For mange virksomheder handler it-sikkerhed om at beskytte infrastrukturen, udstyr og software.
Det er der også god mening i, men tendensen går desværre mod, at medarbejderne overses i forhold til it-sikkerheden, og det kan blive dyrt.
Jeg hjælper, hvor jeg kan
Sådan siger dine medarbejdere måske. De fleste mennesker er jo hjælpsomme over for hinanden, men på den måde kan dine medarbejdere faktisk gå hen og blive det svage led i firmaets sikkerhed.
Mange it-kriminelle ved godt, at alt det tekniske er sikret efter alle kunstens regler, og at medarbejderne er den eneste vej ind, og så hjælper it-afdelingens hårde arbejde ingenting.
Når hackere bruger menneskelige relationer og adfærdsmæssige teknikker som indgang, kaldes det socioteknisk angreb.
Adfærdsmæssige teknikker lukker hackere ind
Sociotekniske angreb kan fx være, når en hacker kontakter en medarbejder og beder ham/hende om at gøre noget, der umiddelbart virker harmløst.
Forestil dig, at en medarbejder modtager et opkald fra en person, som udgiver sig for at være firmaets internetudbyder eller en kollega fra it-afdelingen. På grund af vores hjælpsomme natur udleverer vi gerne oplysninger for at hjælpe en kollega med et overhængende problem - fx med adgangskoder eller oplysninger om netværksstrukturen. Der skal ikke meget til, før der er åbent ind til systemerne.
Når hackerne bruger adfærdsmæssige teknikker, som i eksemplet, kan det ende med at koste virksomheden mange penge.
Giv dine medarbejdere de bedste værktøjer
Hvad kan vi så gøre for at undgå sociotekniske angreb? Giv medarbejderne retningslinjer og redskaber. På den måde kan du skabe en kultur, der indebærer, at sikkerhed er gennemgribende i alle virksomhedens processer og beslutninger. Medarbejderne skal vide, hvad de må oplyse via telefonen, og hvem de må dele oplysninger med. It-sikkerhed skal kort sagt tænkes ind i det daglige arbejde.
Her får du nogle eksempler på spørgsmål, dine medarbejdere bør stille sig selv, før de udleverer følsomme eller forretningsmæssige oplysninger:
- Bør jeg have den her samtale?
- Hvis oplysningen var på papir, ville jeg så makulere papiret?
- Ville jeg dele oplysningerne på sociale medier synligt for alle?
- Hvor godt kender jeg personen i den anden ende af røret/emailen?
- Har jeg tillid til afsenderen af mailen?
- Er det sikkert at trykke på linket eller filen i mailen?
- Er jeg i gang med at videregive oplysninger, der kan være farlige i de forkerte hænder?
Kontroller for dårlige vaner
Virksomheder der behandler sikkerhed som sidste led i en sikkerhedsstrategi, sætter ikke alene virksomhedens stabilitet på spil, men også det gode ry. Det kan ikke alene skade din virksomheds sikkerhed og troværdighed, men også sætte kundernes oplysninger i fare.
Det kan også være en god idé at tjekke medarbejdernes uvaner.
Er du it-ansvarlig, så gå en runde i firmaet; Er der ulåste computere på tomme skriveborde, ligger fortrolige papirer frit fremme på bordene, eller står døren åbent ind til det lokale, kun betroede medarbejdere har adgang til. Sådanne eksempler kan være tegn på, at der hersker en generel afslappet holdning til sikkerhed.
It-sikkerhedspolitik
Giv dine medarbejdere retningslinjer - måske endda i form af en håndbog om virksomhedens it-politik. På den måde sikrer du virksomheden og giver medarbejderne konkrete værktøjer.
En håndbog om it-politik kan fx indeholde afsnit om, hvordan de behandler fortrolige oplysninger, lagring og backup af data, personregistrering, privat brug af firmaets udstyr, internet og sociale medier mm.
En it-sikkerhedshåndbog bør udarbejdes af den it-ansvarlige i samarbejde med firmaets HR-ansvarlige.
Er du i tvivl om sikkerheden i din virksomhed,
eller har du bare brug for en snak om mulighederne?
Kontakt os på telefon 70 12 00 03
