Firmahemmeligheder og Facebook på samme telefon er en helt uansvarlig cocktail

Klumme: It-sikkerhed handler ikke om at undgå at blive hacket, for det er umuligt. I dag drejer det sig om data og informationssikkerhed i form af politikker, procedurer og efterretninger.

Artikel top billede

Megatrends er over os! Virksomheder arbejder med at lande i "den tredje platform", hvor cloud, mobility og big data er fremherskende.

Især teknologierne omkring cloud computing og mobility stiller store krav til virksomhedens håndtering af data. Og til beskyttelsen af samme.

Her er problemstillingen i en nøddeskal:

Medarbejdere har behov for, at have adgang til applikationer og informationer, som er nødvendige for at løse deres opgaver. Men de har også brug for at tilgå diverse digitale platforme for at passe deres privatliv.

Mange af de platforme, som bruges privat, bliver også vigtigere og vigtigere i arbejdsmæssige sammenhænge. For de yngre generationer er dette en forudsætning for, at de kan udføre deres arbejde effektivt.

Nogle tilgår private platforme fra arbejdspladsens enheder, mens andre tilgår arbejdspladsens systemer fra deres private enheder. Mange gør begge dele - eller har alt samlet på én og samme enhed.

Men alle enheder og applikationer, som ikke er godkendt og løbende kontrolleres af organisationens it-sikkerhedsansvarlige, må dog betragtes som usikre!

Organisationens opgave er derfor at sikre, at al adgang til følsomme organisationsdata og systemer bliver nøje afvejet. Adgang bør kun kunne ske fra godkendte enheder, som løbende kontrolleres af organisationen.

Det er ganske enkelt uansvarligt at give en medarbejder adgang til kritiske oplysninger fra den telefon, som vedkommende går på Facebook fra.

P, P og E

Jeg mener, det er essentielt, at organisationer bliver bedre til at kontrollere data, end de er i dag, samtidig med, at de har en realistisk tilgang til, hvordan medarbejderne passer deres job og lever deres liv.

Men det er ikke let - især ikke i de omskiftelige arbejdsmiljøer, som de fleste af os er engagerede i.

Mange steder er effektivitet og målrettethed jo høtj prioriteret. Alligevel harmonerer behovet for at flekse rundt mellem arbejdsliv og privatliv ikke med best practise it-sikkerhed.

Det repræsenterer en udfordring, men det er ikke umuligt.

For at tingene går op i en højere enhed, må organisationens ledelse forstå og respektere den virkelighed, som arbejdspladsen og dens medarbejderne befinder sig i. En virkelighed, hvor hackere vil gøre sig meget umage for at stjæle oplysninger, og hvor medarbejdere er den nemmeste vinkel at angribe fra.

It-sikkerhed handler nemlig ikke længere om at undgå at blive hacket, for det er umuligt, medmindre du kobler alt fra og undgår enhver forbindelse til nettet.

I dag handler sikkerhed i stedet om data og informationssikkerhed for disse data. Mit bud er, at organisationer skal se på informationssikkerhed som politikker, procedurer og efterretninger.

Det handler om at se bort fra alle de tekniske it-sikkerhedsforanstaltninger for en tid og i stedet begynde at svare på eksempelvis følgende spørgsmål:

- Hvad er reglerne for, hvordan vi klassificerer vores data?

- Hvilke sikkerhedsstandarder vedtager vi for at beskytte vores data?

- Afgrænser vi adgangen til de væsentlige/følsomme oplysninger?

- Ved vi, hvordan vi lukker adgangen til følsomme data hurtigt og effektivt?

Dataklassifikation - sådan gør du

For at være i stand til at udøve datakontrol, må organisationen have en løbende risikovurdering af sine data ud fra deres følsomhed. Er der tale om personfølsomme eller forretningskritiske data, som er sensitive for organisationen?

Data må løbende klassificeres i kategorier ud fra bestemte kriterier for, hvor problematisk det er, hvis de bliver stjålet eller lækket.

Dernæst må der tages stilling til hvem, der må tilgå dem og fra hvilke enheder.

Hvornår har medarbejdere behov for adgang til e-mails? Og hvad er konsekvensen, hvis en enhed bliver kompromitteret? Hvornår skal man have adgang til borgerinformationer? Og hvad kan der ske, hvis ondsindede får adgang til disse informationer?

Det er op til den enkelte organisation at træffe disse valg.

Så snart data og informationer er blevet klassificeret, er det tid til at bestemme, hvordan de forskellige informationer skal kunne tilgås.

Et eksempel på top-level definitioner kunne være:

Forretningskritisk information: Ingen adgang fra private eller mobile enheder.

Ikke offentligt tilgængelig information: Ingen adgang fra private enheder.

Offentlig tilgængelig information: Adgang fra private enheder.

Man arbejder altså ud fra en need-to-know basis.

Men det kræver, at man i organisationen kender sin infrastruktur; at man har overblik over alle applikationer og kender sikkerhedsniveauet på de forskellige applikationer og enheder.

Hvilke applikationer skal eventuelt fjernes fra systemet eller opdateres straks?

Her er det vigtigt med præcise efterretninger om software-sårbarheder for at kunne imødegå truslen korrekt.

Hvis du kender en given applikations placering og adgangstilladelser i dit system, og du får besked, når denne applikation bliver sårbar og derfor kan udnyttes af hackere, kan du reagere hurtigt og præcist og imødegå truslen.

Secunias seneste opgørelse over sårbare applikationer viser over 13.000 nye sårbarheder i applikationer på et år. Tallet vil være endnu højere i år.

Det betyder heldigvis ikke, at alle 13.000 sårbarheder har en betydning for din organisation. Det er jo lige meget for dig, at en applikation er usikker, hvis du ikke har den i dit system, eller kan give adgang til personfølsom information.

Pointen er: Ved du, om du bruger sårbare applikationer til personfølsom information? Og kender du sikkerhedsniveauet på de enkelte applikationer? Det er her, hvor arbejdet med dataklassifikation og -kontrol ligger.

Der er ingen tvivl om, at hvis flere brugte mere tid på at gennemgå risiko-scenarier med dataklassifikation for øje, så ville der måske være færre situationer, hvor fremmede fik adgang til følsomme data som i sagen med lækkede CPR-numre for nylig.

Denne sag, samt mange andre sager, har påvist, hvilke elementer alle organisationer må bokse med, når de tackler deres it-sikkerhed:

- Udokumenterede processer, som gør det praktisk umuligt at vedligeholde og rapportere skiftende sikkerhedsniveauer.

- Konkurrerende prioriteringer, som fører til forsinkelser for bedømmelse og opdatering af sikkerhedskritiske applikationer.

- Fragmenteret infrastruktur, som negativt påvirker labyrinten af teknologier og systemer, der er forbundne på uholdbare (og nogle gange mystiske) måder.

- Mangel på sikkerhedstræning og awareness blandt brugere, der i god tro kommer til at åbne for adgang til systemer og netværk.

- Uhensigtsmæssig kommunikation (som påpeges flere steder) og koordinering, der fører til misforståelser og handlinger, der ikke håndteres i tide.

Som det fremgår af ovenstående, er it-sikkerhed ikke kun et spørgsmål om teknik, men i høj grad om politikker, processer, viden og overblik.

Der er tale om forretningskritiske processer, og det kræver i høj grad ledelsesinvolvering. Konsekvensen er, at vi ikke længere kan komme uden om, at ansvaret for it-sikkerheden skal højere op på ledelsesagendaen.

Læses lige nu
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

    Sikkerhed | Højbjerg, Aarhus

    Cyber Security Summit 2026 - Aarhus

    Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

    Digital transformation | Aarhus

    AI i det offentlige - Aarhus

    Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

    Digital transformation | Køge

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

    Se alle vores events inden for it

    Navnenyt fra it-Danmark

    Netip A/S har pr. 1. maj 2026 ansat Ida Hyllested Friis som Key Account Manager ved netIP's kontor i Thisted. Hun kommer fra en stilling som Key Account Manager hos Københavns erhvervshus. Nyt job
    Guardsix har pr. 1. maj 2026 ansat Louise Sara Baunsgaard som Global Marketing & Communications Director. Hun skal især beskæftige sig med at positionere virksomheden som et europæisk alternativ i en tid, hvor cybersikkerhed i høj grad handler om geopolitik. Hun kommer fra en stilling som Co-Founder og CMO hos Get BOB. Hun er uddannet Ba.ling.merc fra CBS og har desuden en Mini MBA i marketing. Hun har tidligere beskæftiget sig med marketing og kommunikation i ledende nordiske roller hos bl.a. Meta og Nets. Nyt job
    Pinksky ApS har pr. 1. maj 2026 ansat Dan Toft, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med digitalisering med Microsoftplatformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Han er uddannet datamatiker. Han har tidligere beskæftiget sig med Microsoft 365 og SharePoint udvikling. Nyt job

    Dan Toft

    Pinksky ApS

    Netip A/S har pr. 1. maj 2026 ansat Steffen Bendix Søjberg som Systemkonsulent ved netIP's kontor i Rødekro. Han kommer fra en stilling som Systemadministr,og har været i branchen i mange år. Nyt job