Sikker fjernadgang og VPN-styring under NIS2 og DORA

Kl. 07:42 en mandag morgen modtager Maria, informationssikkerhedschef (CISO) hos en hurtigt voksende FinTech SaaS-udbyder, tre beskeder, inden hun når kaffen.

Den første kommer fra SOC: En VPN-konto, der tilhører en supportingeniør, er blevet autentificeret fra et land, hvor virksomheden ikke har medarbejdere. Den anden kommer fra salg: En kunde i den finansielle sektor ønsker revisionsbevismateriale for, at al privilegeret fjernadgang er beskyttet med MFA, logget, segmenteret og gennemgået under DORA-tilpassede kontroller for IKT-risiko. Den tredje kommer fra juridisk afdeling: Den samme hændelse kan involvere adgang til personoplysninger, så databeskyttelsesrådgiveren (DPO) vil vide, om bevismaterialet for GDPR Article 32 er tilstrækkeligt fuldstændigt til at dokumentere passende tekniske og organisatoriske foranstaltninger.

Intet er eksploderet endnu. Ingen ransomware-besked. Ingen bekræftet dataeksfiltrering. Ingen driftsafbrydelse hos kunder.

Men Maria kender den ubehagelige sandhed. Hvis styringen af fjernadgang er svag, bliver enhver samtale om efterlevelse defensiv. Et VPN-login bliver et NIS2-spørgsmål om cyberhygiejne. En konsulentkonto bliver et DORA-spørgsmål om IKT-tredjepartsrisiko. En fjernskrivebordssession ind i et kundemiljø bliver et GDPR-spørgsmål om behandlingssikkerhed. En manglende logfil bliver en revisionskonstatering.

Den eksterne revisionsrapport, der allerede ligger på hendes skrivebord, gør situationen værre. Revisorerne fandt ikke et sofistikeret zero-day-angreb. De fandt delte konsulentkonti, inkonsekvent multifaktorgodkendelse, ældre VPN-grupper, ikke-styrede undtagelser og gigabytes af logfiler, der var for støjfyldte til at understøtte en undersøgelse. Det var teknisk gæld omsat til regulatorisk eksponering.

I 2026 er sikker fjernadgang og VPN-styring ikke et snævert netværkssikkerhedsemne. Det er et kontrolsystem på bestyrelsesniveau, der forbinder identitet, endepunktssikkerhed, leverandøradgang, sårbarhedsstyring, logning, hændelseshåndtering, ansvarlighed for databeskyttelse og operationel robusthed.

Problemet med fjernadgang har ændret sig

For få år siden betød styring af fjernadgang ofte ét enkelt svar: “Vi har en VPN.” Det svar kan ikke længere modstå seriøs kontrol.

Et moderne fjernadgangsmiljø kan omfatte virksomhedens VPN-koncentratorer, Zero Trust Network Access-gateways, jump hosts til styring af privilegeret adgang, bastion hosts til cloudadministration, fjernskrivebordsinfrastruktur, leverandørers vedligeholdelsestunneler, managed service providers’ adgang, nødadgang via break-glass-konti, SaaS-administratorportaler, udvikleres adgang til produktionsmiljøet, mobile enheder, hjemmenetværk, offentligt Wi‑Fi og BYOD-undtagelser.

Hver adgangsvej kan blive et regulatorisk dokumentationspunkt.

NIS2 Article 21 forventer passende og proportionale tekniske, driftsmæssige og organisatoriske foranstaltninger. Det omfatter risikoanalyse og politikker for informationssystemers sikkerhed, hændelseshåndtering, forretningskontinuitet, forsyningskædesikkerhed, sikker anskaffelse og vedligeholdelse, håndtering af sårbarheder, politikker til vurdering af cybersikkerhedens effektivitet, cyberhygiejne, cybersikkerhedstræning, kryptografi og kryptering hvor relevant, HR-sikkerhed, politikker for adgangsstyring, styring af aktiver, multifaktorautentifikation eller løbende autentifikation hvor relevant, sikker kommunikation og sikker nødkommunikation.

DORA kræver, at finansielle enheder opretholder dokumenterede styringsrammer for IKT-risiko, IKT-hændelsesprocesser, test af digital operationel robusthed og styring af IKT-tredjepartsrisiko. DORA Article 5 placerer ansvaret hos ledelsesorganet for at definere, godkende, føre tilsyn med og fortsat være ansvarlig for styring af IKT-risiko. Article 28 kræver, at IKT-tredjepartsrisiko styres som en integreret del af denne ramme.

GDPR Article 32 kræver passende tekniske og organisatoriske foranstaltninger for behandlingssikkerhed, herunder fortrolighed, integritet, tilgængelighed, robusthed, mulighed for gendannelse, test og evnen til at dokumentere, at personoplysninger er beskyttet mod uautoriseret adgang, tab, ændring eller videregivelse.

CISO’ens problem er ikke, om VPN’en virker. Det egentlige spørgsmål er, om organisationen kan dokumentere, at fjernadgang er styret, risikovurderet, godkendt, hærdet, overvåget, gennemgået, testet og integreret i hændelseshåndtering.

Det er her, ISO/IEC 27001:2022 bliver nyttig. Standarden behandler ikke VPN som en selvstændig appliance. Den placerer fjernadgang i ISMS: omfang, interessenter, risikovurdering, kontroludvælgelse, operationel planlægning, leverandørstyring, intern revision, ledelsens gennemgang og løbende forbedring.

Start med ISMS-omfanget, ikke firewallreglen

Når Clarysec gennemgår styring af fjernadgang, begynder vi ikke med at bede om et skærmbillede af VPN-konfigurationen. Vi starter med ISMS-afgrænsningen.

ISO/IEC 27001:2022 kræver, at organisationen definerer sin kontekst, sine interessenter, krav og ISMS-omfang, herunder grænseflader og afhængigheder til andre organisationer. For fjernadgang skal omfanget eksplicit omfatte de personer, systemer, leverandører og netværkstjenester, der muliggør fjernarbejde.

En SaaS- eller fintech-organisation bør identificere:

• Medarbejdere, der tilgår produktionssystemer via fjernadgang
• Konsulenter og udviklere med rettigheder til fjernadministration
• MSP’er, MSSP’er og andre leverandører med driftsadgang
• Kundesupportmedarbejdere, der tilgår tenantdata
• Økonomi-, HR- og juridiske brugere, der tilgår personoplysninger via fjernadgang
• Cloudkonsoller og API’er til fjernadministration
• VPN, ZTNA, identitetsudbyder og platforme til styring af endepunkter
• Logfiler, SIEM-integrationer og opbevaringslokationer
• Undtagelser for fjernadgang og procedurer for nødadgang
• Leverandøradministrerede edge-enheder og værktøjer til fjernsupport

Dette er mere end dokumentationshygiejne. NIS2-omfanget kan bringe cloududbydere, datacentre, MSP’er, MSSP’er, udbydere af elektronisk kommunikation, udbydere af digital infrastruktur og udbydere af IKT-servicestyring ind i omfanget afhængigt af størrelse, sektor og udpegning. DORA gælder for finansielle enheder og fungerer som det sektorspecifikke IKT-risikoregime for disse enheder. GDPR kan gælde for EU- og ikke-EU-organisationer, hvor behandlingen vedrører personer i EU, etableringer i EU, tjenester, der udbydes til personer i Unionen, eller overvågning af adfærd.

Hvis dit ISMS-omfang ignorerer tredjepartsadgang via fjernadgang, fjernadministration, VPN-infrastruktur eller leverandøradministreret konnektivitet, kan dit kontrolgrundlag være ufuldstændigt, før revisoren overhovedet begynder at udtage stikprøver.

Opbyg en kontrolstak for fjernadgang

Et stærkt program for fjernadgang bør opbygges som en kontrolstak, ikke som en enkelt politik. I Clarysecs implementeringsarbejde omfatter de centrale ISO/IEC 27002:2022-kontroller typisk:

• 6.7 Remote working
• 5.15 Access control
• 5.16 Identity management
• 5.17 Authentication information
• 5.18 Access rights
• 8.5 Secure authentication
• 8.1 User endpoint devices
• 8.8 Management of technical vulnerabilities
• 8.9 Configuration management
• 8.15 Logging
• 8.16 Monitoring activities
• 8.20 Network security
• 8.22 Segregation of networks
• 5.19 Information security in supplier relationships
• 5.20 Addressing information security within supplier agreements
• 5.21 Managing information security in the ICT supply chain
• 5.22 Monitoring, review and change management of supplier services
• 5.23 Information security for use of cloud services
• 5.24 Information security incident management planning and preparation
• 5.26 Response to information security incidents
• 5.28 Collection of evidence
• 5.30 ICT readiness for business continuity

Zenith Controls: vejledningen til tværgående efterlevelse kortlægger Remote working 6.7 som en forebyggende kontrol, der understøtter fortrolighed, integritet og tilgængelighed, med operationelle forbindelser til styring af aktiver, informationsbeskyttelse, fysisk sikring samt system- og netværkssikkerhed. Den knytter også Remote working til Security of assets off-premises 7.9, User endpoint devices 8.1, Information security awareness, education and training 6.3, Information transfer 5.14, Network security 8.20, Segregation of networks 8.22, Clear desk and clear screen 7.7 og ICT readiness for business continuity 5.30.

Den sammenhæng er vigtig. Et VPN-krav uden styring af endepunkter beskytter ikke mod en stjålet laptop. MFA uden logning understøtter ikke undersøgelse. Leverandøradgang uden segmentering øger blast radius. Fjernarbejde uden hændelsesrapportering forsinker inddæmning.

Kontrolstakken ændrer samtalen. I stedet for at diskutere, om “VPN er compliant”, etablerer organisationen en sporbar model: risiko ved fjernadgang, ISO-kontrol, politikkrav, teknisk implementering, ejer af bevismateriale og gennemgangsfrekvens.

Omsæt politikhensigt til revisionsbevismateriale

Revisorer accepterer sjældent “vi bruger normalt MFA” som bevismateriale. De ser efter formelt godkendte krav, implementerede kontroller og registreringer, der dokumenterer driften.

Clarysecs politikværktøjskasse giver teams præcise formuleringer, som de kan anvende og tilpasse. Network Security Policy - SME angiver i clause 5.5.1:

“VPN-adgang skal kræve multifaktorgodkendelse (MFA) og være begrænset til udpeget personale.”

Den samme SME-politik omsætter logning til et opbevaringskrav i clause 6.3.3:

“Adgang via VPN skal logges, og sessionsvarighed samt kilde-IP-adresser skal opbevares i mindst 6 måneder.”

For adfærd ved fjernarbejde angiver Remote Work Policy - SME i clause 5.2.3:

“Offentligt Wi‑Fi må kun anvendes, når en sikker tunnel (VPN) er aktiv.”

For enterprise-miljøer er Remote Work Policy endnu mere direkte. Clause 5.2.1.1 kræver, at medarbejdere:

“Anvender virksomhedsgodkendt VPN eller fjernskrivebordsinfrastruktur.”

Clause 5.2.1.2 kræver, at organisationer:

“Kræver multifaktorgodkendelse (MFA) for alle loginforsøg.”

Network Security Policy fastlægger den tekniske baseline med clause 6.3.1:

“Al fjernadgang skal være krypteret, for eksempel via IPsec eller SSL VPN, og kræve multifaktorgodkendelse (MFA).”

Access Control Policy angiver i clause 5.6.1:

“Adgangshændelser skal logges og opbevares i overensstemmelse med Logging and Monitoring Policy.”

For leverandører kræver Third party and supplier security policy i clause 6.3.2:

“Al tredjepartsadgang skal logges og overvåges og, hvor det er muligt, segmenteres via bastion hosts, VPN’er eller Zero Trust-gateways.”

Vulnerability and Patch Management Policy - SME angiver i clause 6.5.1:

“Systemer, der behandler personoplysninger, leverer fjernadgang eller er eksternt eksponerede, skal prioriteres til scanning og opdateringer.”

Disse klausuler bliver stærke, når de kobles til driftsbevismateriale. Politikken siger, at MFA er påkrævet. Identitetsudbyderen dokumenterer håndhævelsen. VPN-logfilen dokumenterer brugen. SIEM-alarmen dokumenterer overvågningen. Gennemgangen af adgangsrettigheder dokumenterer fortsat forretningsbehov. Sårbarhedsrapporten dokumenterer, at fjernadgangstjenesten er prioriteret. Hændelsesplaybooken dokumenterer responsberedskab.

Det er forskellen på at have en politik og at drive en kontrol.

De fem spørgsmål, enhver CISO bør kunne besvare

Clarysecs model for styring af fjernadgang er opbygget omkring fem spørgsmål, der fungerer ved ISO 27001-revisioner, NIS2-beredskab, DORA-gennemgange af IKT-risiko og dokumentationspakker for GDPR Article 32.

1. Hvem har tilladelse til at oprette fjernforbindelse?

Fjernadgang skal begrænses til autoriserede brugere, roller og leverandører. ISO/IEC 27002:2022 Access control 5.15, Identity management 5.16 og Access rights 5.18 definerer styringsgrundlaget.

Zenith Controls kortlægger Access control 5.15 som en forebyggende kontrol med fokus på identitets- og adgangsstyring. Den knytter kontrollen til Identity management, Access rights, Authentication information, User endpoint devices, Secure authentication og efterlevelse af politikker. I praksis er adgangspolitikken kun troværdig, hvis identiteter er unikke, livscyklusstyrede, autentificerede og gennemgåede.

En god registrering af fjernadgang bør kunne besvare:

• Hvilken person eller leverandør har adgang?
• Hvilke systemer kan vedkommende nå?
• Hvilken rolle eller kontrakt begrunder adgangen?
• Hvem godkendte den?
• Er MFA håndhævet?
• Hvornår blev adgangen senest gennemgået?
• Hvornår udløber midlertidig adgang?
• Hvilken logkilde dokumenterer brugen?

Dette understøtter også NIST Cybersecurity Framework 2.0 PR.AA-resultater for identitetsstyring, autentifikation, autorisation, mindst mulige rettigheder og funktionsadskillelse.

2. Hvilken sikkerhedstilstand kræves for enhed og netværk?

Fjernadgang bør afhænge af tillid til enheden, ikke kun af brugerens legitimationsoplysninger. En gyldig adgangskode og en MFA-godkendelse fra en ikke-administreret, inficeret eller upatchet enhed udgør stadig en høj risiko.

Zenith Blueprint: en revisors 30-trins køreplan forklarer dette i Controls in Action-fasen, Step 16, People Controls II:

“Fjernarbejdere skal kun anvende virksomhedsgodkendte enheder, der er konfigureret af IT med fuld diskkryptering, aktiv endepunktsbeskyttelse, automatisk patching og håndhævede skærmlåse ved inaktivitet.”

Det samme trin understreger, at fjernadgang bør gå gennem virksomhedens VPN, helst beskyttet af MFA, og at BYOD bør forbydes eller kun tillades under strenge betingelser såsom MDM-tilmelding, containerisering og fjernsletning.

Det er her, User endpoint devices 8.1, Remote working 6.7, Management of technical vulnerabilities 8.8, Configuration management 8.9 og Network security 8.20 mødes.

For GDPR Article 32 er enhedens sikkerhedstilstand vigtig, fordi fjernendepunkter indgår i de tekniske og organisatoriske foranstaltninger, der beskytter personoplysninger. For DORA understøtter endepunkters sikkerhedstilstand styring af IKT-risiko og operationel robusthed. For NIS2 understøtter den cyberhygiejne, adgangsstyring, styring af aktiver og håndtering af sårbarheder.

3. Hvordan beskyttes sessionen?

En sikker fjernadgangssession bør anvende krypteret transport, stærk autentifikation, segmentering og kontrollerede administrative adgangsveje.

Zenith Blueprint, Risk Management-fasen, Step 14, Risk Treatment Policies and Regulatory Cross-References, angiver forventningen til fjernadgang:

“Al fjernadgang til interne systemer skal anvende sikker VPN eller tilsvarende krypteret forbindelse. Multifaktorgodkendelse (MFA) er påkrævet ved fjernlogin til virksomhedens netværk.”

Step 20, Controls 8.18 to 8.26, instruerer organisationer i at validere netværkstjenestesikkerhed ved at opliste alle interne og eksterne netværkstjenester såsom DNS, VPN, SMTP, DHCP og API-gateways, bekræfte sikre protokoller, gennemgå adgangskontroller og kontrollere tredjeparts sikkerhedsklausuler, når tjenester administreres eksternt.

En VPN er ikke kun en enhed. Det er en netværkstjeneste med protokolvalg, adgangsbegrænsninger, certifikater, firewallveje, tredjepartsafhængigheder, patchkrav og logfiler.

4. Hvordan overvåges og undersøges adgang?

Styring af fjernadgang skal omfatte logning og overvågning. NIS2 Article 23 fastsætter trinvise rapporteringsforventninger for væsentlige hændelser, herunder tidlig advarsel inden for 24 timer, hændelsesunderretning inden for 72 timer og en endelig rapport inden for én måned. DORA kræver, at finansielle enheder detekterer, styrer, klassificerer, eskalerer og rapporterer større IKT-relaterede hændelser, herunder rodårsagsanalyse og kommunikation, hvor kunders finansielle interesser påvirkes. GDPR-analyse af brud afhænger af forståelsen af, om personoplysninger er blevet tilgået, ændret, videregivet, mistet eller på anden måde kompromitteret.

Uden logfiler for fjernadgang kan organisationen ikke med sikkerhed besvare tilsynsmyndighedens første spørgsmål: Hvad skete der?

Stærk logning bør registrere brugeridentitet, autentifikationsresultat, kilde-IP, geolokation hvor relevant, enhedsidentitet, måltjeneste, privilegeret handling, sessionsvarighed, mislykkede forsøg, administrative ændringer og korrelation med hændelser fra endepunkter og identitet.

5. Hvordan håndteres undtagelser og sårbarheder?

Fjernadgangsinfrastruktur har høj værdi. VPN-gateways, ZTNA-appliances, identitetsudbydere, bastion hosts og fjernskrivebordstjenester bør være blandt de mest aggressivt styrede aktiver i sårbarhedsprogrammet.

En moden undtagelsesproces bør omfatte aktivejer, berørt fjernadgangstjeneste, sårbarhedens alvorlighed, udnyttelighed, dataeksponering, midlertidige kompenserende kontroller, godkendelse fra risikoejer, udløbsdato, bevismateriale for gentest samt link til risikoregister og risikobehandlingsplan.

For ISO/IEC 27001:2022 understøtter dette risikobehandling, operationel kontrol og løbende forbedring. For DORA understøtter det styring af IKT-risiko, test og afhjælpning. For NIS2 understøtter det håndtering af sårbarheder og korrigerende handling uden unødig forsinkelse. For GDPR hjælper det med at dokumentere, at behandlingssikkerheden var risikobaseret og ikke ad hoc.

Leverandørers fjernadgang er den skjulte revisionsfælde

Mange fejl i fjernadgang skyldes ikke medarbejdere. De skyldes svigt i leverandørstyringen.

En MSP har en gammel VPN-konto. En softwareleverandør bruger delte legitimationsoplysninger. En supportpartner opretter forbindelse via fjernskrivebord for at fejlfinde et forhold, der påvirker kunder. En cloududbyder administrerer fjernadgangsgatewayen. En konsulent beholder adgang efter projektlukning.

DORA er særligt streng på dette område. Article 28 kræver, at finansielle enheder styrer IKT-tredjepartsrisiko som en del af rammeværket for styring af IKT-risiko og forbliver fuldt ansvarlige, selv når IKT-tjenester outsources. Det omfatter forventninger om registre over IKT-kontraktlige ordninger, due diligence, informationssikkerhedsstandarder, revisions- og inspektionsrettigheder, opsigelsesrettigheder, analyse af koncentrationsrisiko og exitstrategier for kritiske eller vigtige funktioner. Article 30 specificerer kontraktlige bestemmelser såsom databeskyttelse, serviceniveauer, behandlingslokationer, adgang til og gendannelse af data, bistand under hændelser, samarbejde med myndigheder, sikkerhedsforanstaltninger, revisionsrettigheder og exitsupport.

NIS2 Article 21 omfatter også forsyningskædesikkerhed og relationer til leverandører og tjenesteudbydere med fokus på leverandørspecifikke sårbarheder og leverandørers cybersikkerhedspraksis.

NIST CSF 2.0 GV.SC giver en praktisk driftsmodel: strategi for forsyningskæderisiko, roller, leverandørkritikalitet, kontraktlige krav, due diligence, overvågning, deltagelse i hændelser og aktiviteter efter relationens ophør.

For Clarysecs kunder er den praktiske regel enkel: Tredjeparts fjernadgang skal behandles som privilegeret adgang, medmindre andet er dokumenteret. Den skal være navngiven, godkendt, tidsbegrænset, MFA-beskyttet, logget, overvåget og segmenteret.

Kortlægning af tværgående efterlevelse: ét kontrolsystem, mange forpligtelser

Styring af fjernadgang er et af de stærkeste eksempler på tværgående efterlevelse. Det samme bevismateriale kan opfylde flere forpligtelser, hvis det designes korrekt.

En mere detaljeret ISO-kontrolkortlægning viser, hvorfor styring af fjernadgang har så stor efterlevelsesværdi.

NIS2 indfører også eksplicit ledelsesansvar. Article 20 kræver, at ledelsesorganer i væsentlige og vigtige enheder godkender foranstaltninger til styring af cybersikkerhedsrisici, fører tilsyn med implementeringen og gennemfører træning. DORA Article 5 kræver tilsvarende, at ledelsesorganet i finansielle enheder definerer, godkender, fører tilsyn med og fortsat er ansvarligt for ordninger til styring af IKT-risiko.

Bestyrelsen behøver ikke godkende hver firewallregel. Men den bør godkende risikobilledet for fjernadgang: MFA obligatorisk, leverandøradgang logget, privilegeret adgang segmenteret, fjernadgangsinfrastruktur patchet inden for definerede tidsfrister, undtagelser tidsbegrænsede og cyberhændelser eskaleret gennem aftalte kanaler.

En 90-minutters evidenssprint for fjernadgang

En praktisk måde at afdække huller på er at opbygge en mini-dokumentationspakke omkring én adgangsvej. Vælg ét eksempel, såsom “VPN-adgang for produktionssupportingeniører”, og gennemfør derefter følgende sprint.

Målet er ikke papirarbejde. Målet er at forbinde politik med dokumentation. Hvis dokumentationspakken ikke kan færdiggøres for én adgangsvej, har organisationen fundet et reelt styringshul, før revisoren eller tilsynsmyndigheden finder det.

Denne øvelse passer også til NIST CSF 2.0 Profile-metoden: afgræns profilen, indsamle politikker og krav, dokumentere nuværende og ønskede resultater, analysere huller, udarbejde en prioriteret handlingsplan og implementere forbedringer.

Hvordan revisorer vil teste fjernadgang

En revision af fjernadgang kan opleves forskelligt afhængigt af revisorens baggrund. Zenith Controls hjælper organisationer med at forberede sig, fordi den kortlægger relationer mellem ISO/IEC 27002:2022-kontroller i et perspektiv for tværgående efterlevelse i stedet for som en enkelt tjekliste.

En revisionsklar organisation jagter ikke skærmbilleder i sidste øjeblik. Den vedligeholder et levende dokumentationssystem.

Almindelige konstateringer i 2026

På tværs af vurderinger ser Clarysec gentagne gange de samme problemer med fjernadgang:

• MFA er aktiveret for medarbejdere, men ikke for leverandører, nødkonti eller ældre VPN-profiler
• Logfiler for fjernadgang findes, men opbevares ikke længe nok, centraliseres ikke eller er ikke knyttet til identiteter
• Endepunktsefterlevelse styres adskilt fra VPN-adgang, så ikke-administrerede enheder stadig kan oprette forbindelse
• Gennemgang af adgangsrettigheder fokuserer på forretningsapplikationer, men ignorerer VPN-grupper, bastion-tilladelser og cloudadministratorroller
• Fjernadgangsinfrastruktur mangler på prioriteringslisten for sårbarheder
• Leverandøradgang godkendes uformelt og afspejles ikke i kontrakter
• Undtagelser har ingen udløbsdato, kompenserende kontrol eller godkendelse fra risikoejer
• Break-glass-konti testes, overvåges eller gennemgås ikke
• Privilegerede sessioner er ikke segmenteret fra almindelig fjernadgangstrafik
• Playbooks for hændelseshåndtering omfatter ikke indsamling af bevismateriale for fjernadgang

Disse konstateringer kan forebygges. De skyldes typisk fragmenteret ejerskab. Netværksteams ejer VPN. IAM ejer MFA. IT ejer enhederne. Indkøb ejer leverandørkontrakterne. Juridisk afdeling ejer vilkår for databehandling. SOC ejer alarmer. Compliance ejer revisionsbevismateriale.

ISMS skal forbinde dem.

Målbilledet for sikker fjernadgang

En moden model for sikker fjernadgang og VPN-styring bør omfatte følgende driftspraksisser:

• Vedligehold en fortegnelse over alle fjernadgangsmetoder, herunder VPN, ZTNA, RDP, bastion hosts, SaaS-administratorportaler og leverandørtunneler
• Kræv MFA for al fjernadgang, herunder leverandører, administratorer og nødkonti
• Håndhæv enhedsefterlevelse før adgang, hvor det er teknisk muligt
• Anvend segmentering, bastion hosts eller Zero Trust-gateways til privilegeret adgang og tredjepartsadgang
• Log kilde-IP, brugeridentitet, autentifikationsresultat, målsystem og sessionsvarighed
• Opbevar logfiler efter politik, regulatoriske krav og behov for undersøgelse
• Prioritér fjernadgangssystemer til sårbarhedsscanning og patching
• Gennemgå adgangsrettigheder periodisk og ved rolleændring, fratrædelse eller ændring af leverandørkontrakt
• Tidsbegræns nødadgang, midlertidig adgang og leverandøradgang
• Medtag fjernadgang i hændelseshåndtering, vurdering af brud og kriseøvelser
• Test robusthed for fjernadgang og alternative adgangsveje til backup, hvor det kræves af hensyn til forretningskontinuitet
• Integrér leverandørers fjernadgang i kontrakter, due diligence, overvågning og exitplanlægning
• Rapportér risikomålinger for fjernadgang til ledelsen

For Maria bliver dette en praktisk handlingsplan. I de første to uger bruger hun Zenith Blueprint til at opdatere styringsdokumenter, tilpasse politikker til NIS2- og DORA-forpligtelser og opnå ledelsens godkendelse. I den næste måned håndhæver hendes IT- og sikkerhedsteams MFA på tværs af alle fjernadgangsprofiler, segmenterer konsulentadgang, justerer logning og prioriterer VPN- og ZTNA-systemer til sårbarhedsafhjælpning. Løbende gennemfører hun kvartalsvise gennemgange af adgangsrettigheder, tester indsamling af bevismateriale ved hændelser og rapporterer risikomålinger til bestyrelsen.

Resultatet er ikke blot en renere VPN-konfiguration. Det er et kontrolsystem for fjernadgang, der kan modstå revision, understøtte hændelseshåndtering og reducere reel driftsrisiko.

Opbyg din dokumentationspakke for fjernadgang før næste hændelse

Mandag morgens VPN-alarm behøver ikke blive en krise. Men den bør blive en test af styringen.

Kan du identificere brugeren? Kan du dokumentere MFA? Kan du bekræfte enhedens sikkerhedstilstand? Kan du rekonstruere sessionen? Kan du afgøre, om personoplysninger var tilgængelige? Kan du vise, at kontoen var godkendt og gennemgået? Kan du dokumentere, at VPN-enheden var patchet? Kan du dokumentere, at leverandøradgang er logget og segmenteret? Kan ledelsen se risikoen?

Hvis svaret er “endnu ikke”, kan Clarysec hjælpe.

Start med Zenith Blueprint: en revisors 30-trins køreplan for at strukturere din ISO/IEC 27001:2022-implementeringskøreplan, især Step 14 for risikobehandlingspolitikker, Step 16 for kontroller ved fjernarbejde, Step 19 for sikker autentifikation og Step 20 for netværkstjenestesikkerhed. Brug Zenith Controls: vejledningen til tværgående efterlevelse til at kortlægge Remote working, Access control, Secure authentication, leverandørkontroller, logning og netværkssikkerhed til relaterede ISO/IEC 27002:2022-kontroller og bevismateriale for tværgående efterlevelse.

Operationalisér derefter kravene med Clarysec-politikker såsom Remote Work Policy, Network Security Policy, Access Control Policy, Third party and supplier security policy og SME-klare ækvivalenter.

Din næste revision bør ikke være første gang, dit bevismateriale for fjernadgang samles. Opbyg det nu, test det nu, og gør styring af sikker fjernadgang til en af de stærkeste dele af dit program for efterlevelse. Kontakt Clarysec for en vurdering af styring af fjernadgang, download politikskabelonerne, eller book en demo for at se, hvordan dine nuværende kontroller kortlægges til ISO 27001, NIS2, DORA og GDPR Article 32.