Menu
Alle virksomheder bør have en it-sikkerhedspolitik, men det er langt fra alle, der har en. Det er typisk ikke på grund af uvilje, at virksomhederne ikke får udarbejdet en IT-sikkerhedspolitik. Ofte er årsagen, at virksomheden ikke kender nok til, hvordan de skal håndtere virksomhedens generelle IT sikkerhed.
Alle kan risikere at blive udsat for hackerangreb. Det gælder både for virksomheder og privatpersoner. I dag er der gemt enorme mængder af data på tværs af computere, telefoner, cloud-løsninger, sociale medier og så videre. Særligt virksomheder er sårbare, hvis denne data bliver låst som følge af et ransomeware-angreb.
Der er aldrig nogen garantier for, at man ikke bliver ramt af et hackerangreb en dag. Hackerne bliver dygtigere og dygtigere – og lykkes det ikke for dem, at hacke sig direkte ind gennem et sikkerhedshul i et IT-system, kan det være, at de har succes med et phishing-angreb målrettet virksomhedernes medarbejdere.
Derfor kan en IT-sikkerhedspolitik være et godt redskab. En IT-sikkerhedspolitik er et sæt retningslinjer, som gælder for både ledere og medarbejdere. Det er vigtigt, at alle ansatte i en virksomhed følger de samme retningslinjer, og så er det selvfølgelig vigtigt, at alle data- og it-systemer i virksomheden er behandlet i politikken.
IT-sikkerhedspolitikken bør kunne fungere som et opslagsværk i tilfælde af, at uheldet er ude. Derfor skal sikkerhedspolitikken også beskrive, hvad der skal gøres, hvis virksomheden rammes af et cyberangreb.
Det er dog altid en dårlig idé kun at fokusere på, hvad der skal gøres, når katastrofen rammer. Derfor bør en god IT-sikkerhedspolitik også besvare spørgsmålene, hvad er det værste, der kan ske, og hvordan kan vi undgå, at det sker. Dermed vil IT-sikkerhedspolitikken også kunne danne et godt grundlag for, hvordan virksomheden i det hele taget skal arbejde med dens IT-sikkerhed.
I en artikel på World Economic Forum fra 2020 står der, at 95% af alle cybersecurity-udfordringer kan spores tilbage til menneskelige fejl. Derfor er det også utroligt vigtigt, at medarbejderne uddannes i, hvad de må gøre, og hvad de skal være opmærksomme på.
Det er netop også derfor, at både Center for Cybersikkerhed, Det Europæiske Råd og EU-Kommissionen forbyder det sociale medie TikTok på deres ansattes telefoner. For disse ansatte er der nemlig behov for et højt sikkerhedsniveau, og netop virksomheden bag TikTok, kinesiske Bytedance, er mistænkt for at videregive oplysninger til styret i Beijing.
Særligt med medarbejderes telefoner, kan det være en god idé at overveje, hvor mange (og hvilke) apps, medarbejderne må have. Des flere apps, des flere potentielle sikkerhedsrisici som følge af sårbarheder og softwarefejl.
Samme overvejelser bør virksomhederne gøre i forbindelse med medarbejdernes laptops. Har en medarbejder en arbejds-pc, kan det være belejligt for medarbejderen at anvende den til andet end sine arbejdsopgaver, men også dette kan skabe sikkerhedsrisici for virksomhedens data.
Endeligt skal det også nævnes, at de menneskelige fejl kan skyldes, at en medarbejder kommer til at klikke på et link eller en (malware-inficeret) fil i en phishingmail, eller fordi medarbejderen ikke har holdt sin software opdateret.
