Ignorance is bliss — Thomas Gray

Det du ikkje veit har du ikkje vondt av er det nokre som seier. Men realiteten er at det du ikkje veit kan du ikkje gjere noko for å hindre at du får vondt av.

Med dette innlegget vil eg vise nokre inngangsdører til Cybersecurity. Cybersecurity er essensielt for alle IT-bedrifter og har i takt med aukande digitalisering blitt essensielt for svært mange andre bedrifter også. Cybersecurity er relevant på alle nivå i bedrifta: leiing, driftspersonell, utviklarar, osv.

Så kvifor søv du betre enn du bør?

Leiinga har ikkje lest NISTs Cybersecurity Framework om korleis ein kan gå fram for å sikre at bedrifta er best mulig rusta til å

• Identifisere risiko, truslar og sårbarheiter
• Beskytte bedrifta inkludert infrastuktur, tenester og informasjon
• Oppdage hendingar
• Handtere hendingar
• Komme seg igjen etter hendingar

Derfor har leiinga heller ikkje lest dei omfattande anbefalingane i NISTs Security and Privacy Controls for Federal Information Systems and Organizations eller dei meir kortfatta og kostnadseffektive anbefalingane i CISs Critical Security Controls.

Derfor har ikkje programmerane lest om sikring av webapplikasjonar i OWASPs Application Security Verification Standard.

Derfor har ikkje driftspersonellet lest om sikring av operativsystem og applikasjonar i CISs Secure Configuration Benchmarks.

Derfor søv du godt.

Sjølv om du ikkje burde.

Eg har lest og sove dårlig for så å sørge for at eg igjen kan sove godt. Det anbefalar eg deg å gjere også.

Eksterne ressursar:

• http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214.pdf
• http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf
• https://www.cisecurity.org/critical-controls.cfm
• https://www.owasp.org/images/6/67/OWASPApplicationSecurityVerificationStandard3.0.pdf
• https://benchmarks.cisecurity.org/