Gode råd til IT-sikkerhed

SMV-nyhedLæs IT-ekspertens gode råd til IT-sikkerhed og bliv klogere på, hvordan din virksomhed holder ubudne IT-kriminelle for døren.

SMV

Artiklen er fra Håndværksrådet. Læs den originale artikel her.

Computere og mobiltelefoner er med til styrke effektiviteten og administrationen i en virksomhed. Men de er desværre også en guldgrube for IT-kriminelle, hvis virksomheden ikke har styr på sikkerheden. Derfor er Håndværksrådet gået sammen IBIZ-Centeret om at sætte fokus på IT-sikkerheden i danske SMV’er. 

Læs her IT-eksperten, Odd Erland Bakkeengen, fra IBIZ-centeret bedste råd til at holde ubudne IT-kriminelle for døren.

1. Hvad er den største sikkerhedsfejl, de fleste SMV’er begår?
Den største sikkerhedsfejl er, at mange virksomheder slet ikke overvejer, hvor i virksomheden, der kunne være eller opstå en sikkerhedstrussel. Men det handler mere om adfærd end om graden af risiko. Alt for mange beslutningstagere har ikke viljen til at prioritere dette område, hvilket er katastrofalt, da hver fjerde virksomhed har været udsat for IT-kriminalitet

2. Hvilke sikkerhedsfejl er mest almindelige blandt SMV’erne?
De mest almindelige fejl er; ikke at opdatere sin virksomheds software, ikke at bruge antivirus og dårlig håndtering af kodeord (det gælder også på mobile enheder). Men der er også for mange, der ukritisk åbner e-mails og vedhæftninger fra ukendte afsendere eller ukritisk downloader apps til mobile enheder, som kan indeholde skadelig virus. Sidst, men ikke mindst, så undervurderer mange ofte, hvordan de håndterer deres sikkerhedskopier. Sikkerhedskopier bør tages jævnligt og opbevares sikkert i forhold til indbrud, brand, oversvømmelser eller strømbrud. 

3. Hvor stor er risikoen for at blive hacket eller få virus, hvis man kun har én computer?
Risikoen handler ikke om antal computere eller tilsluttede enheder, men om hvordan disse er beskyttet. Mange virksomheder har kun én server til administrative rutiner stående hjemme i firmaet, men udveksler data med kunder, leverandører og samarbejdspartnere og mange anvender også programmer og andre tjenester fra internetudbydere. Jo flere data, der flyder mellem virksomheden og omverden, jo større er risikoen for, at data bliver hacket eller inficeret med virus.            

4. Hvordan undgår man nemmest at få sin computer hacket?
Med nogle få regler kan man undgå de mest oplagte risici. For det første skal man bevidstgøre alle medarbejderne om sikkerhedsrisici og indarbejde nogle gode rutiner, så den daglige omgang med data foregår efter virksomhedens regler.
For det andet skal man følge de almindelige regler for god IT-sikkerhed:

  • Sørg for at softwaren er opdateret
  • Brug smarte kodeord
  • Tag sikkerhedskopier
  • Beskyt det trådløse netværk og kryptér evt. de vigtigste data

Husk at alle enheder, inklusive smartphones, tablets og andre mobile enheder, er ligeså udsat, som den stationære computer og server.     

5. Hvordan sikrer man sig lettest mod hacking og virusangreb?
Udover at have en mere sikker IT-adfærd (se forrige punkt), er det en god idé at overveje, hvor meget kritisk information, man selv har lagt på hjemmesiden eller sociale medier. Det er vigtigt, at man overholder reglerne i persondataloven. Man kunne for eksempel overveje at lægge håndteringen af persondata (brugernavn og password) ud til eksterne identitetsudbydere, såsom Facebook og Google, eller selv at implementere identitets-software i virksomheden.      

6. Kan man sikre sig 100 pct. mod hackere og IT-indbrud i sin netbank?
Man kan ikke sikre sig 100 pct. Som virksomhedsejer er det vigtigt at vide, at banken ikke dækker det økonomiske tab på virksomhedens konto, med mindre man har tegnet en særlig forsikring. Man skal være opmærksom på ikke at blive franarret personlige oplysninger om sit hævekort eller netbank via telefon, e-mail, pop-up vinduer eller falske hjemmesider. Det kan desuden være en god idé at kontakte sin bank for at få gode råd om sikkerheden i netop deres netbank-løsning.

7. Er man sikret mod hackere, hvis man ikke kan gå på nettet fra sin computer?
Kan computeren eller computernetværket ikke gå på nettet, er det ikke en direkte risiko, men så snart der sættes et usb-stik i computeren, eller der tilsluttes en mobiltelefon, er der risiko for, at den tilsluttet enhed kan være inficeret med virus og overføre den til computeren eller computernetværket. Hacking af ens data (eller identitet) kan foregå på mange forskellige måder. Ens identitet, kortoplysninger, adgangskoder og andre oplysninger kan eksempelvis lækkes via mobile enheder eller falske hjemmesider.               

8. Hvordan kan hacking og andre IT-angreb konkret skade virksomheden?
Det største skade, der kan forvoldes ved et IT-angreb, er tab af virksomhedskritiske data fx data vedrørende virksomhedens økonomi (fordringer/gæld), kunder, ordrer eller produktion. Det kræver mange ressourcer at få ryddet op efter et angreb. Og der skal efterfølgende investeres i IT-systemer og bedre rutiner for at øge sikkerhedsniveauet. Men det kan også skade virksomhedens omdømme blandt kunder, leverandører og samarbejdspartnere ikke at have styr på IT-sikkerheden.

9. Hvad gør man, hvis skaden er sket?
Det første, man bør gøre, er at få dannet sig et overblik over skadens omfang. Er dette svært at overskue, bør man hyre eksterne sikkerhedseksperter ind. Redning og reetablering af data og systemer kan være tidskrævende, komplekst og dyrt. Ved større angreb eller nedbrud er det en god idé at overveje, om man skal omlægge IT-infrastrukturen og/eller udlicitere driften af ens servere og programmer. Eksterne, professionelle IT-leverandører kan ofte tilbyde et højere sikkerhedsniveau, end man selv kan håndtere. 

Det samme gælder valget mellem selv at eje sit software eller at bruge internetbaseret (cloud-baseret) software. De fleste internetbaserede programmer bliver oftest hurtigere opdateret, end man selv får gjort.

Kontrol og adgang til data, sikkerhedsniveau og ansvarsforhold kan reguleres i aftalerne med udbyderne.