Vi i Teknograd er opptatt av at informasjonssikkerheten i en bedrift i stor grad ligger i hodene til dem som forvalter den – nemlig menneskene som jobber der.  Teknologi utvikler seg raskt, brukerne er både kreative og kompetente – de finner sine egne veier og skillet mellom privat og yrkesliv viskes ut. Kompetansenivået er for lavt.  Dette er forhold som har betydning for ansattes digitale adferd. Ledelsen bør sette seg i førersetet!

I følge NSR (Næringslivets sikkerhetsråd) og Mørketallsundersøkelsen 2016 sier daglig ledelse/IT-ledelsen i norske selskaper, som er blitt angrepet, blant annet at uønskete angrep rammet dem pga. menneskelig feil (60%) og manglende sikkerhetsbevissthet hos ansatte 47%.

Vi snakker ikke om brannmur, antivirus og backup. Det tar vi som en selvfølge at du har.. Trusselnivået mot norske bedrifter er økende og man må sikre seg på mange områder. Vi mener økt kompetanse hos ledelsen og ansatte og nødvendige tiltak rettet mot menneskene og deres adferd er et godt sted å starte.

Risikovurdering og konsekvensanalyse er ikke akkurat moteord, men viktig likevel. Det er en påstand, men ofte vet man ikke at man trenger det, i hvert fall ikke før en skade har skjedd, og av og til vet man heller ikke at en skade har skjedd.

Har du i din bedrift f.eks. tenkt over hva som er akseptabel bruk av bedriftens datautstyr og programvare og hvordan det er tenkt at systemporteføljen i bedriften skal brukes? Passer du som leder på at de ansatte er informert og på et godt kompetansenivå når det gjelder hva som kan ramme bedriften? Økt kompetanse kan endre livsnødvendig adferd.

Tilgjengelighet på informasjon kan bryte med det at vi ikke ønsker informasjon på avveie. Det åpner opp og man må ta noen valg for å sikre seg. Det samme gjelder brukervennlighet og arbeidsflyt som må sees opp mot retningslinjer og ønsket nivå av sikkerhet. Hva med ansattes kreativitet kontra sikring av informasjonen? Mange er svært kompetente databrukere, men det betyr ikke at de har god systemforståelse. Det må du ofte være fagmann for å forstå.  Og vi ønsker ikke å drepe kreativitet i organisasjonen. Uansett er det slik at man må prioritere og ta noen valg –   et ”ja” til noe betyr som regel at man sier ”nei” til noe annet.

Gjennom Internett banker til enhver tid ”hele verden på din dør”

Mulige kilder til at det kan gå galt

Gjennom Internett banker til enhver tid ”hele verden på din dør” og vil inn. Det er vanskelig å lage tekniske spesifikasjoner som blokkerer uakseptabel bruk. Mange ting handler om brukernes kompetanse og ønsker. En del vanskeligheter kan omgås rent teknisk, men for å sikre seg bedre må du ta i bruk andre mekanismer enn det. Vi snakker om å lage retningslinjer, en avtale og en gjensidig forståelse i bedriften.

Områder som du bør tenke på er:

  • Har du tenkt over hva den enkelte åpner av vedlegg fra avsendere med uønskede hensikter? Bør det utvikles en sunn skepsis og rutiner for hva man kan svare på?
  • Hva med lagring og klassifisering av ulik informasjon. I ytterste konsekvens kan det begås lovbrudd uten at man vet det (ref. det nye personverndirektivet).
  • Er det greit for bedriften at ansatte bruker bedriftens datautstyr i privat sammenheng og hva er i så fall greit og ikke greit?
  • Hvordan skal Internett brukes på jobb?
  • Hva med innleid arbeidskraft og hvilken type tilgang skal de ha?
  • Hvordan skal trådløst nettverk benyttes – gjestenettverk kontra bedriftens interne nettverk (dersom en gjest får tilgang til bedriftens nettverk kan han fort få tilgang til data som det ikke er ønskelig å dele med utenforstående).
  • Hva med skytjenester?
  • Hva kan lagres på maskinene, hva skal lagres i en sky og på en server?
  • Sikkerhetskopiering – rutiner og oppfølging?
  • Hva med antivirussikringen?
  • Mange har både nettbrett, smarttelefon og PC hvor e-post skal kunne leses overalt. Sikre passord og brukervennlighet er temaer her.

Bevissthet og opplæring

For å sikre at ansatte har en ønsket digital adferd må man først og fremst si hva som er ønskelig, for så å gjøre dem i stand til å forstå og å kunne gjennomføre i praksis.

Vi anbefaler at du lager interne retningslinjer og brukerkontrakter som regulerer de ansattes rettigheter og forpliktelser for bruk av bedriftens datautstyr og systemer. Beskriv hva som er akseptabel bruk og hvordan det er tenkt at systemporteføljen skal brukes. En brukeravtale vil så gi føringer for tekniske tiltak som er nødvendig og for oppfølging og kontroll.

Invester i opplæring!  Det er ikke lurt å slurve med det. Økt kompetanse gir økt forståelse og bevissthet – som i sin tur sannsynligvis gir økt respekt for de retningslinjer som skapes.

Bevissthet som gjør at man kan unngå å gjøre feil.

Man får ikke sikret seg 100%. Den siste feilen er rett og slett ikke funnet enda. Men man kan gjøre et stykke arbeid for å minimere risiko så godt som mulig. Få temaet opp på agendaen, gjør risiko- og konsekvensanalyse, lag brukeravtaler og gi opplæring. Det er vårt råd. Snakk også gjerne med IT-leverandøren din.

Les mer om faktorer du må vurdere ved valg av en IT-driftspartner.