Har din virksomhed ikke en IT-sikkerhedspolitik? Her er det første, du skal gøre

 

Løber det dig koldt ned ad ryggen, når du hører, at den ene virksomhed efter den anden rammes af IT-sikkerhedsproblemer med alvorlige følger?

Så er det måske, fordi du ejer eller leder en mindre virksomhed og ikke stoler på, at den er godt nok beskyttet. Du er ikke den eneste, som har en ubehagelig fornemmelse.

En undersøgelse, som konsulenthuset Deloitte gennemførte for Erhvervsstyrelsen for fire år siden, afslørede, at over halvdelen af de danske små og mellemstore virksomheder har et lavt sikkerhedsniveau, og at tiltagene i de øvrige virksomheder i samme segment er meget svingende.

Lav et sikkerhedshjul

Men hvordan kommer du så bedst muligt i gang med at skabe et bolværk mod hackerne?

Jeg går ud fra, at du har de basale sikkerhedsprogrammer installeret på alle medarbejderes computere. I så fald skal du som det allerførste i gang med at få foretaget en sikkerhedsvurdering, der kan danne udgangspunkt for en egentlig sikkerhedspolitik i den enkelte organisation.

Inviter en uvildig sikkerhedsrådgiver. Vi har en samarbejdspartner, der tager ud til kunden og laver en analyse. Analysen bruger han til at lave et ”sikkerhedshjul”, der kommer hele vejen rundt i forhold til personale, fysisk adgang, tekniske processer osv., så der kan sættes ind på det rigtige niveau.

Identity Management kan være en del af sikkerhedspolitikken, og det er en klar trend lige nu. Det er et standardsystem, hvor de ansatte får forskellige rettigheder, så alle ikke kan se alt.

Det kan også være konsulenten skal se på personalepolitikken og for eksempel sikre, at virksomhedernes systemer kun kan tilgås uden for virksomhedens vægge efter en to-faktorgodkendelse, hvor den ekstra kode fremsendes til medarbejderen som en sms.

Træn de ansatte

Endvidere er det vigtigt at træne de ansatte i at håndtere personfølsomme oplysninger og i, hvordan de møder og imødegår sikkerhedstrusler mod deres arbejdsplads. Awareness-træning kalder man dette forsvarsværk.

Netop awareness-træning er et must. Her trænes medarbejderne i for eksempel 10 dilemmaer. Det kan være alt fra mistænkelige mails over diskretion i det offentlige rum til at gemme følsomme data væk, når man går til frokost.

Det er ikke dyrt

Mange virksomheder er opmærksomme på de ansattes ageren, men får sjældent gennemført træningen, der ofte blot opfattes som ”nice to have”. Det er ellers ikke dyrt og kan trænes foran skærmen. Typisk kan sådan en løsning klares for et mindre beløb pr. medarbejder om året.

Efter sikkerhedsanalysen er du klar til at gå i gang med de konkrete sikkerhedsmæssige indsatser, som er de rigtige for din virksomhed, og som batter noget. Virksomheder er forskellige, og derfor skal de forsvare sig over for it-kriminelle på deres egen måde. Start med at blive klogere, og stil så skytset op.

Har du brug for et sikkerhedstjek af din virksomhed, så kontakt os. Vi er der altid. 

René Gundersen
Business Manager - Security
Tlf.+45 3547 5180
rgu@progressive.dk