Sårbarhetsskann

Enkel og kostnadseffektiv analyse av teknologiske sårbarheter.

Et sikkerhetsskann av bedriftens systemer vil hjelpe organisasjonen i å være proaktiv i forhold til å avdekke sårbarheter i systemer på bakgrunn av f.eks. manglende oppdateringer, feil konfigurasjon, svake passord og/eller lignende feil. En rekke standarder som ISO 27000 og PCI DSS anbefaler og krever bruk av sikkerhetsskann som en del av sikkerhetsarbeidet, og som en del av risiko administrasjonen. Vi ser etter 10 år med skanning av nettverk for norske bedrifter at det fremdeles er et stort behov for sikkerhetstesting og analyse av nettverkskomponenter. Det har vært en tydelig bedring i forhold til oppdatering av en rekke systemer, men fremdeles er mange selskaper svært trege med å oppdatere systemer tilgjengelige fra internett, samt at det forekommer svært ofte at man har unødvendige åpninger i brannmurer, og/eller feil konfigurert utstyr som åpner opp nettverket for kriminelle.

• Det er viktig å bedrive et aktivt og pågående arbeid med å sikre bedriftens verdier.
• Som selskap er det viktig å vise at man bryr seg om sikkerhet, dette kan være viktig i forbindelse med nye partnerskap og kundeforhold, eller være svært nyttig i forhold til å bevare renomme i etterkant av en hendelse.
• Alle selskaper som lagrer sensitiv informasjon bør validere sikkerheten og er/kan være pålagt dette gjennom relevant lovgivning eller gjennom bransjekrav som f.eks. PCI Data Security Standard.
• For å administrere informasjonsrisiko og sikkerhet på en god måte må selskapet ha kontroll i forhold til sårbarheter og skadeomfang. En grundig gjennomført penetrasjonstest kan gi nyttig data til arbeidet med risikoanalyse og risikoadministrasjon.

Vi utfører forskjellige typer sikkerhetsskann, basert på lokasjon og mål med oppdraget: 

• Ekstern analyse: Vi ser etter sårbarheter i brannmur og IP adresser tilgjengelig fra internett
• Intern analyse: Vi ser etter sårbarheter på klienter og i nettverket på innsiden av brannmuren.
• PCI ASV analyse: Vi validerer og godkjenner bedrifter omfattet av PCI DSS. Alle bedrifter som prosesserer kredittkortdata må tilfredsstille kravet om å kvartalsvis bli skannet av en godkjent PCI ASV.
  • Våre sikkerhetsskann er godkjente.

Alle systemer må kontinuerlig bli overvåket og vedlikeholdt i forhold til relevante trusler og sårbarheter. Risikoadministrasjon må gjøres løpende som en pågående prosess for alle sensitive data og kritiske systemer. Det er derfor nødvendig med repeterende og jevnlig sikkerhetstesting.

Vi anbefaler at man som en del av arbeidet med sikkerhetspolicyen definerer hvilket typer tester og frekvensen av testing som er nødvendig for bedriftens forskjellige systemer. Vi anbefaler minst en årlig penetrasjonstest av selskapet, sammen med en pågående kvartalsvis sikkerhetsskanning.

Ved å utføre regelmessige penetrasjonstester og sikkerhetsskann vil man som selskap vise at man tar sikkerhet på alvor, at man er ansvarsfull som partner og at man etterlever krav til sikkerhet gjennom ISO 27001 og PCI DSS.