<img src="" width="1" height="1" alt="">

Dette nettstedet bruker informasjonskapsler (cookies) for å gi deg en best mulig funksjonalitet og brukeropplevelse.
Du kan lese mer om hvordan vi bruker informasjonskapsler i vår personvernerklæring. Ved å fortsette og benytte siden aksepterer du vår bruk av cookies.

×
Datasikkerhet

Internopplæring – Hva må alle i din bedrift kunne om datasikkerhet og dataangrep?

90 % av dataangrep forårsakes av menneskelige feil. Sørg for at dine ansatte har kunnskapen de trenger for å unngå fatale brudd på sikkerhetsrutiner.

VSikkhet

I 2018 gjennomførte Opinion en Mørketallsundersøkelse på oppdrag fra Næringslivets Sikkerhetsråd. Her kommer det frem at 55 % av virksomhetene som meldte om at de ble utsatt for sikkerhetsbrudd året før mener at det skjedde på grunn av menneskelige feil

Nasjonal sikkerhetsmyndighet (NSM) uttaler samtidig at 80–90 % av alle dataangrep kan unngås dersom virksomheten innfører noen få, enkle grep. Dette inkluderer tekniske tiltak, som å sørge for at sikkerhetsoppdateringer installeres så fort som mulig, men også tiltak som forbedrer den menneskelige atferden.

Dette er relativt høye tall som kan virke foruroligende på enhver IT-direktør eller -leder. For å redusere risikoen lønner det seg å overvåke infrastruktur, ha et system for å håndtere hendelser samt hente inn informasjon om og analysere kapasiteten i kriminelle miljøer. I tillegg til slike overordnede tiltak, er det viktig at de ansatte har gode rutiner som bidrar til å styrke virksomhetens digitale sikkerhet. 

Her får du en innføring i hva alle i din virksomhet må kunne om datasikkerhet og dataangrep for å sørge for en god sikkerhetskultur.

[LAST NED] SJEKKLISTE FOR DIGITAL FORRETNINGSUTVIKLING

1. Lær å lage sterke passord 

For å redusere risikoen for virus- og malwareinfeksjoner bør alle de ansatte ha en grunnleggende forståelse for hva et sterkt passord er. Mange syns det er vanskelig å lage et unikt passord hvor hver enhet og profil, men dersom ledelsen understreker hvor stor betydning dette kan ha, vil de aller fleste likevel ta seg tid til å lage sterke, unike passord. 

Men hvordan går du frem for å lage et sterkt passord? Her er noen retningslinjer det kan være lurt å ta utgangspunkt i: 

  • Lag et langt passord (minimum 5 ord eller 16 tegn).  
  • Sørg for at alle passord er unike.  
  • Ikke bruk ord eller tall som kan knyttes til deg selv.  
  • Varier mellom store og små bokstaver, tall, symboler og mellomrom. 

Når du har laget et sterkt passord, vil dette forbli sterkt så lenge det ikke er stjålet eller har blitt avslørt av andre. NSM anbefaler derfor at du heller bruker tid på å lage et sterkt passord enn å bruke tid på å bytte dette for hyppig. Dette fordi pålagte, hyppige passordbytter ofte fører til at brukere velger mindre sterke passord, hvilket reduserer sikkerheten. 

Les også: De 7 vanligste sikkerhetstabbene bedrifter gjør

2. Vær på vakt og unngå phishing 

Et annet viktig tiltak for å bedre sikkerheten i din virksomhet er å gi de ansatte opplæring i å være kritisk til hvem som er avsender av e-poster. Phishing, også kalt nettfiske, er en metode kriminelle bruker for å skaffe sensitiv informasjon ved at ansatte rett og slett sender eller gir det bort på forespørsel. Dette kan for eksempel være i form av at en avsender som utgir seg for å være en stor bank informerer om tekniske problemer og ber de ansatte sende eller fylle inn sensitiv informasjon som kortinformasjon for å løse problemet.  

Fire tips for å unngå phishing: 

  • Ikke del personlig eller finansiell informasjon per e-post.  
  • Undersøk om lenken er trygg og vurder hvor den tar deg før du følger den.  
  • Ikke klikk på lenker i e-poster, kopier dem eller skriv inn adressen manuelt.  
  • Vurder avsenderadressen nøye. 

3. Unngå«direktørsvindel» 

Svindel kan også opptre i form av direktørsvindel, hvor avsender utgir seg for å være direktøren i selskapet. Vedkommende kan blant annet be økonomiansvarlig om å betale fakturaer eller overføre penger til et gitt kontonummer. 

Fem tips for å unngå direktørsvindel:  

  • Vær oppmerksom på e-poster eller SMS-er hvis avsender ber om penger og understreker at det haster.  
  • Les e-posten nøye og se etter unormale elementer (for eksempel bruk av .com istedenfor .no i avsenders e-postadresse).  
  • Vær oppmerksom på e-poster som spiller på tillit, trusler eller fristelser. 
  • Kontroller betalingsinformasjon opp mot tidligere transaksjoner. 
  • Er du usikker, kontakt den angivelige avsenderen og hør om e-posten faktisk kommer fra vedkommende. 

4. Organiserøvelser

I den digitale tidsalder bør alle digitale sikkerhetsbrudd behandles på lik linje med fysiske sikkerhetsbrudd som for eksempel brann. Det betyr at du i likhet med organiserte brannøvelser bør arrangere organiserte øvelser for å teste de ansattes digitale sikkerhetskompetanse. 

Et eksempel på en slik test kan være å sende ut en e-post som utgir seg for å være svindel. Hent ut statistikk på hvordan de ansatte behandler e-posten: Hvor mange klikket på lenker og hvor mange oppga sensitiv informasjon? Bruk tallene og eksempelet i internundervisning.

5. Lag en plan

I tillegg til å jevnlig utføre øvelser hvor de ansatte får testet sin kompetanse på digital sikkerhet, bør du sørge for at det finnes en beredskapsplan for hva som skal gjøres dersom uhellet først er ute. 

Når det er sagt er det viktig å understreke at dere bør opprette rutiner for å avdekke om et sikkerhetsbrudd har funnet sted. Ifølge Mørketallsundersøkelsen fra 2018 forteller hele 50 % av virksomhetene uten et etablert styringssystem at det var tilfeldigheter som førte til oppdagelsen, mens 37 % av virksomhetene med et styringssystem sier det samme. 

Konsekvensene av sikkerhetsbruddet kan ikke håndteres dersom ingen i virksomheten er klar over at det har funnet sted. Første steg på veien mot å lage en beredskapsplan er derfor å sørge for at bedriften har et godt styringssystem for å fange opp eventuelle sikkerhetsbrudd. 

Noen av punktene i denne oversikten er hentet fra eller inspirert av Nettvett.no sine sider

last ned sjekklisten her