Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Dagligt hører vi om cyberangreb, som lammer virksomhederne kort- eller langvarigt. En trussel, vi skal leve med som virksomhed.
Men hvordan griber vi det an for ikke at fare vild i sikkerhedsvurderinger og opbygning af værn?
Din virksomhed og dit it-landskab er som et parcelhus.
Du kan styre de fleste ting, der sker inde i huset – men der sendes jo også data ud af huset fra kunder, samarbejdspartnere og leverandører på daglig basis.
Hvor skal fokus ligge, og hvordan bliver vi mere sikre, så ledelsen og bestyrelsen kan føle sig trygge?
Lad os starte med data, der kommer ind i huset.
Vi kan selvfølgelig sætte firewall, spamfiltre etc. op – men vi må stadig appellere til brugerens sunde fornuft.
Det vil sige, at mails med links eller vedhæftede filer skal man altid være særlig opmærksom på.
Måske skal man køre en testmail rundt engang i mellem for lige at se 'temperaturen'.
Så rykker vi til de data, der sendes ud af huset
Her skal vi naturligvis sikre, at vi sender forsvarlige mail og data evt. med kategorikoder.
Aftal med samarbejdspartnere, hvis der er kritiske data, og aftal eventuelt, hvilket format der skal sendes ud, så de også har en chance for at sikre deres værn.
Men det er inde i huset vi skal have særlig fokus og sikre, der ikke opstår uhensigtmæssigheder
Derfor, start med at få nogle eksterne firmaer til at kigge på huset om der er K3, K2 eller K1.
Disse kan være opstået via opkøb af andre virksomheder og integration af deres systemer, gamle pc’er eller applikationer, der ikke er opdateret, for nu at nævne nogle eksempler.
Så skal vi lave en plan for, hvordan vi udbedrer skaderne, og hvor kritiske de er for virksomheden. En plan med klare aktionspunkter, så vi bevarer fundamentet og soklen.
Når skaderne er udbedret, skal vi også have lavet en recovery plan.
Men er det nødvendigt?, spørger mange ledere.
Svaret er ja – vi er nødt til at forstå, hvem gør hvad, hvis uheldet er ude, så vi ikke render rundt som hovedløse høns og enten gør noget dobbelt eller slet ingenting.
En recovery plan er et værktøj, der løbende skal testes, ligesom brandvæsenet også foretager øvelser engang imellem.
Til sidst skal man vurdere, hvem skal være vores brandmand. Ønsker vi selv dette, eller samarbejder vi med eksperter, der ved, hvad der skal til, hvis uheldet er ude.
Så skal vi have ledelsen og bestyrelsen på banen, da det er dem, der i sidste ende har det juridiske ansvar – også for it-sikkerhed.
De skal have sikkerhed for, at vi både har en forsikring (hverken under- eller overforsikret) samt en plan, hvis uheldet er ude.
Endelig skal de være med til at sikre, at vi løbende får vurderet og udført reparationer og proaktive investeringer, når vi har fundet vores K1,2,3’ere.
Gode råd
- Træn dine brugere jævnligt i risiko gennem for eksempel fake mails og se, om de åbner eller ej.
- Start med at kigge på, om huset kan klare en tilstandsrapport.
- Tag dialogen med ledelsen og bestyrelsen, så fokus rettes mod området - eller ved vi alle, at it-afdelingen får ansvaret, når skaden er sket?
- Lav en plan, hvor I finder ud af, om I selv skal være brandmænd, eller om der skal en ekstern partner til.
- Vær sikker på, at ”dine forsikringspapirer” ved angreb er på plads.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.