Gemt

Har din virksomhed en IT-sikkerhedspolitik?

Halvdelen af Dansk Erhvervs medlemmer har ikke en IT-sikkerhedspolitik, og de virksomheder, der ikke har, bør stille sig spørgsmålet: Hvad er det værste, der kan ske, og hvordan undgår vi, at det sker?

Nyhed

Dansk Erhverv | E-handel - 16. december 2019

Primo december blev PwC’s Cybercrime Survey 2019 offentliggjort. I rapporten, der består af svar fra 325 virksomhedsledere, it-chefer og specialister fra danske virksomheder, angiver hele 51 pct., at de har været udsat for én eller flere sikkerhedshændelser inden for det seneste regnskabsår.

I Dansk Erhvervs egen medlemsundersøgelse fremgår det, at hver anden af Dansk Erhvervs medlemmer ikke har formuleret en it-sikkerhedspolitik. Der er med andre ord god grund til at udarbejde en it-sikkerhedspolitik, for it-sikkerhed er afgørende for alle typer af virksomheder på tværs af størrelse og brancher.

IT-sikkerhed er afgørende for alle virksomheder
En it-sikkerhedspolitik er et sæt klare retningslinjer for både ledere og medarbejdere, og handler grundlæggende om, hvordan virksomheden forholder sig til digitale risici på linje med andre risici som brand, tyveri og vandskade. Det er afgørende, at it-sikkerhedspolitikken involverer alle ansatte, for it-sikkerhed handler langt fra kun om teknik, men mindst lige så meget om adfærd og organisering.

Samtidig kan en it-sikkerhedspolitik bruges overfor kunder og samarbejdspartnere til at vise, at der er taget stilling til, hvordan systemer og data beskyttes mod uvedkommende. En it-sikkerhedspolitik behøver ikke være et langt forkromet dokument, men bør i stedet skabe overblik over, hvorledes data- og it-systemer understøtter virksomhedens forretningsgange og hvad man gør, hvis uheldet er ude.

Hackerangreb er på ingen måde forbeholdt store virksomheder. Små virksomheder er også i stor stil ofre for angreb, der kan tage kontrollen over regnskaber, ordresystemer og kundedata og det kan i værste fald tvinge en sund og veldrevet virksomhed til at lukke.

Det er ikke raketvidenskab at forbedre it-sikkerheden
En it-sikkerhedsplan er individuel fra virksomhed til virksomhed og derfor kan der ikke trækkes en onesize løsning nedover alle virksomheder. Det er derfor en god idé at starte med at stille sig selv tre enkle spørgsmål:

1. Hvad er det værste der kan ske?
2. Hvordan undgå vi at det sker?
3. Hvad gør jeg hvis uheldet er ude?

I beskrivelsen af de enkelte scenarier kan det være en fordel at inddrage en it-leverandør. De fleste hackerangreb kan afværges ved at tage simple forholdsregler, men det er vigtigt at understrege, at antivirus og firewalls ikke er nogen garanti for at undgå personer med ondsindet hensigter. Overordnet bør man prioritere fem indsatsområder, vis man ønsker at opnå en bedre it-sikkerhed.

  1.  Sørg for at lave en backup af alle systemer og data evt. i samarbejde med din it-leverandør. Derudover er det vigtigt at teste, at backup virker og kan genskabes igen relativt hurtigt. Best-practice vil være at have to kopier af backuppen, hvor den ene er offline, så den er sikret mod hackere.
  2. Brug stærke adgangskoder, der gerne er længere end 12 tegn og anvend ikke den samme adgangskode flere steder. Det er også en god idé at lave en to-faktorgodkendelse til dit login, der eksempelvis skal verificeres via din mobiltelefon, når du logger ind.
  3. Få overblik over virksomhedens vigtigste data og systemer, herunder de data som er afgørende for produktionen, kundeinformation, forretningshemmeligheder og patenter, samt økonomiske nøgletal og prisstrategier.
  4. Husk at opdatere programmer og operativsystemer. Hvis programmerne ikke er opdateret, kan it-kriminelle finde huller i systemer og angribe virksomheden. Derfor er det en god idé at udpege en medarbejder, der er ansvarlig for dette, samt indstille systemet til automatisk at opdatere, når en ny version er tilgængelig.
  5. Stil krav til sikkerheden hos din it-leverandør, eksempelvis i forhold til opbevaringen af data, behandling af persondata og beredskabsplaner og procedure for håndteringen af it-sikkerhedsnedbrud.

Læs mere her: Fem gode råd der styrker din virksomheds it-sikkerhed.

Derudover er det en god idé at bede medarbejderne om at være opmærksomme på mistænkelige mails. Mange sikkerhedsnedbrud sker på grund af fejl og manglende viden blandt medarbejdere, der f.eks. bliver narret til at klikket på et link eller udlevere deres adgangskode og hvis en medarbejder trykker på et ondsindet link, kan skaden ske meget hurtigt.

Nyt mærke for it-sikkerhed og ansvarlig dataanvendelse på vej
Dansk Erhverv har i samarbejde med Dansk Industri, SMVdanmark og Forbrugerrådet Tænk taget initiativ til at løfte it-sikkerheden bredt i dansk erhvervsliv med en ny mærkningsordning der lanceres i 2020. Til at løbe initiativet i gang har vi fået 18 mio. kr. fra Industriens Fond. Tanken er at gøre det tydeligt for virksomhedens kunder (forbrugere og andre virksomheder), at virksomheden arbejder systematisk med it-sikkerhed og ansvarlig datahåndtering. Mærkningsordningen lanceres i løbet af 2020. Læs pressemeddelelse fra Dansk Erhverv: 18 mio. kr. til ambitiøst løft af it-sikkerheden

Gratis cybersikkerhedskurser for SMV’er
Hvis din virksomhed har brug hjælp til at komme i gang med at forbedre it-sikkerheden, udbyder IT-Universitet i København gratis kurser til medarbejdere i små og mellemstore virksomheder.

På kurserne får man konkrete metoder og enkle værktøjer til at forebygge, identificere og håndtere cyberkriminalitet. IT-Universitetet har både introkurser, der er tilegnet medarbejdere med begrænset it-teknisk indsigt og kurser for medarbejdere med en praktisk it-faglig baggrund. Læs mere om kurset her: Kursus i cybersikkerhed for SMV'er