Vírinn er fréttarit um upplýsingatækni frá Áhættuþjónustu Deloitte ehf og er gefinn út á tveggja vikna fresti. Hér að neðan munu birtast reglulega nýjustu fréttir Vírsins;  

Strax komin óværa vegna árásarinnar í Boston

Nokkrum klukkutímum eftir sprengingarnar var óværan komin af stað
Líkt og Vírinn hefur áður fjallað um nota tölvuþrjótar öll tækifæri sem gefast til að reyna að blekkja tölvunotendur og koma óværu í tölvur þeirra. Eru nú þegar farnar að berast fréttir um að póstar hafi verið sendir út þar sem lofað er myndum af sprengingunum en þegar betur er að gáð kemur í ljós að um óværu er að ræða. Svipaðar tilraunir hafa einnig fundist á Facebook, þar sem reynt er að fá notendur til að smella á hlekki, annað hvort til stuðnings fórnarlömbum eða til að reyna að fá frekari upplýsingar um árásina. Vírinn minnir enn á mikilvægi þess að nálgast fréttir og upplýsingar einungis með viðurkenndum leiðum og ekki taka gylliboðum sem fylgja því miður atburðum sem þessum. Mikilvægt er þá að kanna vel hvert hlekkir beina notendum og láta ekki forvitni ráð för þegar smellt er á myndbönd. Meira

---------------

Okkar þjónusta

Veikleikar í upplýsingakerfum geta haft alvarlegar afleiðingar, bæði beinar fjárhagslegar afleiðingar, s.s. vegna sviksemi eða rekstrarstöðvunar og einnig skaða á orðspori t.d. vegna upplýsingaleka i fjölmiðla eða óviðeigandi dreifingu viðkvæmra persónuupplýsinga eða greiðslukortaupplýsinga. Ýmsar ytri kröfur eru einnig gerðar til reksturs upplýsingakerfa, s.s. af viðskiptavinum, samstarfsaðilum og eftirlitsaðilum og mikilvægt að bæði kerfin sjálf og rekstur þeirra sé í samræmi við viðeigandi kröfur og að leitast sé við að uppfylla þær á sem hagkvæmastan hátt.

Sérfræðingar Deloitte eru með fjölbreytta þekkingu og mismunandi reynslu af ólíkum verkefnum og viðskiptavinum.  Markmið Deloitte er að vinna okkar skili ávinningi fyrir viðskiptavini okkar og sé sniðin að þörfum og verkefnum hvers viðskiptavinar.

Þjónustulínur:

• Áhættugreining.  Hvernig er tekið á áhættum er varða rekstur upplýsingakerfa í fyrirtækinu í dag? Hverjir eru veikustu hlekkir fyrirtækisins, hvert flæða gögn og hvar er mikilvægast að bæta úr m.v.áhættu og það mögulega tjón sem gæti orðið?  Þessi greining þarf ekki að afmarkast við upplýsingakerfi heldur getur gefið heildarmynd af stöðu fyrirtækisins og hvernig áhættum er mætt í daglegum rekstri.
  
• Heilsumæling fjárhagsupplýsingakerfa.  Fjárhagsupplýsingakerfi geyma mikilvæg gögn sem stjórnendur og eigendur byggja ákvarðanir sínar á.  Því er mikilvægt að þau kerfi séu nýtt til að viðhalda réttri skráningu, geymslu og birtingu fjárhagsupplýsinga.  Einnig eru fjárhagsupplýsingakerfi mikilvægur þáttur í innra eftirliti fyrirtækja og margir reiða sig á atriði svo sem aðgangsstýringar til að tryggja mikilvæga öryggisþætti svo sem aðgreiningu starfa.
  
• Innbrots- og veikleikaprófanir.  Hverjir eru veikleikar kerfisins og hvernig er mögulegt að misnota þá til að ná óviðeigandi aðgangi eða komast í leynilegar upplýsingar? Veikleikar geta verið til staðar í vél- og hugbúnaði, uppsetningu hans og jafnvel í notendum kerfa. Mikilvægt er að veikleikar séu greindir og þeir lagfærðir til að takmarka möguleika til misnotkunar kerfa.
  
• Upplýsingaleki.  Hvaða viðkvæmu gögn eru geymd eða send hjá fyrirtækinu? Hver myndu áhrifin verða ef þau kæmust í rangar hendur? Til að fyrirbyggja slíkan leka er nauðsynlegt að greina hvar gögn eru geymd og hvernig þau eru send, setja upp viðeigandi ráðstafanir til varna og gera reglulegar prófanir til að kanna hvort nýir möguleikar á leka séu til staðar.
  
• Kortaöryggi.  Miklar kröfur eru gerðar til þeirra sem senda, geyma og vinna með greiðslukortaupplýsingar. Komist greiðslukortanúmer í rangar hendur frá sölu- eða þjónustuaðila getur það haft í för með sér háar sektir og kostnaðarsamar úttektir. Grípa þarf til viðeigandi ráðstafana til að takmarka notkun og verja þessar upplýsingar samkvæmt öryggisstaðli greiðslukortafyrirtækjanna (PCI DSS).
  
• Öryggisvitund.  Veikasti hlekkurinn í öryggiskeðjunni er notandinn sjálfur. Hann býr yfir misjafnri tækniþekkingu og getur hæglega valdið skaða, hvort sem er sjálfur eða með því að hleypa óprúttnum aðilum inn í netkerfi fyrirtækisins.  Hvernig er hægt að styrkja þennan veikasta hlekk? Skilvirkasta leiðin til þess er fræðsla, s.s. fyrirlestrar og áætlanir þar sem starfsmenn eru virkjaðir og þeir gerðir hluti af ferli til aukinnar öryggisvitundar.
  
• Úttekt á þjónustuaðilum.  Mikilvægum þáttum í rekstri fyrirtækja er í auknu mæli útvistað til þjónustuaðila. Það er hagur þjónustuaðila og þeirra sem kaupa þjónustuna að tryggja að sú þjónusta sem er veitt sé í samræmi við samninga og að fullnægjandi upplýsingar séu veittar um virkni mikilvægra atriða, s.s. afritatöku og aðgangsveitinga.
• Ferlagreining og aðgangshönnun.  Skráðir ferlar eru krafa m.a. í reglugerð um rafrænt bókhald. Einnig geta skriflegir ferlar auðveldað þjálfun starfsmanna, lækkað endurskoðunarkostnað og bent á mögulega bresti í innra eftirliti sem gætu valdið skekkjum í bókhaldi, bæði vegna misferlis og mistaka. Þegar ferlar eru greindir er mikilvægt að þeir séu skráðir, hlutverk innan þeirra greind, sem og áhættuþættir og eftirlitsaðgerðir. Slíkar upplýsingar eru nauðsynlegur grunnur að því að hægt sé að sníða hlutverkabundin aðgangshlutverk í upplýsingakerfum og styrkja innra eftirliti með starfaaðgreiningu eða öðru uppbætandi eftirliti.