Blog

Medarbejdere og ledelse har stor betydning for it-sikkerheden

18.05.18

Camilla Lindberg Nielsen

Medarbejderes og ledelsens viden samt stillingtagen til it-sikkerhed har stor betydning for it-sikkerhedsniveauet i danske virksomheder, viser ny analyse som Deloitte har foretaget for Erhvervsstyrelsen.

Analysen omhandler it-sikkerhed i danske SMV’er, og viser bl.a., at 39% er særligt sårbare overfor it-sikkerhedsangreb. Det måles på baggrund af balancen mellem deres it-sikkerhedsniveau og deres risikoprofil.

Din virksomheds risikoprofil består af jeres afhængighed af it-systemer, følsomme/forretningskritiske data samt risikoen for jeres branche.

Det betyder selvfølgelig, at hvis I er i en branche med fx idéudvikling af kendte brands, så har I en større risiko for et direkte angreb. Mange angreb er desværre i stedet et resultat af dårlig viden om it-sikkerhed.

It-sikkerhedsniveauet er nemlig, foruden de fysiske og virtuelle it-sikkerhedsforstaltninger og styring af adgange, baseret på træning og viden blandt medarbejdere og ledelse.

it-sikkerhed-medarbejdere-danske-virksomheder

Tag udgangspunkt i din risikoprofil

Risikoprofilen er udtryk for, hvor omfattende et sikkerhedsbrud ville være på din forretning. Det er derfor her I skal starte, for at vurdere, hvad I skal igangsætte af nye initiativer for at begrænse jeres sårbarhed over cyberangreb.

Det vigtigste er i bund og grund, at jeres risikoprofil og it-sikkerhedsniveau stemmer overens med hinanden. Trods det ikke skader at gå med livrem og seler, når det kommer til it-sikkerhed, kan det selvfølgelig medføre spildte ressourcer, I kunne have brugt andetsteds.

Den højeste risiko ses ofte i forbindelse med større virksomheder, men det er ligeledes hos disse, at de fleste it-sikkerhedsforanstaltninger allerede er opsat. I sidste ende, viser undersøgelsen, at jo mindre en virksomhed er, desto mere sårbar er den overfor cyberangreb.

It-sikkerhed skal være del af virksomhedskulturen

Sårbarheden tager nemlig udgangspunkt i både risikoprofilen og jeres nuværende it-sikkerhedsniveau.

For at sikre et højt it-sikkerhedsniveau skal du have opsat de rette it-sikkerhedsforanstaltninger. Har du allerede dette, er du godt på vej. En faktor mange virksomheder overser, er oplæring af medarbejderne selv. Ligeledes er ledelsens viden om it-sikkerhed et dominerende element i it-sikkerhedsniveauet.

Undersøgelsen viser, at ledelsens involvering og engagement er afgørende for it-sikkerheden. I mange virksomheder er ansvaret overladt til en it-ansvarlig, men ledelsens manglende stillingtagen kan gøre, at der ikke er nok ressourcer oversat til området eller at den ansvarlige ikke har den rette viden eller kompetencer til at løse opgaven på et højere niveau.      

Flere virksomheder giver i den sammenhæng udtryk for, at virksomhedskulturen er en barriere for it-sikkerheden. Hele 74% af danske SMV’er kommunikerer om it-sikkerhed mundtligt, og kun 36% har en dokumenteret it-sikkerhedspolitik. Det er meget alarmerende, da en stor del af it-sikkerheden foregår på medarbejder-niveau.

It-sikkerheden er på den måde ikke en prioritet og en del af virksomhedskulturen, hvilket skaber et nedsat fokus på emnet blandt medarbejderne. Uden en it-sikkerhedspolitik, er der ligeledes heller ikke fokus på brugeroplæring. 67% af virksomheden fortæller, at de ikke træner medarbejderne i it-sikkerhed.

Vigtigheden af it-ansvarlige                

Erhvervsstyrelsens analyse er, foruden en telefonisk spørgeskemaundersøgelse, også baseret på kvalitative interviews med 14 udvalgte virksomheder.

En af disse cases ligger vægt på vigtigheden af en intern medarbejder med gode it-kompetencer, som kan oversætte ”it-snakken”, så alle kan forstå det – den såkaldte it-ansvarlige. Hos XPConsult forsøger vi at snakke et sprog som alle forstår, men ikke desto mindre, er det nødvendigt at have en it-ansvarlig internt i virksomheden, som har til job at kommunikere nye tiltag og retningslinjer ud til alle medarbejdere.

Vi vil gerne rådgive jer om it-sikkerhed, og hjælpe med, hvilke sikkerhedselementer der er relevante for jer, men er der ikke nogen i virksomheden til at observere og håndhæve politikkerne i praksis, bliver arbejdet ofte tabt på gulvet.

Hvis virksomheden har haft en laissez-faire tilgang til it-sikkerhed, kan de nye tiltag ligeledes møde megen modvilje blandt medarbejdere. Der skal derfor større fokus på, hvordan budskabet bliver kommunikeret, så man skaber en større forståelse fra de ansatte.

Et it-sikkerhedsbrud kan have store konsekvenser

Virksomheder kan have svært ved at vurdere konsekvenserne af et brud på it-sikkerheden, og derfor ligger fokus ofte et andet sted. Konsekvensen af et cyberangreb kan dog være mere alvorlige end man lige går og tror. Der kan være mange omkostninger forbundet med et nedbrud af driftskritiske systemer. Ser man på angrebet på Maersk i sommeren 2017, mistede de en estimeret indtjening på 1,6 milliarder kroner. De var udsat for et såkaldt ransomware angreb, som låser computere og it-systemer, hvilket resulterede i, at driften stod stille i flere dage.

En anden konsekvens kan være, at der lækkes kritiske data, som gør man mister sit forretningsgrundlag eller kunder. Det eneste positive ved at være udsat for et cyberangreb er, at det automatisk sæter fokus på vigtigheden af it-sikkerhed. Hos Maersk fik de hurtigt optimeret deres systemer og implementeret en ny række sikkerhedstiltag.

Vi kan hjælpe!

Hos XPConsult kan vi hjælpe med rådgivning og vurdering af jeres it-sikkerhed. Vi har en lang række produkter og services, som kan øge it-sikkerheden i din virksomhed. Forebyggelse er vejen frem, og det praktiserer vi via vores it-serviceaftale XPectTM Plus, som udover support, også indeholder automatiske sikkerhedsopdateringer, overvågning af jeres it-systemer og rådgivning.

Vi kan ligeledes hjælpe med at opsætte politikker, som klassificerer dine data baseret på følsomhed og styrer rettigheder fra brugere og enheder. Det kan f.eks. være at styre adgange til netværksdrev og systemer samt bestemme om brugerne selv kan downloade programmer til deres pc.

En del af it-sikkerheden foregår dog stadig internt blandt medarbejderne, og derfor er det vigtigt, at I får etableret en it-sikkerhedspolitik og udpeger en ansvarlig til at sørge for oplæring af brugerne i henhold til jeres regler og retningslinjer.

Kilde: It-sikkerhed i danske SMV’ER

 

 

IT serviceaftale fra xpconsult