IT Sikkerhet, et ansvar for alle

Ansattes holdninger til - og praktisering av virksomhetens IT sikkerhetspolicy kan enten skjerme eller utsette virksomheten for risiko. Suksess i morgen kan avhenge av sikkerhetsbeslutningene som tas i dag.

I går kom nyheten om at det norske dataselskapet Visma var utsatt for et alvorlig hackerangrep i august 2018. Ifølge sikkerhetssjef i Visma, Espen Johansen, fikk selskapet raskt angrepet under kontroll, men hackerene hadde stjålet interne, krypterte passord for ansatte i selskapet. Tilfellet er langt fra enestående. Kjente nettsteder som Adobe, Dropbox og LinkedIn er blant dem som tidligere har vært utsatt for tyveri av m.a. passord. Slike hendelser er en klar påminnelse om at vi alle må ta cybersikkerhet alvorlig. 

    Cyber ​sikkerhet handler generelt om både forebyggende og prediktive teknologier som introduseres og distribueres i nettverket – i tillegg til ansattes holdninger og bevissthet omkring IT sikkerhet.

      For enhver CIO står IT sikkerheten høyt på dagsordenen, og i tillegg til de tekniske løsningene er den enkleste måten å sikre organisasjonen på, å utdanne de ansatte om cybersikkerhet. Dette handler om mye mer enn rutiner på arbeidsplassen. I dag har en stor del av ansatte også mobil tilgang til data, eller tilgang via privat hjemmenettverk. På samme måte som måten selskapet jobber på endres, må holdningen til IT sikkerhet også endres. Men, som eksempelet med Visma viser: Å sikre at alt man gjør er trygt fra hackere og at sensitiv informasjon ikke kommer på avveie er en kontinuerlig kamp, og når det skjer brudd på sikkerheten må IT ansvarlig kunne håndtere det raskt for å redusere skaden og konsekvensene som følge av hendelsen.

        Gode holdninger må inn i bedriftskulturen

        Ingenting er vel mer frustrerende enn å oppdage at det er en ansatt som er ansvarlig for et sikkerhetsbrudd, og mulige angrepspunkt er mange. Smarttelefoner og bærbare datamaskiner er de typer enhetene som oftest kobles til både jobb – og hjemmenettverk. Med økende risiko for ransomware er det viktigere enn noensinne å utdanne ansatte om hvordan de kan forbli sikre. 

          Her er noen gode råd til hvordan IT ansvarlig kan få økt ansattes oppmerksomhet på nettverkssikkerhet:

          • Understrek betydningen av ansattes holdninger
          • Gi eksempler på uønsket/dårlige praksis
          • Gjennomfør interne kurs/opplæring 
          • Gjør deg selv tilgjengelig for spørsmål
          • Forklar hva ransomware og phishing er

          Fagfolk innen IT-sikkerhet er godt kjent med at menneskelig feil er en hyppig årsak til sikkerhetsbrudd. Denne informasjonen må formidles til alle ansatte, slik at de forstår at deres holdning til sikkerhet faktisk kan påvirke hele selskapet.

            Se også : Sikkerhetsstrategi og cyber-forsvar.

              Å åpne vedlegg i skadelige e-postmeldinger eller gjenbruk av arbeidspassord på personlige kontoer på ulike nettsteder, er to eksempler som kan føre til alvorlige sikkerhetsbrudd. 

                Beste praksis for brukere

                Når det gjelder cyber sikkerhet, kan man ikke være for forsiktig. Det er tre grunnpilarer sikkerhetsreglene må bygge på for at de skal fungere etter hensikten: 

                • De må være enkel å forstå
                • De må være mulig å etterleve
                • De samme reglene må gjelde for alle, inkludert IT avdelingen

                Her er en liste med 8 tips til beste praksis for nettverkssikkerhet som alle ansatte bør kunne følge:

                • Ikke bruk samme passord flere steder.
                • Ikke skriv ned passordene dine, (spesielt ikke på post-it lapper på pulten din)
                • Passord er personlig.  Skift passord hvis du tror det er kjent av andre
                • Ikke åpne vedlegg fra en ukjent avsender eller med et uvanlig filnavn
                • Vær årvåken når du følger linker i en e-post. Sjekk linken først om du i tvil
                • Svar aldri på spam eller skadelig e-post. Det kan øke problemet
                • Vær forsiktig om en e-post fra en kollega inneholder en uvanlig forespørsel eller språk
                • Bruk alltid Incognito-modus på offentlige datamaskiner.

                Man kan også anbefale ansatte å sjekke om deres elektroniske kontoer har vært utsatt for sikkerhetsbrudd med: https://haveibeenpwned.com/. Her kan man også sette opp varsling dersom kontoopplysninger skulle komme på avveier i fremtiden.

                Legg igjen en kommentar

                Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *