtet til at gennemføre interne audits o.l. Har man valgt at outsource IT til leverandører eller anvende cloud-tjenester har man stadig selv ansvaret for IT-sikkerheden, derfor skal der periodisk foretages vurderinger og evalueringer af leverandørernes IT-sikkerhed og beredskab. Så som du kan se stopper arbejdet med IT-sikkerhed aldrig, og det kræver en del at holde trit med udviklingen og de IT-kriminelles trusler. Vi kan hjælpe med at få styr på IT-sikkerheden fx med et D-mærke forløb og efterfølgende være din betroede partner der sikrer at årshjulet oprettes og at der sker en løbende opfølgning på IT-sikkerheden.