5.1
Har dere rutiner for å holde programvare og systemer oppdatert (patching)?
Uoppdatert programvare er en av de vanligste angrepsvektorene. Patching bør skje regelmessig og raskt for kritiske sårbarheter. Automatisert der det er mulig.
Kategori 5 av 10 · Art. 21(2)(e)
Sikkerhet skal ivaretas gjennom hele livssyklusen til IT-systemer — fra innkjøp og utvikling til drift og avvikling. Inkluderer sårbarhetshåndtering.
5.1
Uoppdatert programvare er en av de vanligste angrepsvektorene. Patching bør skje regelmessig og raskt for kritiske sårbarheter. Automatisert der det er mulig.
5.2
Før dere kjøper eller implementerer nye systemer — spør: Hvordan håndterer leverandøren sikkerhet? Er det kryptering? Tilgangskontroll? Logging? Å velge sikre løsninger fra starten er billigere enn å fikse etterpå.
5.3
For virksomheter som utvikler selv: Brukes kodegjennomgang, sikkerhetstesting, eller OWASP-retningslinjer? Mange SMBer bruker standardprodukter, og da er dette mindre relevant — men vurder plugins og tilpasninger.
5.4
Sårbarhetshåndtering betyr at dere aktivt følger med på om systemene deres har kjente svakheter (CVE-er), og har en plan for å fikse dem. Mange leverandører sender varsler — spørsmålet er om noen leser og handler på dem.
5.5
Når systemer tas ut av drift, må data slettes forsvarlig og tilganger fjernes. Gamle servere og kontoer som "bare står der" er en vanlig sikkerhetsrisiko.
5.6
Testing avslører svakheter dere ikke visste om. For kritiske systemer bør dette gjøres regelmessig. Det finnes rimelige automatiserte verktøy, og for SMBer trenger ikke alt være full pentest.