Kategori 5 av 10 · Art. 21(2)(e)

Sikkerhet i anskaffelse, utvikling og vedlikehold av IKT

Sikkerhet skal ivaretas gjennom hele livssyklusen til IT-systemer — fra innkjøp og utvikling til drift og avvikling. Inkluderer sårbarhetshåndtering.

5.1

Har dere rutiner for å holde programvare og systemer oppdatert (patching)?

Kritisk

Uoppdatert programvare er en av de vanligste angrepsvektorene. Patching bør skje regelmessig og raskt for kritiske sårbarheter. Automatisert der det er mulig.

5.2

Vurderes sikkerhet som en del av anskaffelsesprosessen for nye IT-løsninger?

Viktig

Før dere kjøper eller implementerer nye systemer — spør: Hvordan håndterer leverandøren sikkerhet? Er det kryptering? Tilgangskontroll? Logging? Å velge sikre løsninger fra starten er billigere enn å fikse etterpå.

5.3

Hvis dere utvikler egen programvare — følger dere sikker utviklingspraksis?

Viktig

For virksomheter som utvikler selv: Brukes kodegjennomgang, sikkerhetstesting, eller OWASP-retningslinjer? Mange SMBer bruker standardprodukter, og da er dette mindre relevant — men vurder plugins og tilpasninger.

5.4

Har dere en prosess for å fange opp og håndtere kjente sårbarheter i systemene deres?

Kritisk

Sårbarhetshåndtering betyr at dere aktivt følger med på om systemene deres har kjente svakheter (CVE-er), og har en plan for å fikse dem. Mange leverandører sender varsler — spørsmålet er om noen leser og handler på dem.

5.5

Har dere rutiner for sikker avvikling av systemer og sletting av data?

Standard

Når systemer tas ut av drift, må data slettes forsvarlig og tilganger fjernes. Gamle servere og kontoer som "bare står der" er en vanlig sikkerhetsrisiko.

5.6

Gjennomfører dere sikkerhetstesting (penetrasjonstesting, sårbarhetsskanning) av kritiske systemer?

Viktig

Testing avslører svakheter dere ikke visste om. For kritiske systemer bør dette gjøres regelmessig. Det finnes rimelige automatiserte verktøy, og for SMBer trenger ikke alt være full pentest.