Kravene for IT vokser med lynets hast, og din virksomhed skal følge med det nuværende trusselsbillede. Derfor er det efterhånden en tvingende nødvendighed at have styr på din virksomheds IT-sikkerhed. For IT-sikkerhed er ikke længere kun noget, de store virksomheder skal bekymre sig om – vi står alle for mål.
Med et hul i IT-sikkerheden kan du både miste adgang til systemer (både dem du bruger eller sælger), risikere slettet eller låst data og miste penge, fx via phishing.
Men sænk bare skuldrene. Vi vil gerne hjælpe dig på vej mod at tage de første skridt i forhold til at få løftet din IT-sikkerhed og beskytte din forretning. I dette blogindlæg kommer vi både omkring nogle af de overordnede ting, der hører ind under IT-sikkerhedsparaplyen, og vi giver dig gode råd om, hvordan du kan opnå en bedre IT-sikkerhed ved at tage fat i nogle grundlæggende elementer. Så hæng bare på.
Hvad dækker begrebet egentlig over?
IT-sikkerhed handler ikke kun om hackere og ubudne gæster. Det handler også om den generelle datasikkerhed. Ingen skal kunne have adgang til data, som de ikke bør have adgang til – det gælder både medarbejdere, kunder, samarbejdspartnere og selvfølgelig hackere.
IT-sikkerhed dækker over en stor vifte af emner, hvor den tekniske IT-sikkerhed kan være et godt sted at starte, fordi det er forholdsvist let at gå til. Det kan være alt fra firewalls på netværk og adgangsstyring til opdateringer af system og hardware, antivirus, mailsikkerhed, backup osv. – i bund og grund alle de ting, som har med IT-konfiguration at gøre. I den lidt tungere ende finder du GDPR, cyber-sikkerhed, avanceret datasikkerhed og compliance. Så alt i alt en god pose blandede bolsjer.
En vigtig pointe er, at IT-sikkerhed i høj grad handler om forebyggelse – mere end bekæmpelse. Hvis du ser på IT-sikkerhed med de forebyggende briller, vil du i langt de fleste tilfælde være sikret bedre. Uanset valget af sikkerhed vil du aldrig være helt risikofri, men du kan komme et langt stykke af vejen.
Hvis du vil sikre din virksomhed på den bedst mulige måde, er det derfor ikke nok kun at anskaffe dig et klassisk virusprogram (selvom det også er vigtigt). Tænk i stedet din IT-sikkerhed i bredere forstand med fokus på blandt andet:
- Sikring og overvågning af hele virksomhedens netværk og IT
- Forebyggelse i form af mailsikkerhed, brugersikkerhed osv.
- Udarbejdelse af handlingsplan, hvis uheldet er ude
- Mulighed for genskabelse af data
- Styr på adgange til systemer og filer – hvem skal kunne se hvad?
- Få styr på jeres processer – er sikkerheden i orden i alle de ting, I gør?
Der er ikke en one-size-fits-all, når det kommer til IT-sikkerhed. Det afhænger af lige netop din forretning. Derfor er sikkerhedsniveauet også afhængig af de data, du arbejder med. Jo mere sensitiv data, des mere aggressivt niveau skal du tænke sikkerheden i. Uanset niveauet er der flere tiltag, du kan sætte i gang, som kan være med til at forbedre din IT-sikkerhed.
7 tips til at opnå en bedre IT-sikkerhed
Der er nogle overordnede handlinger, som kan være med til at forbedre din IT-sikkerhed. Vi vil gennemgå de forskellige elementer lige her.
1. Backup, backup, backup
Sikkerhed handler ikke kun om hacking og cyberangreb. Det handler mindst lige så meget om at undgå at miste dine data. Derfor vil vi til hver en tid anbefale, at du har backup af dine data og systemer. Det kan fx være med en Cloud-backup, der kan give dig al adgang tilbage, hvis dine data bliver slettet, eller du mister adgang.
Med en ordentlig backup får du:
- Forebyggelse mod hackerangreb, da du bliver mindre sårbar overfor at miste data
- Let adgang til genskabelse af slettet data
For at skabe en sikker backup skal du have dette for øje:
- Sørg for, at nedetiden er så lille som mulig. Den tid, hvor dine data skal gendannes, er spildt tid, som du ikke får tilbage. Vælg derfor en backup, der let kan gendannes.
- Sørg for, at backuppen er sikret korrekt. Din backup skal være i et isoleret miljø.
- Sørg for at teste at du kan genskabe data – og gør det med jævne mellemrum
Du skal også være opmærksom på, at der ikke er backup inkluderet i Microsoft 365-licenser. Derfor anbefaler vi typisk vores kunder at have flere lag af sikkerhed og backup foruden det, der findes i Microsofts licenser. Du kan blive klogere på backup ved Microsoft her.
2. Luk døren til dit netværk med en firewall
De fleste ting i din virksomhed foregår højst sandsynligt på nettet. Derfor skal dit netværk selvfølgelig også beskyttes på samme måde som resten af din IT. En måde at gøre det på er ved at etablere et lukket netværk for din virksomhed med en firewall.
Ligesom I låser døren for at forhindre adgang til jeres kontor, bruges firewalls til at lukke dit netværk for uvedkommende. Din firewall filtrerer og undersøger det, der kommer ind gennem din internetforbindelse. På den måde kan den stoppe et eventuelt skadeligt program eller en snedig hacker i at få adgang til jeres netværk og jeres private oplysninger, inden skaden sker.
Det er super vigtigt at din firewall ikke bare bliver overladt til sig selv. Ellers er din virksomhed sårbar over for de omkringliggende farer. Sørg derfor for, at den bliver driftet, patchet og holdt øje med løbende.
3. Hunde er gode kæledyr, men dårlige passwords
Et oplagt sted at starte, når det gælder IT-sikkerhed, er at sørge for, at de rette personer har adgang til de rette ting og med de rette adgangskoder. Og med rette adgangskoder mener vi ikke den klassiske 1-2-3-4 eller Buller1989, selvom de ligger lige til højrebenet. Jo flere lange kombinationer af store og små bogstaver, tal og tegn, jo bedre beskyttet er din adgangskode. Men når du skal ændre denne kode på hvert eneste sted, hvor du bruger et password, bliver det straks værre.
Derfor er en password manager ofte den bedste og letteste løsning. Den hjælper dig til at få genereret lange, unikke adgangskoder og med at huske dem. Det kunne eksempelvis være LastPass, der genererer, gemmer og opbevarer kodeord for dig på en sikker, forsvarlig måde – helt automatisk. For at gøre det så nemt for dig som muligt, er der tilknyttet en app og et plugin til din browser.
Jo mere kompleks din adgangskode er, jo sværere er det at gennemskue det. Gode og unikke adgangskoder er derfor essentielle for dig og især også din virksomhed.
4. Opdater din software og dine styresystemer
”En ny opdatering er tilgængelig” – den sætning popper sikkert ofte op på din computerskærm eller telefon. Alt for ofte bliver opdateringer udskudt, fordi det kræver tid og overskud. Men det kan svække sikkerheden i din virksomhed, hvis du ikke får trykket på opdater-knappen.
Selv med stærke adgangskoder kan manglende opdatering af dine programmer, browser og styresystemer betyde en svækkelse af sikkerheden. For selvom dine data var sikre i sidste måned, er det ikke ensbetydende med, at de stadig er det.
Virusudviklere og hackere udvikler hele tiden nye måder at angribe på. Heldigvis følger producenterne med og lukker sikkerhedshullerne – og det gør de netop gennem opdateringer til programmerne.
Når det gælder IT-sikkerhed, er det derfor vores råd altid at sørge for at opdatere dine programmer og software løbende, så snart opdateringerne er klar. Det skal ikke kun være på den enkelte arbejdscomputer, men på AL din hardware, herunder både servere, computere, mobiler osv. Sørg evt. for at sætte automatisk opdatering på dine enheder og programmer, så du ikke glemmer det.
5. Kontroller adgang til data og systemer med hård hånd
Alle dine data og systemer skal beskyttes. Det handler om at låse døren for hackere og for medarbejdere, der ikke skal have adgang til alt. Det er fx ikke sikkert, at finansielle tal skal være tilgængelige for alle medarbejdere eller at alle medarbejdere skal have adgang til alle dele af systemerne. Derfor gælder det om at have kontrol over adgange til systemer og data.
En undersøgelse fra Osterman Research viser, at 69 % af tidligere medarbejdere fortsætter med at have adgang til mindst et system. Selvom det måske lyder harmløst, betyder det, at tidligere medarbejdere kan have adgang til data, som kan ende hos konkurrenten –hvilket de færreste har lyst til. En løsning er at give hver bruger en adgang til de systemer og den data de skal bruge for at kunne udføre deres arbejde. Sørg desuden for, at der er en IT-procedure, der skal gennemgås, når en medarbejder siger op.
Du skal samtidig være varsom med adgang til udefrakommende konsulenter eller freelancere. De kan på samme måde få adgang til data, som de ikke har behov for. Sørg derfor også for at gennemgå deres adgange – både når de starter og når de slutter. I både den opsagte og konsulentens situation er det vigtigt at lukke ned for adgangen, når de ikke længere er tilknyttet virksomheden.
Overordnet gælder det om at tildele udelukkende de nødvendige brugerrettigheder, som samtidig kan være med til at gøre, at en ransomware heller ikke kan tilgå administratorrettigheder.
6. Få styr på din e-mailsikkerhed
Et af de steder, hvor du kan være på forkant med sikkerheden, er din mail – en utrolig vigtig kommunikationslinje for næsten alle virksomheder. Dine mails er en åben dør ud til verden og adgangen ind til dine informationer. Det gælder derfor både beskyttelse, så andre ikke bruger dit maildomæne, og beskyttelse, der øger chancen for, at dine mails kommer frem til modtageren. E-mailsikkerhed handler også om at begrænse de mails, der lander i virksomheden – så risikoen for phishing og malware gennem e-mails falder. Det sikres blandt andet gennem en god antivirus, spamfiltre og den rigtige opsætning af mailprogrammet.
Der findes flere måder at sikre mailsikkerheden på. Her kommer nogle lidt tricky forkortelser, så hold tungen lige i munden:
- Sæt en SPF record op i din DNS. Den er med til at tjekke alle mails, der kommer ind, og kategoriserer hver og en, så de enten lander i din indbakke eller i din spammappe.
- Sørg for, at DKIM er sat op. Her bliver der tilføjet en kryptering til hver mail, så du sikrer, at din mail kommer frem til den rette modtager uden at blive ændret på vejen.
- Har du styr på de to ovenstående? Så kan det næste skridt være at sætte DMARC op. DMARC viser dig, hvilke mails der fejler og hvorfor.
- Brug en god antivirus som fx ESET eller Defender, som er udvidede e-mailbeskyttelse. Den scanner og filtrerer alle dine e-mails og beskytter filer, som sendes via eksempelvis Teams eller SharePoint.
7. Undgå at blive fanget i phishing-nettet
Når vi taler IT-sikkerhed, kommer vi ikke udenom begreber som phishing, malware, ransomware og hacking. Alle former for digitalt bedrag og angreb, som din virksomhed kan blive offer for.
Malware er et program, der udfører uønskede handlinger på din computer. Det kan i bedste tilfælde betyde irritation, mens det i de værste tilfælde kan koste dig mange penge og tab af data.
Ransomware kan på samme måde skabe problemer, idet dine data og systemer bliver gjort utilgængelige for dig. Det sker ofte ved hjælp af kryptering. Her bliver du og din virksomhed altså holdt som gidsel, hvor du skal betale en løsesum (deraf navnet ransom) for at slippe fri.
En metode til installationen af det ondsindede computerprogram kan være via phishing, der er hackernes genvej til at komme ind i dine systemer. Phishing kan også være en måde at lokke penge eller værdifuld info ud af dig på.
Når du tænker phishing, hopper dine tanker sikkert hen på den klassiske nigerianske prins, der beder dig om penge over mail. Men faktisk er hackere i dag langt mere snedige og er blevet noget bedre til at lokke penge ud af dig og din virksomhed. Disse mails ser ofte troværdige ud og kan til forveksling ligne en mail fra dine samarbejdspartnere eller endda din chef.
Et godt tip er derfor altid at tjekke afsenderen en ekstra gang eller sørg for at markere alle eksterne mails tydeligt. Hackeren kan lave et maildomæne, der til forveksling ligner dem, de påstår de er, så tag lige et ekstra kig. Generelt skal du være kritisk over for mails, du modtager, som indeholder links, fakturaer eller ønsker om betaling. Vi har skrevet en artikel om, hvordan du spotter phishing her.
Har du styr på din informationssikkerhedspolitik?
Informationssikkerhedspolitik er lidt af en kamel at sluge, men ikke desto mindre en vigtig del af din IT-sikkerhed.
En sikkerhedspolitik giver nogle helt klare retningslinjer for alle i virksomheden om, hvordan I forholder jer til de digitale risici. Lidt ligesom du ville have ved andre risici som vandskade eller tyveri. Det er altså grundstenen for, hvad din IT-sikkerhed skal kunne – og en rettesnor for, hvilke processer, I vil følge.
Din informationssikkerhedspolitik kan blandt andet komme omkring:
- Kontrol af hardware og software – hvem har adgang til dine data?
- Datasikkerhed, herunder sletning, indsamling og opbevaring af data (GDPR)
- Kontrolstyring – hvem er administratorer, og hvad er deres sikkerhedsniveau?
- Adgangskontrol – hvem har adgang til hvad, og hvordan administrerer du adgange og adgangskoder?
- Etablering af sikkerhedsplan – en proces for, hvad der sker, hvis virksomheden er under angreb eller af forskellige årsager mister adgang til data eller systemer
- e-mail og browserbeskyttelse.
På sikkerdigital.dk kan du finde meget mere info om politik for informationssikkerhed.
Husk også at få sikkerheden omkring mobiltelefoner med i overvejelserne.
Giv din IT-sikkerhed vinger
Vi kan ikke sige det mange gange nok: IT-sikkerhed handler om forebyggelse og om at være på forkant. Selvom risikoen aldrig kan fjernes helt, er en stærk forebyggelse altafgørende. Især når det kommer til at komme hurtigt tilbage på sporet igen.
En sidste vigtig pointe er, at alle kan købe de forskellige sikkerhedsprodukter, men at gøre det sikkert, kræver konfiguration. Derfor kan det være en god idé at tage fat i en IT-ekspert, der kan give dig forståelse for, hvor din virksomhed kan være udsat, og hvordan flowet af data mellem systemerne fungerer.
Husk også, at det er muligt at søge tilskud til projekter omkring IT-sikkerhed under SMV-tilskudsordningen.
Hos NHL Data kan vi hjælpe dig med at give dig et overblik over din IT-sikkerhed. Ræk ud til os, og lad os hjælpe dig på vej på din IT-sikkerhedsrejse.