Contact us: +45 40 32 32 35
Dansk

ENISA Rapport: SMV’er Har Også Brug for IT-sikkerhed

Isabella Lüders
By: Isabella Lüders IT-sikkerhed | 30 november

I juni 2021 udgav The European Agency for Cybersecurity (ENISA) en rapport med anbefalinger til mindre og mellemstore virksomheder (SMV’er), om hvordan de kan løse udfordringer i deres dagligdag. Omkring 45% af SMV’erne rapporterede, at de har implementeret nye teknologier som følge af pandemien, men mindre end 10% af dem omfattede nye sikkerhedsforanstaltninger. Derfor er SMV’er ofte sårbare overfor sikkerhedsbrud.

I dette blogindlæg præsenterer vi de vigtigste konklusioner fra rapporten for at hjælpe dig med at forbedre din IT-sikkerhed.

Sådan påvirkes din virksomhed af sikkerhedsbrud

Når du klikker på et mistænkeligt link, bruger mistænkelige websider eller bruger forhåndsinstalleret anti-virus software, kan det virke som små hændelser, men de kan have alvorlige konsekvenser for dig og din organisation. ENISAs rapport konkluderer, at sikkerhedsbrud og hackerangreb vil resultere i alvorlige konsekvenser i 80% af tilældene, når det kommer til små- og mellemstore virksomheder. Op til 57% af gangene vil virksomheden gå konkurs eller dreje nøglen om. Selv hvis resultatet er mindre alvorligt, kan håndtering af datatab, juridiske følgevirkninger eller inficerede enheder koste mange ressourcer, som man hellere vil bruge et andet sted.

Hvorfor bør mindre virksomheder tage hensyn til IT-sikkerhed?

De mest populære online aktiviteter er fjernarbejde, bankoverførsler, e-mails og informationssøgning. Da næsten alle virksomheder gør brug af disse ting, så er chancen for, at din virksomhed er meget afhængig af internettet stor. Selvom der er fordele ved at benytte online tjenester, kan brug af internettet gøre dit netværk sårbart overfor phishing, netbaserede angreb, malware samt andre sikkerhedsbrud. Problemet påvirker virksomheder i alle størrelser, men ikke alle virksomheder er lige godt beskyttet.

ENISA konkluderede, at 85% af alle store virksomheder regner IT-sikkerhed for at være et væsentligt problem. I SMV’er ser man dog, at IT-sikkerhed ofte bliver nedprioriteret. Enten anses det ikke for at være relevant, eller der tages ikke hensyn til det på grund af manglende personale eller økonomi. Det er en fejl, for IT-sikkerhed er vigtigt og behøver ikke nødvendigvis at være en dyr fornøjelse. Du bør udpege de områder, der kræver forbedring først og derefter implementere passende foranstaltninger.

ENISA anbefaler, at man forbedrer tre områder:

  1. Personer

  2. Processer

  3. Teknologi

1. Personer - Oplær dit team

Mange tror, at IT-sikkerhed er begrænset til IT-afdelingen, men det er ikke tilfældet. Hver eneste medarbejder i din organisation spiller en vigtig rolle i forhold til at holde netværket sikkert. Derfor bør alle være opmærksomme på mulige trusler, og hvordan de skal håndtere dem. Da 84% af alle cyberangreb er afhængige af en eller anden form for social manipulation, bør virksomhedens medarbejdere tilegne sig gode IT-sikkerhedsvaner.

Dette er de mest almindelige årsager til sikkerhedshændelser:

  • Svage adgangskoder (2020)

  • Ulåste enheder (2020)

  • Ransomware (2018)

  • Brug af private enheder

  • Manglende sikkerhedspolitikker

Disse problemer gør hele virksomheden, og de persondata den håndterer sårbar.

ENISA anbefaler, at alle medarbejdere modtager en form for awareness-træning. Denne træningstype kan lære dem at oprette stærke adgangskoder, søge sikkert på internettet, behandle persondata lovligt og meget mere. Awareness-træning bør ikke være et engangskursus, men derimod en kontinuerlig indsats for at forbedre IT-sikkerheden.

I kan prøve Awareness-træning gratis for hele jeres organisation.

Smart CTA_e-book DK

2. Processer - Få struktur på dit IT-sikkerhedsarbejde

Implementer en IT-sikkerhedspolitik og retningslinjer til medarbejdere

Udover at have opmærksomme medarbejdere skal du også have nogle tydelige politikker og retningslinjer for IT-sikkerheden. Disse dokumenter kan hjælpe med at guide jeres IT-sikkerhedsarbejde og forklare medarbejdere, hvad deres kræves af dem, når de f.eks. benytter virksomhedens netværk, udstyr og tjenester. Vi har både en guide og skabelon til, hvordan du laver en IT-sikkerhedspolitik, og hvordan du laver IT-retningslinjer for medarbejdere.

Gennemfør tjek af IT-sikkerhedsarbejdet løbende

Det kan være svært at overvåge trafik og aktiviteter på hver eneste enhed eller netværk, selv for en mindre virksomhed. Som følge deraf kan du risikere, at et kritisk problem, en sårbarhed eller en trussel forbliver uregistreret. Derfor anbefales det, at man regelmæssigt foretager revisioner og evalueringer af IT-sikkerheden. På den måde kan du udpege mulige svage punkter, før en brist opstår og sørge for at din virksomheds infrastruktur for IT-sikkerhed opretholdes.

Her kan risikovurderinger og en metode som plan-do-check-act være brugbare til at sikre, at du ved, hvilke problemer du fokuserer på og hvordan du arbejder med disse.

Hav en klar plan for sikkerhedshændelser

Hvis der opstår et sikkerhedsbrud, skal din virksomhed have en protokol for, hvordan I håndterer situationen korrekt. En formel handlingsplan giver dig ikke blot mulighed for at handle hurtigt, men forhindrer dig også i at afsløre fortrolige oplysninger eller påvirke din organisations offentlige omdømme negativt.

Overvej en databeskyttelsesrådgiver (DPO)

Det kan være tidskrævende, når man skal gennemføre IT-sikkerhedstiltag og evalueringer af arbejdet, lave udkast til IT-sikkerhedspolitikker samt udarbejde handlingsplaner for hændelser. Du bør derfor overveje at få en databeskyttelsesrådgiver (DPO). En DPO’s ansvar er at sikre overholdelse af GDPR-regler og overholdelse af andre regler, der kan koste persondatabrud. Det hænger altså uløseligt sammen med IT-sikkerheden.

Det er dog ikke nødvendigvis det rigtige skridt for alle organisationer, da det også er dyrt at ansætte en person.

3. Teknologi - Opdater dit tekniske udstyr

For at alle de andre foranstaltninger skal gøre gavn, skal du også have en stærk teknisk infrastruktur. ENISA-rapporten angiver at mere end 70% af SMV’erne udelukkende benytter sig af forhåndsinstalleret software eller basissoftware til at beskytte sig imod sikkerhedsbrud. Det er upålideligt. Her er nogle flere foranstaltninger, som kan styrke din IT-sikkerhed.

Sikkerhed for netværk og aktiver

En af de lettere ting at implementere er en firewall. Dens grundlæggende funktion er at filtrere og overvåge trafik, der sendes eller modtages på baggrund af de regler, du opretter for dit netværk. En firewall kan levere mange andre tjenester, såsom at filtrere e-mailtrafik, blokere adgang til ondsindede websider eller advare mod potentielle angreb. Det er vigtigt at have en firewall, men du kan tilvælge yderligere funktioner, der passer til din virksomheds behov.

En anden foranstaltning er anti-virus software. Selvom de fleste allerede bruger den slags programmer til at beskytte mod malware, bør du sikre, at det bruges effektivt; sørg for at du altid har den nyeste version installeret på alle enheder, også medarbejdernes tablets og smartphones. Du bør også have mulighed for at administrere anti-virus softwaren centralt fra IT-afdelingen for at sikre, at den er opdateret.

Få et overblik over jeres devices

Når du har implementeret alle de nødvendige programmer og systemer, skal du sørge for at de fungerer effektivt. Vi anbefaler at komme i gang med IT Asset management. Det er et system, der registrerer alle virksomhedens enheder og aktiver for at give IT-afdelingen et overblik over devices og forhindre brug af ondsindede eller uautoriserede programmer.

At investere i IT-sikkerhed kan spare jer penge på sigt

Jeg håber, du kan se, hvorfor mindre virksomheder bør prioritere IT-sikkerhed i samme grad som større organisationer. Vi opfordrer dig og din organisation til følge anbefalingerne fra ENISAs rapport for 2021, da det kan øge IT-sikkerheden og forhindre de konsekvenser, som et sikkerhedsbrud kan forårsage. At investere penge i IT-sikkerhed kan virke som værende en udgift uden værdi, men det kan spare jer masser af penge på lang sigt.