Sådan får du styr på it-sikkerheden

Danske virksomheder bliver i stadigt stigende omfang udsat for cyberangreb. Spørgsmålet er, hvad du som leder kan gøre for at styrke virksomhedens it-sikkerhed. Det giver vores ledelsesrådgiver her sine bedste råd til.

31. januar 2022

Hænder skriver kode på computer

Hvis ikke din virksomhed allerede har været udsat for det, er det formentlig blot et spørgsmål om tid.

Truslen fra cyberangreb mod danske virksomheder er de senere år kun gået én vej – nemlig opad. 

I en undersøgelse, som Lederne for nyligt har gennemført blandt 1.146 private ledere, svarer hele 71 procent af lederne, at deres virksomhed har været udsat for forsøg på hacking inden for de seneste to år.

Samtidig svarer 16 procent, at de har oplevet et decideret hackerangreb inden for det seneste år, mens 27 procent har været ramt af et hackerangreb inden for de seneste tre år.

Og de tal overrasker ikke Birgitte Alstrøm, der er ledelsesrådgiver hos Lederne.

”Vi ved, at truslen fra cyberkriminalitet og hackere de seneste år har været meget høj og kun bliver større og større i takt med, at vi som samfund og erhvervsliv bliver mere og mere digitale,” siger hun.

Ifølge Birgitte Alstrøm gør et antivirus-program og en firewall det langt fra alene, hvis du vil beskytte din virksomheds it-systemer mod ubudne gæster. Det er nemlig i mindst lige så høj grad brugerne af virksomhedens it-systemer, som det er teknologien, der udgør den største potentielle it-sikkerhedsrisiko.

”Cyberangreb går målrettet efter menneskers digitale adfærd. Uopmærksomhed fra bare en enkelt medarbejder, som klikker på en ondsindet vedhæftet fil i en e-mail, kan åbne døren for it-kriminelle. Og sker det, kan det få store økonomiske konsekvenser for både virksomheden, kunder og samarbejdspartnere,” fastslår hun.

Løbende uddannelse af virksomhedens ledere og medarbejdere i sikker digital adfærd er derfor et af de gode råd, som Birgitte Alstrøm giver til at sikre sig imod hackerangreb.

1. Fastlæg jeres it-sikkerhedspolitik
Beslut jer for jeres strategiske målsætninger og placering af det overordnede ansvar for virksomhedens it-sikkerhed, og hvordan I vil rapportere udviklingen løbende. Det kan blot fylde et par sider med jeres ambitioner for virksomhedens it-sikkerhed og kan for eksempel indeholde: formål, hvem er berørt af politikken, målsætninger, ansvarsfordeling i organisationen, undtagelser, rapportering, og hvad der skal ske i tilfælde af at it-sikkerhedspolitikken overtrædes

2. Lav konkrete retningslinjer for jeres anvendelse af it
Beskriv helt konkrete retningslinjer for, hvordan medarbejdere bør og skal interagere med de mange it-systemer de dagligt er i berøring med. Dette dokument er målrettet alle medarbejdere. Det er et længere dokument end it-sikkerhedspolitikken, men stadig i et overskueligt format. For eksempel om brug af e-mail, password, download af filer, skærmdeling under videomøder og håndtering af it-udstyr udenfor kontorarbejdspladsen. Gør det tilgængeligt og forståeligt, så medarbejderne let og sikkert kan indarbejde det i deres hverdag.

3. Træn medarbejderne løbende i it-sikkerhed
Brugerne af jeres it-systemer udgør en potentiel it-sikkerhedsrisiko. Sørg for at træne jeres medarbejdere løbende, så de får en øget bevidsthed og forståelse for it-sikkerhed. Brug gerne meget praktiske og konkrete eksempler fra hverdagen, som medarbejderen nemt kan forholde sig til og huske efterfølgende. For eksempel: Hvordan vurderer man om en e-mail er mistænkelig? Hvad skal man gøre, hvis en e-mail virker mistænkelig? Hvordan laver man et stærkt password? Skal et skrivebord være ryddet for dokumenter? Hvordan skal jeg opbevare virksomhedens it-udstyr derhjemme?

4. Lav løbende en it-risikovurdering
It-systemerne udvikler sig hele tiden, nye it-systemer kommer til, og hackerne udvikler løbende nye metoder til at trænge ind i jeres systemer. Sørg for løbende at gennemføre en it-risikovurdering i din virksomhed, hvor I kortlægger sandsynligheden og konsekvenserne ved forskellige risici. Derved kan I lettere prioritere, hvilke løsninger I vil implementere for at sikre virksomheden yderligere. For eksempel: Hvad er sandsynligheden for og konsekvenserne ved, at din virksomhed udsættes for oversvømmelse, så jeres it-udstyr beskadiges? Eller at en medarbejder får stjålet sin bærbare arbejdscomputer fra sin bil? Eller at jeres website går ned? Bør I bruge tid på at finde løsninger til at minimere disse risici eller lave beredskabsplaner for, hvad I vil gøre, hvis det sker?

5. Tag ansvar udenfor egen virksomhed
Som leder har du et større ansvar end kun din egen virksomhed. Mange it-systemer er i dag koblet sammen, så har I en lav it-sikkerhed, så udsætter I måske også jeres samarbejdspartnere og kunder for en betydelig sikkerhedsrisiko. Så arbejd tæt sammen med jeres samarbejdspartnere og kunder om at identificere og udbedre eventuelle sikkerhedshuller.

Læs om dengang, høreapparatgiganten Demant blev udsat for et hackerangreb. Det lærte koncernchef Søren Nielsen nogle vigtige lektier om kriseledelse.