Blogg

Blogg

Økt digitalt trusselnivå. Ikke bli angrepet av hackere pga uvitenhet!

av Elisabeth Rustand

Businessman using a desktop computer with a view over his shoulder from behind of the blank screen of the monitor.jpeg

Vi i Teknograd er opptatt av at informasjonssikkerheten i en virksomhet i stor grad ligger i hodene til dem som forvalter den – nemlig menneskene som jobber der.  Teknologi utvikler seg raskt, brukerne er både kreative og kompetente – de finner sine egne veier og skillet mellom privat og yrkesliv viskes ut. Kompetansenivået er for lavt.  Dette er forhold som har betydning for ansattes digitale adferd. Ledelsen bør sette seg i førersetet!

I følge NSR (Næringslivets sikkerhetsråd) og Mørketallsundersøkelsen 2016 sier daglig ledelse/IT-ledelsen i norske selskaper, som er blitt angrepet, blant annet at uønskete angrep rammet dem pga. menneskelig feil (60%) og manglende sikkerhetsbevissthet hos ansatte (47%).

Vi snakker ikke om brannmur, antivirus og backup. Det tar vi som en selvfølge at du har. Trusselnivået mot norske virksomheter er økende og man må sikre seg på mange områder. Vi mener økt kompetanse hos ledelsen og ansatte og nødvendige tiltak rettet mot menneskene og deres adferd er et godt sted å starte.

Risikovurdering og konsekvensanalyse er ikke akkurat moteord, men viktig likevel. Det er en påstand, men ofte vet man ikke at man trenger det, i hvert fall ikke før en skade har skjedd, og av og til vet man heller ikke at en skade har skjedd.

Har du i din virksomhet f.eks. tenkt over hva som er akseptabel bruk av bedriftens datautstyr og programvare og hvordan det er tenkt at systemporteføljen i bedriften skal brukes? Passer du som leder på at de ansatte er informert og på et godt kompetansenivå når det gjelder hva som kan ramme bedriften? Økt kompetanse kan endre livsnødvendig adferd.

Tilgjengelighet på informasjon kan bryte med det at vi ikke ønsker informasjon på avveie. Det åpner opp og man må ta noen valg for å sikre seg. Det samme gjelder brukervennlighet og arbeidsflyt som må sees opp mot retningslinjer og ønsket nivå av sikkerhet. Hva med ansattes kreativitet kontra sikring av informasjonen? Mange er svært kompetente databrukere, men det betyr ikke at de har god systemforståelse. Det må du ofte være fagmann for å forstå.  Og vi ønsker ikke å drepe kreativitet i organisasjonen. Uansett er det slik at man må prioritere og ta noen valg –   et ”ja” til noe betyr som regel at man sier ”nei” til noe annet. Som leder har du ansvaret og du kan lese mer om det i vår artikkel "IT-sikkerhet og lederens ansvar".

Mulige kilder til at det kan gå galt

Gjennom Internett banker til enhver tid ”hele verden på din dør” og vil inn. Det er vanskelig å lage tekniske spesifikasjoner som blokkerer hackere og uakseptabel bruk. Mange ting handler om brukernes kompetanse og ønsker. En del vanskeligheter kan omgås rent teknisk, men for å sikre seg bedre må du ta i bruk andre mekanismer enn det. Vi snakker om å lage retningslinjer, en avtale og en gjensidig forståelse i bedriften.

Områder som du bør tenke på er:

  • Har du tenkt over hva den enkelte åpner av vedlegg fra avsendere med uønskede hensikter? Bør det utvikles en sunn skepsis og rutiner for hva man kan svare på? Bør det legges noen tekniske føringer? 
  • Hva med lagring og klassifisering av ulik informasjon. I ytterste konsekvens kan det begås lovbrudd uten at man vet det (ref. det nye personverndirektivet).
  • Er det greit for bedriften at ansatte bruker bedriftens datautstyr i privat sammenheng og hva er i så fall greit og ikke greit?
  • Hvordan skal Internett brukes på jobb?
  • Hva med innleid arbeidskraft og hvilken type tilgang skal de ha?
  • Hvordan skal trådløst nettverk benyttes – gjestenettverk kontra bedriftens interne nettverk (dersom en gjest får tilgang til bedriftens nettverk kan han fort få tilgang til data som det ikke er ønskelig å dele med utenforstående). Les mer om dette i vår artikkel "Sikre riktig adferd på bedriftens trådløse nettverk".
  • Hva med skytjenester?
  • Hva kan lagres på maskinene, hva skal lagres i en sky og på en server?
  • Sikkerhetskopiering – rutiner og oppfølging?
  • Hva med antivirussikringen?
  • Mange har både nettbrett, smarttelefon og PC hvor e-post skal kunne leses overalt. Sikre passord og brukervennlighet er temaer her.

Bevissthet og opplæring

For å sikre at ansatte har en ønsket digital adferd må man først og fremst si hva som er ønskelig, for så å gjøre dem i stand til å forstå og å kunne gjennomføre i praksis.

Vi anbefaler at du lager interne retningslinjer og brukerkontrakter som regulerer de ansattes rettigheter og forpliktelser for bruk av bedriftens datautstyr og systemer. Beskriv hva som er akseptabel bruk og hvordan det er tenkt at systemporteføljen skal brukes. En brukeravtale vil så gi føringer for tekniske tiltak som er nødvendig og for oppfølging og kontroll.

Invester i opplæring!  Det er ikke lurt å slurve med det. Økt kompetanse gir økt forståelse og bevissthet – som i sin tur sannsynligvis gir økt respekt for de retningslinjer som skapes.

Bevissthet som gjør at man kan unngå å gjøre feil.

Man får ikke sikret seg 100%. Den siste feilen er rett og slett ikke funnet enda. Men man kan gjøre et stykke arbeid for å minimere risiko så godt som mulig. Få temaet opp på agendaen, gjør risiko- og konsekvensanalyse, lag brukeravtaler og gi opplæring. Det er vårt råd. Snakk også gjerne med IT-leverandøren din. 

Vær varsom-råd

En blogg fra Teknograd

Teknograd AS er et IT selskap som hver dag jobber for å sikre kundene de riktige IT-løsningene. Vi er lidenskapelig opptatt av at det skal fungere og at det er sikkert. Overlat ansvaret for IT løsningene til oss – så kan du bruke tiden på det du er god på.  Vi har stor tro på at høy kompetanse, god service og gjensidig tillit skaper det beste grunnlaget for et godt samarbeid. Vi er 20 ansatte, holder til i Oslo og ble etablert i 2002.

Få e-post om nye innlegg