CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Annonceindlæg fra Computerworld

Cybersikkerhed skal være indarbejdet i virksomhedskulturen

Med et uoverskueligt IT-sikkerhedssetup og et øget trusselspres bør organisationer styrke alle medarbejderes cyberadfærd og sikkerhedskulturen.

Af Computerworld | Udgivet

Et uovervejet klik på et link eller et dokument i en tilsyneladende uskyldig email kan få skæbnesvangre konsekvenser for en organisation. Ifølge Peter Kruse, der er ekspert i cybersikkerhed, udgør ransomware nemlig stadig den største trussel for både små og store virksomheder. Men mindre trusler kan stadig have betydelige negative konsekvenser for organisationer uanset størrelse.

I mange organisationer består cybersikkerheden i et svært gennemskueligt kludetæppe af forskellige systemer og applikationer. Junglen af sikkerhedsforanstaltninger gør det svært for de IT-ansvarlige at bevare overblikket over nødvendige opdateringer eller svage punkter i sikkerheden.

Alvoren af det manglende overblik over IT-sikkerheden forstærkes af, at en IBM-analyse viser, at ca. 95 % af alle cybersikkerhedsbrud og vellykkede hackingangreb skyldes menneskelige fejl. Af Verizons seneste rapport, som undersøger databrud, fremgår det, at de fleste angreb enten var social engineering, phishing eller Distributed Denial of Service-angreb (DDoS-angreb), og 61 % af bruddene lykkedes ved hjælp af en medarbejders stjålne legitimationsoplysninger.      

Sikre vaner i hverdagen
Når menneskelige fejl er skyld i så godt som alle brud på cybersikkerheden, bør alle organisationer sørge for at ruste alle medarbejdere til at gardere sig mod fælder. Sarah Aalborg er CISO hos Tivoli og har lavet et nyhedsbrev om, hvordan organisationer kan styrke deres svageste led  i sikkerheden – medarbejderne.

Sarah Aalborg refererer til adfærdspsykologien, som opdeler menneskelig risikoadfærd i to grupper:

”Der er de risici, der skyldes, at folk gør noget, de ikke burde gøre” og så ”de risici, der skyldes, at folk ikke gør noget, de burde gøre”,” refererer Sarah Aalborg fra en podcast, hun har hørt.

Hun mener, at principperne fra adfærdspsykologien med fordel kan bruges til at øge cybersikkerheden i store som små organisationer. Ud fra dem har Sarah Aalborg følgende råd, som kan hjælpe medarbejdere til at handle mere sikkert:

  • Gør det nemt, at gøre det rigtige
  • Gør det personligt
  • Gør det på det rigtige tidspunkt
  • Giv dem redskaber til at handle
  • Giv feedback, så de ved, de er på rette vej
  • Giv dem en gruppe at høre til
  • Gør det for dem


Test og styrk email-kuturen
Der er flere redskaber, som kan styrke medarbejdernes cyberadfærd. Det kan fx være jævnlige påmindelser til og test af medarbejderne. Påmindelsen kan fx være en kvartals-email målrettet de forskellige typer af medarbejdere med en video, der fortæller, hvordan medarbejderen mindsker risikoen for brud på IT-sikkerheden, og giver eksempler på, hvordan medarbejderen skal reagere i tilfælde af en given sikkerhedshændelse. Emailen kan også indeholde link til en digital test, som medarbejderen skal gennemføre.

Derudover kan ledelsen overveje at teste medarbejdernes modstandskraft over for phishing og lignende forsøg fra hackere på at lokke vigtig information ud af medarbejdere ved at sætte ’fælder’ i form af phishing-lignende emails, der skal lokke medarbejderne til enten at give information eller klikke på et link. Det, at selv garvede folk i IT-branchen af og til falder i fælden og klikker på et tilsyneladende uskyldigt link eller vedhæftet dokument i en email, viser behovet for at udsende disse test-emails.

KOMBIT har sammen med en række organisationer og myndigheder lavet et kodeks for, hvordan man tester it-sikkerheden, uden at pege fingre ad medarbejdere, som falder i test-fælden.

Kodekset indeholder 6 principper for sikkerhedstest:

  1. Vær enige om mål og midler
  2. Test organisationen, ikke medarbejderen
  3. Indhold og brug af case-materiale
  4. Giv dig til kende i tilfælde af konflikter
  5. Videregiv viden om kriminelle handlinger
  6. Sørg for ansvarlig datahåndtering

Hvis medarbejdere føler sig udstillet eller krænket, hvis de fejler i testen, kan testene have den modsatte effekt end den ønskede – nemlig at medarbejdere ikke tør fortælle, hvis de har begået en fejl.

Stærke adgangskoder skal være almindeligt
Ifølge en rapport fra Ponemon Institute og Keeper Security fra 2018 har 68% af  små og mellemstore virksomheder verden over oplevet at miste eller få stjålet ansattes adgangskoder. Året efter sagde 68% af de adspurgte SMV’er, at ansatte, der bruger svage adgangskoder, var en af ​​de største årsager til hackingproblemer.

Desværre kræver færre end halvdelen af de adspurgte SMV’er, at medarbejderne bruger stærke eller unikke adgangskoder, og kun 38% af de adspugte SMV’er forhindrer medarbejdere i at bruge den samme adgangskode på alle interne systemer. Det står i kontrast til, at 68% af virksomhederne er udfordret af, at medarbejdere bruger svage adgangskoder.

Udover problemer med medarbejderes svage eller gentagne adgangskoder, bruger mange også den samme kode i længere tid. Gamle adgangskoder gør også organisationen mere sårbar over for cyberangreb.


Tofaktor-godkendelse skal være standard
Verizons rapport for 2021 om datasikkerhed viste, at legitimationsoplysninger stadig er en af ​​de mest eftertragtede datatyper, efterfulgt af personlige data som cpr-numre, navne og adresser. Dette viser vigtigheden af, at brugere beskytter deres egne data og forretningsdata, når de bruger digitale aktiver. Alligevel kræver kun 47% af de adspurgte SME’s i Ponemon Institutes rapport fra 2019 tofaktor-godkendelse (2FA).

En stor del af danske organisationer kan med andre ord øge sikkerheden ved at bruge nogle adfærdspsykologiske greb og ved at håndhæve klare regler for håndtering af emails og login-informationer.

Kontaktinfo:

Computerworld

Hørkær 18

2730 Herlev

NFC bygger bro mellem Forsvaret, innovationsmiljøer og virksomheder

Især Ruslands truende adfærd er baggrunden for oprettelsen af Nationalt Forsvarsteknologisk Center (NFC),

Geopolitik i cyberspace

Mark Fiedel i Styrelsen for Samfundssikkerhed påpeger behovet for, at Danmark kigger kritisk på leverandørafhængighed.

Danske virksomheder skal spille en nøglerolle i det digitale forsvar

Danske IT-virksomheder kan blive en hjørnesten i opbygningen af digitale kapaciteter i forsvaret.

Cloudfestival: Sådan styrker Arla sikkerheden med AI – og bliver klar til NIS2

På Computerworld Cloud & AI Festival kan du møde en af landets skarpeste CISO’er; Thomas Zuliani fra Arla Foods. Få en forsmag på hans keynote her.

Kom med på Danmarks største cloud-festival:

Bliv stærk på digitalisering, forretning, sikkerhed og AI

”Jeg har set en hacker overtage en dieselgenerator med 30 linjers kode”

Podcast: Sikre systemer

De fem største sikkerhedstrusler for virksomheder lige nu

Ransomware og email-svindel er et spørgsmål om, hvornår det sker, ikke om det sker. Samtidig stiger risikoen for at blive ramt af andre trusler.

Afprøv din beredskabsplan for cybersikkerhed

Suppler IT-beredskabsplanen med jævnlige angrebsøvelser, så alle i organisationen ved, hvem der gør hvad i hvilken rækkefølge, når uheldet er ude.

Tre gode råd til at beskytte virksomhedens data og digitale værdier i døgndrift

Få tre gode bud på hvordan du kan opbevare (og organisere) virksomhedens kritiske data på en sikker måde.

Tre stærke råd til dit gode fjern- og hjemmearbejde

Få tre gode råd på hvordan du får det sikre, intelligente og nemme fjern- og hjemmearbejde sat op.
Se flere indlæg

Se alle annonceindlæg

Premium
Teaser billede
Efter hackerangreb mod Arla er driften tilbage: Selskabet afviser yderligere kommentar
Læs mere »
Borgmester går mod strømmen og vil ikke frigøre kommunen fra Microsoft: "Vi har ikke noget alternativ"
Flere har mistet deres plan-B: Danske it-kunder har fået nye bekymringer på det seneste
Microsofts nye ændringer til partnernetværket er en stor mulighed for distributører: Skal jagte ny forretning
Se alle »
Computerworld
Teaser billede
Open Source-eksperimentet #2: Farvel Outlook – vi går all in med fri e-mail, kalender og Fritz Kola
Læs mere »
Test: Dansk Bluetooth-højttaler giver konkurrenterne tæv – og opskriften er ret simpel
Et splinternyt design og et væld af nye funktioner: Her er de vigtigste annonceringer fra Apples enorme konference
Digitaliseringsministeriet skrotter Microsoft: Her er tre anbefalinger til at gøre danske virksomheder digitalt uafhængige
Se alle »
CIO
Teaser billede
Open Source-eksperimentet #2: Farvel Outlook – vi går all in med fri e-mail, kalender og Fritz Kola
Læs mere »
Digitaliseringsministeriet vil droppe Microsoft: Nu reagerer tech-giganten
Caroline Stage udfaser Microsoft i Digitaliseringsministeriet: "Jeg glæder mig meget til at se, hvordan det fungerer i praksis"
I weekenden fik Microsoft sparket af Digitaliseringsministeriet – nu følger Kombit trop
Se alle »
Job & Karriere
Teaser billede
Fungerede ikke: Dropper AI som erstatning for kundeservice-medarbejdere - har nu brug for nye folk
Læs mere »
NNIT har fyret 100 medarbejdere - nedjusterer markant
It-chef og halv it-afdeling fyret i forsikringsselskab på grund af kommentar om potteplante
Har fælles fortid i Devoteam: Nu etablerer disse fire tunge it-profiler nyt dansk konsulenthus - ser et hul i markedet
Se alle »
White paper
Teaser billede
IT i front: Sådan bliver netværk en strategisk driver
Læs mere »
Undgå at printeren bliver svageste led i sikkerheden
Revolutionér kundeoplevelsen med AI og automatisering
NIS2: Sådan styrker du både cybersikkerhed og compliance
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »