Skip to main content

Forfatter: Svein tore

Skjold med AI-symbol foran skjerm og hengelås – illustrerer proaktiv trusselbeskyttelse med innebygd sikkerhet

Slik fungerer sikkerhetsopplæring uten å overvåke ansatte

Skrevet av Svein tore den . Publisert i IT-sikkerhet. Ingen kommentarer til Slik fungerer sikkerhetsopplæring uten å overvåke ansatte

Sikkerhetsopplæring kan fort høres kontrollpreget ut. Det er ikke slik vi ønsker å bruke det.

Målet er at ansatte skal bli tryggere i møte med e-post, lenker, innlogginger og digitale trusler. Ikke at enkeltpersoner skal henges ut.

Hva gjør vi?

Ansatte kan få:

  • korte mikrokurs på e-post
  • spørsmål og enkle tester
  • kontrollerte phishing-simuleringer
  • påminnelser der risikoen er høyere
  • egen rapport med utvikling og råd

Dette gir bedre risikoforståelse uten å gjøre opplæringen tung.

Dynamisk oppfølging

Alle ansatte trenger ikke samme mengde opplæring.

En bruker som ofte trykker på falske e-poster, kan få flere mikrokurs og påminnelser. En bruker som viser god forståelse, trenger kanskje mindre.

Opplæringen tilpasses risiko.

Hva får ledelsen se?

Ledelsen får oversikt over total risiko og utvikling i organisasjonen.

Rapportene anonymiseres eller aggregeres i henhold til lovverket. Hensikten er å se hvor organisasjonen trenger mer opplæring, ikke å peke ut enkeltpersoner.

Den enkelte bruker får sin egen rapport.

Hvorfor dette er nyttig

Tekniske sikkerhetsverktøy stopper mye. Men de stopper ikke alt.

Ansatte er en viktig del av sikkerheten. Med korte, praktiske mikrokurs blir sikkerhet en del av arbeidshverdagen uten at det føles som et stort prosjekt.

Skjold med AI-symbol foran skjerm og hengelås – illustrerer proaktiv trusselbeskyttelse med innebygd sikkerhet

Hvorfor adminbrukere krever strengere kontroll

Skrevet av Svein tore den . Publisert i IT-sikkerhet. Ingen kommentarer til Hvorfor adminbrukere krever strengere kontroll

En vanlig bruker kan gjøre skade hvis kontoen blir misbrukt. En adminbruker kan gjøre mye mer.

Derfor behandler vi administrative og kritiske tilganger annerledes enn vanlige brukerkontoer.

Hva er en kritisk tilgang?

Kritiske tilganger kan være:

  • Microsoft 365-admin
  • domene og DNS
  • webhotell
  • servere
  • backup
  • nettverk
  • regnskapssystem
  • Nextcloud-admin
  • intern IT-tilgang
  • superbrukere i viktige systemer

Kort sagt: har brukeren nøkler til viktige systemer, må vi ha bedre kontroll.

Hvorfor krever dette mer?

Adminbrukere trenger:

  • sterkere tilgangsstyring
  • dokumentasjon på hvem som har tilgang
  • oversikt over MFA/2FA
  • passordrutiner
  • kontroll på passordrotasjon
  • oversikt over underleverandører og systemeiere
  • tydelig ansvar

Hvis Trønder Data skal ta ansvar for slike tilganger, må vi også ha nødvendig kontrollnivå rundt dem.

Exclusive for adminbrukere

Derfor bruker vi TD Bruker Exclusive for brukere med administrative eller kritiske tilganger.

Det inkluderer alt i Standard, pluss utvidet tilgangsdokumentasjon og tettere oppfølging.

Hvis kunden ikke ønsker nødvendig kontrollnivå, må det dokumenteres som et avvik. Da eier kunden risikoen for den delen.

Fra Passportal til Nexum

I dag kan tilgangsdokumentasjon håndteres gjennom Passportal og tilsvarende verktøy.

Målet er at mer av dette flyttes inn i Nexum Client, slik at kunden får bedre oversikt over tilganger, leverandører, dokumentasjon og ansvar.

GDPR-logo som illustrerer hvordan vi sikrer personvern på nettsidene

Derfor bør SMB ta compliance på alvor, selv uten NIS2-krav

Skrevet av Svein tore den . Publisert i IT-sikkerhet. Ingen kommentarer til Derfor bør SMB ta compliance på alvor, selv uten NIS2-krav

Mange små og mellomstore bedrifter tenker at compliance er noe store virksomheter driver med.

Det er en farlig forenkling.

Selv om en bedrift ikke er direkte omfattet av NIS2, kan den likevel få krav gjennom kunder, leverandører, forsikring, databehandleravtaler eller egne kontrakter. Og uansett regelverk kan driftsstans, datatap og sikkerhetsbrudd bli dyrt.

Compliance handler ikke bare om lover

Compliance betyr i praksis at virksomheten kan dokumentere at den jobber ryddig.

Det kan handle om:

  • hvem som har tilgang til hva
  • om backup fungerer
  • om MFA er aktivert
  • om ansatte får sikkerhetsopplæring
  • om leverandører er dokumentert
  • om risiko er vurdert
  • om hendelser kan håndteres
  • om personopplysninger behandles riktig

Dette er ikke bare papirarbeid. Det er driftssikkerhet.

Små bedrifter blir også rammet

Angrep og datatap bryr seg ikke om bedriften er liten.

En liten bedrift kan tåle driftsstans dårligere enn en stor. Hvis daglig leder samtidig må være prosjektleder, IT-ansvarlig, sikkerhetsansvarlig og dokumentasjonsansvarlig, blir risikoen fort høy.

Vår arbeidsmåte

Hos Trønder Data jobber vi med løpende kontroll og dokumentasjon.

Den årlige risikoanalysen er bare én del av dette. Dokumentasjon og vurderinger oppdateres også underveis når brukere, systemer, leverandører eller risiko endrer seg.

Én gang i året gjør vi en grundigere gjennomgang sammen med kunden.

NIS2 som målestokk

Ikke alle kunder er omfattet av NIS2 eller digitalsikkerhetsloven. Likevel bruker vi samme seriøse tilnærming.

Det betyr ikke at alle småbedrifter skal ha et tungt styringssystem. Det betyr at grunnleggende sikkerhet og dokumentasjon bør være på plass.

Praktisk minimum

En SMB bør minst ha kontroll på:

  • backup
  • MFA
  • passord og kritiske tilganger
  • endepunktsikring
  • nettverk
  • lisenser
  • databehandleravtaler
  • underleverandører
  • hvem som gjør hva ved sikkerhetshendelse

Referanser

Bedrift som samarbeider digitalt med Nextcloud driftet av Trønder Data

Hvilke underleverandører bruker Trønder Data?

Skrevet av Svein tore den . Publisert i IT-sikkerhet. Ingen kommentarer til Hvilke underleverandører bruker Trønder Data?

Når du kjøper IT-drift, backup, sky, webhosting eller sikkerhet, handler ikke alt bare om leverandøren du snakker med.

Det handler også om hvem som ligger bak tjenestene.

Derfor får kundene våre oversikt over relevante underleverandører i tilbudet og deretter i kontrakten.

Underleverandører avhenger av tjenesten

Det finnes ikke én fast liste som gjelder likt for alle kunder.

En kunde som kjøper Microsoft 365 har andre underleverandører enn en kunde som bruker norskdriftet Nextcloud på vår egen infrastruktur. En kunde med webhosting har andre behov enn en kunde med nettverk som en tjeneste.

Derfor dokumenterer vi underleverandører ut fra hva kunden faktisk kjøper.

Vår prioritering

Vi prioriterer:

1. norsk drift der det er mulig

2. EU/EØS der det er nødvendig

3. USA-baserte tjenester der kunden trenger det, ønsker det eller der det ikke finnes et fornuftig alternativ

Dette gjelder særlig for kunder som behandler sensitive data eller har kontraktskrav til datalagring.

Eksempler på tjenester der underleverandører kan være relevante

Underleverandører kan være relevante for:

  • Microsoft 365
  • backup
  • sikkerhetsverktøy
  • webhosting
  • domener og DNS
  • VPS
  • e-post
  • nettverk
  • datalagring
  • opplæring og compliance

Hvorfor dette bør stå i kontrakten

Kunden skal vite hvem som kan behandle data og hva de ulike leverandørene brukes til.

Dette er viktig for:

  • GDPR
  • databehandleravtale
  • risikovurdering
  • internkontroll
  • kundens egne kontraktskrav

Vårt råd

Spør alltid IT-leverandøren din hvilke underleverandører som brukes. Hvis svaret er uklart, er det et tegn på at dokumentasjonen ikke er god nok.

Hos oss skal dette fremgå av tilbud og kontrakt.

GDPR-logo som illustrerer hvordan vi sikrer personvern på nettsidene

Cloud Act, GDPR og norske bedrifter: hvorfor skyvalg betyr noe

Skrevet av Svein tore den . Publisert i IT-sikkerhet. Ingen kommentarer til Cloud Act, GDPR og norske bedrifter: hvorfor skyvalg betyr noe

Skyvalg virker ofte enkelt: velg det folk kjenner, betal lisensen og kom i gang.

For mange bedrifter fungerer det. Men for virksomheter med sensitive data, kontraktskrav eller høyere krav til kontroll, er ikke skyvalg bare et IT-spørsmål. Det er et risikospørsmål.

Hva er problemet?

Når en bedrift bruker en skyplattform, må den vite mer enn hvor filene ligger på et kart.

Den må også forstå:

  • hvem leverandøren er underlagt juridisk
  • hvem som kan ha supporttilgang
  • hvilke underleverandører som brukes
  • om data kan overføres ut av EU/EØS
  • hvilke kontrakter kunden selv er bundet av
  • hvilken dokumentasjon som finnes

Cloud Act kort forklart

Cloud Act er amerikansk lovgivning som blant annet handler om tilgang til elektronisk informasjon hos USA-baserte tjenesteleverandører.

For norske kunder betyr dette ikke at "alt er ulovlig". Men det betyr at en amerikansk skyleverandør må vurderes nøye når virksomheten har sensitive data eller krav til datasuverenitet.

GDPR og overføring ut av EØS

GDPR stiller krav til behandling av personopplysninger. Datatilsynet peker på at overføring av personopplysninger ut av EØS kommer i tillegg til de andre forpliktelsene etter regelverket.

Det betyr at kunden må vite om en overføring skjer, hvem som mottar data, hvilket grunnlag som brukes og hvilke tiltak som er på plass.

Microsoft 365 kan være riktig, men ikke alltid

Microsoft 365 er en sterk løsning. Den er praktisk, kjent og effektiv.

Men for noen kunder blir vurderingen mer komplisert. Microsofts EU Data Boundary reduserer mange dataflyter, men Microsoft beskriver også scenarioer der data fortsatt kan overføres ut av EU Data Boundary for å levere tjenesten.

Da må kunden vurdere om dette er greit for deres type data og avtaler.

Når vi anbefaler norskdriftet sky

Trønder Data anbefaler norskdriftet Nextcloud eller lokal løsning på det sterkeste når kunden:

  • behandler sensitive personopplysninger
  • jobber med helseopplysninger
  • har kontrakter mot norsk eller europeisk forsvar/militær sektor
  • har kunder eller leverandører som krever kontrollert datalagring
  • ønsker minst mulig avhengighet til USA-baserte skytjenester

Vår tommelfingerregel

Vi bruker norsk der det er mulig, EU/EØS der vi må, og USA-baserte tjenester der det er nødvendig eller kunden aktivt velger det.

Det viktigste er at kunden velger bevisst, ikke bare fordi en løsning er mest kjent.

Referanser

Når passer Microsoft 365, og når bør dere velge Nextcloud?

Skrevet av Svein tore den . Publisert i Nextcloud. Ingen kommentarer til Når passer Microsoft 365, og når bør dere velge Nextcloud?

Microsoft 365 og Nextcloud kan begge være gode løsninger. Valget handler ikke bare om funksjoner. Det handler også om pris, datalagring, ansvar, personvern, brukervaner og hvilke krav kunden selv er bundet av.

Hos Trønder Data leverer og støtter vi begge deler. Vi liker Microsoft 365 som arbeidsverktøy fordi det er effektivt, kjent og enkelt for mange brukere. Samtidig anbefaler vi norskdriftet Nextcloud på det sterkeste når kunden har sensitive data eller strenge krav til kontroll.

Når Microsoft 365 passer godt

Microsoft 365 passer ofte godt når:

  • ansatte allerede jobber mye i Outlook, Word, Excel og Teams
  • kompatibilitet med kunder og leverandører er viktig
  • rask oppstart er viktigere enn maksimal datakontroll
  • virksomheten ikke har særskilte krav som begrenser USA-baserte skytjenester
  • kunden ønsker en kjent brukeropplevelse

Men Microsoft 365 bør settes opp riktig. Det holder ikke å kjøpe en lisens og håpe at alt er sikkert.

Trønder Data bistår med lisensvalg, brukere, sikkerhetsoppsett, tilgangsstyring, backup og support etter avtale.

Når Nextcloud bør vurderes

Nextcloud bør vurderes når:

  • norsk datalagring er viktig
  • kunden behandler sensitive personopplysninger
  • kunden har kunder eller leverandører som stiller krav til datalagring
  • virksomheten må redusere avhengighet til USA-baserte leverandører
  • mange brukere gjør Microsoft-lisenser dyre
  • kunden ønsker mer kontroll over egen sky

Nextcloud hos Trønder Data driftes på vår egen norske infrastruktur. For kunder med ekstra krav til oppetid kan vi også bruke NTE sitt datasenter etter avtale.

Nextcloud er ikke bare et alternativ

Det er lett å omtale Nextcloud som "alternativet til Microsoft". Det blir litt for svakt.

For mange bedrifter er Nextcloud en knallgod løsning i seg selv. Den kan dekke filer, deling, kalender, kontakter, dokumenter, chat, møter, mobilapp, backup, drift og support.

Ved mange brukere kan Nextcloud også bli rimeligere enn Microsoft 365, fordi lisensmodellen er mer fleksibel.

Cloud Act og GDPR må vurderes

Microsoft er en amerikansk leverandør. Det betyr at Cloud Act, GDPR, datalagring, supporttilgang og underleverandører må vurderes samlet.

Microsoft har gjort mye for europeisk datalagring, blant annet gjennom EU Data Boundary. Samtidig opplyser Microsoft selv at enkelte dataflyter og tilganger fortsatt kan gå utenfor EU Data Boundary i bestemte scenarioer.

For kunder med strenge krav holder det ikke å se på hvor data "normalt" lagres. Man må også vurdere juridisk kontroll, supporttilgang, telemetri, databehandleravtaler og egne kontraktskrav.

Vår praktiske anbefaling

Velg Microsoft 365 når kjent brukeropplevelse, Office-kompatibilitet og enkel samhandling er viktigst.

Velg Nextcloud når datasuverenitet, norsk drift, personvern, kostnadskontroll og kontroll over egen løsning veier tyngst.

Er du usikker, bør vi kartlegge behovet før du velger plattform. Feil skyvalg kan bli dyrt å rydde opp i senere.

Referanser

IT-konsulent som overvåker administrert nettverk og VPN som del av nettverk serviceavtale for SMB

Hva skjer med nettverksutstyr etter 5 år?

Skrevet av Svein tore den . Publisert i Nettverk. Ingen kommentarer til Hva skjer med nettverksutstyr etter 5 år?

I nettverk som en tjeneste byttes utstyret normalt ut etter 5 år.

Dette gjør at kunden slipper å sitte med gammelt nettverksutstyr som ikke lenger passer behovet, sikkerheten eller driften.

Kan kunden kjøpe ut utstyret?

Ja. Kunden kan avtale utkjøp av utstyr til restverdi.

Restverdien skal være synlig på kundens Mine sider.

Hva hvis utstyr feiler før det?

Når nettverket er vårt ansvar gjennom avtalen, bytter vi defekt utstyr så raskt vi kan.

Ofte skjer dette samme dag hvis vi har utstyret på lager. Det har vi som regel.

Hvis vi ikke leverer i henhold til avtalt SLA, håndteres det som avvik i avtalen.

Ansatte i SMB som samarbeider digitalt i Office 365 administrert gjennom serviceavtale

Hva betyr 99 % oppetid hos Trønder Data?

Skrevet av Svein tore den . Publisert i Serviceavtaler. Ingen kommentarer til Hva betyr 99 % oppetid hos Trønder Data?

99 % oppetid betyr at vi tar ansvar for at tjenestene vi drifter skal være stabile og tilgjengelige.

Dette gjelder for det vi faktisk har kontroll over og ansvar for gjennom avtalen.

Hva er unntatt?

Forhold utenfor vår kontroll er unntatt, for eksempel:

  • strømbrudd hos kunden
  • feil hos internettleverandør
  • kundens eget utstyr
  • feil hos andre leverandører utenfor avtalen
  • planlagt vedlikehold
  • force majeure

Hvordan varsler vi ved vedlikehold?

Ved planlagt vedlikehold varsler vi kunden direkte.

For kritiske kunder tar vi ofte kontakt og planlegger tidspunkt sammen. Ved større eller mer generell driftsinformasjon kan vi også varsle via sosiale medier.

Vi vurderer også egen statusside i Nexum Client for driftsmeldinger, planlagt vedlikehold og kjente feil.

Skjold med AI-symbol foran skjerm og hengelås – illustrerer proaktiv trusselbeskyttelse med innebygd sikkerhet

Hvordan jobber Trønder Data med risikoanalyse?

Skrevet av Svein tore den . Publisert i IT-sikkerhet. Ingen kommentarer til Hvordan jobber Trønder Data med risikoanalyse?

Risikoanalyse er ikke noe vi gjør én gang i året og legger i en skuff.

Vi jobber løpende med kontroll, dokumentasjon og vurderinger. Den årlige risikoanalysen er den grundige hovedgjennomgangen, men dokumentasjonen oppdateres også underveis når miljøet endrer seg.

Hva vurderer vi?

En risikoanalyse kan blant annet dekke:

  • brukere
  • passord og MFA
  • backup
  • endepunktsikring
  • nettverk
  • lisenser
  • datalagring
  • GDPR/personvern
  • beredskap
  • leverandører
  • kritiske tilganger
  • dokumentasjon

Også for kunder som ikke er underlagt NIS2

Ikke alle kunder faller formelt inn under NIS2 eller andre strenge regelverk. Likevel behandler vi sikkerhet seriøst for alle.

Små og mellomstore virksomheter kan også rammes av datatap, driftsstans og sikkerhetsbrudd. Derfor bruker vi en grundig tilnærming også der kunden ikke er tvunget til det av lovverket.

Referanser:

Hvem bør være ekstra forsiktig med Microsoft 365 og USA-baserte skytjenester?

Skrevet av Svein tore den . Publisert i IT-sikkerhet. Ingen kommentarer til Hvem bør være ekstra forsiktig med Microsoft 365 og USA-baserte skytjenester?

Microsoft 365 er en sterk og brukervennlig løsning. Mange bedrifter bruker den med gode resultater.

Men for noen kunder er ikke spørsmålet bare hva som er praktisk. Det handler også om datalagring, juridisk risiko, kontraktskrav og kontroll.

Kunder som bør vurdere alternativer ekstra nøye

Dette gjelder særlig virksomheter som:

  • behandler sensitive personopplysninger
  • jobber med helseopplysninger
  • har kontrakter mot norsk eller europeisk forsvar/militær sektor
  • har kunder eller leverandører som stiller krav til datalagring
  • må unngå USA-baserte skytjenester
  • har strenge krav til datasuverenitet og sporbarhet

For slike kunder anbefaler vi norskdriftede og åpne løsninger på det sterkeste. Det kan være Nextcloud hos oss, eller andre lokale løsninger der det passer bedre.

Hvorfor er dette vanskelig?

Microsoft er en amerikansk leverandør. Det gjør at Cloud Act, GDPR, datalagring, supporttilgang, telemetri og vilkår må vurderes samlet.

Det betyr ikke at Microsoft 365 alltid er feil. Det betyr at løsningen må velges bevisst.

Kilder til videre vurdering: