Sådan laver du klare IT-retningslinjer

Sådan laver du klare IT-retningslinjer – En trin-for-trin guide med tilhørende skabelon

IT sikkerhedspolitik
Anders Bryde

Anders Bryde Thornild

• 15. JULI 2020 • LÆSETID 7 MIN.

I dette indlæg vil jeg gennemgå, hvordan du kan lave klare retningslinjer for IT-anvendelse til dine kollegaer ved at bruge en af vores skabeloner og derved forbedre IT-sikkerheden i din organisation. Du finder den tilhørende skabelon længere nede i indlægget.

Vi har også lavet en skabelon, som du kan bruge til at lave en IT-sikkerhedspolitik, som du i stedet kan finde her

Begge dokumenter er vigtige værktøjer til at opnå en god IT-sikkerhedskultur i din organisation, men hvad omhandler de egentlig? 

Hvad er forskellen på IT-retningslinjer og en IT-sikkerhedspolitik?

Hvis du arbejder med IT-sikkerhed i din organisation, kan det være brugbart at have en IT-sikkerhedspolitik og retningslinjer for IT-anvendelse. 

IT-sikkerhedspolitikken har til formål at sætte rammerne for organisationen på et overordnet niveau. Den indeholder målsætninger og placerer det overordnede ansvar for IT-sikkerheden i organisationen. Det er et kort dokument, der ikke fylder meget mere end et par sider. Det kan ses som et ledelsesnotat med ambitioner for organisationens IT-sikkerhedstiltag. 

Retningslinjer for IT-anvendelse er derimod et længere dokument med konkrete regler og retningslinjer som ens medarbejdere skal følge. Dokumentet er målrettet alle medarbejdere. 

Hvor politikken er overordnet og strategisk, er retningslinjerne konkrete og implementerbare. 

I dette indlæg vil jeg gennemgå skabelonen for IT-retningslinjer og fortælle, hvad du skal være opmærksom på, når du udfylder disse dokumenter.

Hvis du i stedet er mere interesseret i IT-sikkerhedspolitikken, kan du klikke nedenfor og finde en guide til den i stedet.

Konkrete regler til dine medarbejdere

Hvor sikkerhedspolitikken danner de strategiske rammer, så er retningslinjerne de konkrete regler. 

Retningslinjer for IT-anvendelse handler i bund og grund om, hvad din organisations medarbejdere skal gøre. Den kan f.eks. indeholde regler om, at passwords skal have en vis længde, at skriveborde skal være opryddet, eller at man ikke må bruge sin private mail på arbejdspladsen. 

Formålet med retningslinjerne er at lave den spillebane, som medarbejderne bevæger sig rundt på. Retningslinjerne skal være håndgribelige at forholde sig til både for ledere og for medarbejdere. Derfor er det også vigtigt, at retningslinjerne er til at forstå og følge for medarbejderne. 

Medarbejderne skal ikke være i tvivl om, hvorvidt de bryder reglerne, men kunne navigere let og ”sikkert” i deres dagligdag.  

Hvis det er første gang, at I laver retningslinjer i din organisation, så er det vigtigt, at I ikke bliver for nuancerede og indfører for mange regler. Ingen medarbejdere kan overskue et sæt regler på længde med ”Krig og Fred”. 

Det er vigtigt, at dokumentet ikke bliver for langt og tungt, men at reglerne er generelle og forståelige. For mange regler kan faktisk resultere i dårligere IT-sikkerhed, hvilket du kan høre om i episode 11 i IT-sikkerhed med CyberPilot, som du kan finde her

Senere hen kan I altid revurdere retningslinjerne og tilføje regler, hvis I har observeret mangler. 

Hent skabelonen her og følg vores guide nedenfor.  

Du kan også lytte til vores podcast her på siden, hvor Rasmus og Fredrik går igennem skabelonen trin-for-trin. 

Sådan udfylder du skabelonen

Det er vigtigt at påpege, at de følgende punkter udelukkende skal ses som inspiration til jeres retningslinjer. I kan have særlige tilfælde eller strukturer, der gør, at skabelonens regler ikke er relevante eller aktuelle for jer. Du skal derfor se skabelonens punkter og regler som en klippe-klister model, hvor du kan tage det, der er relevant for jer, tilføje egne regler og fjerne resten. 

Skabelonerne indeholder følgende punkter:

Formål
Retningslinjer og principper

Skabelonen indeholder to overordnede punkter, hvor retningslinjer og principper har 10 tilhørende punkter i form af 10 fokusområder for reglerne i organisationen. Jeg vil herunder gå gennem hvert enkelt punkt. 

Trin 1: Formål

Det første trin i retningslinjerne er dens formål. Kort sagt skal formål blot indeholde, at dokumentet er et sæt retningslinjer, som der forventes efterfulgt af medarbejdere i organisationen. Det er altså her rammen for dokumentet sættes. Det kan f.eks. se således ud: 

”X har fokus på at sikre tilgængeligheden, fortroligheden og integriteten af sine systemer og data. Derfor skal alle medarbejdere handle på en ansvarlig, etisk og lovlig måde.  Alle Xs medarbejdere, konsulenter og midlertidige ansatte er forpligtet til at administrere viden med omhu og diskretion, uanset om den er skriftlig, elektronisk eller verbal. Derfor skal håndtering af viden være i overensstemmelse med Xs informationssikkerhedspolitik samt følgende regler og principper. For at sikre dette bliver medarbejderne i X løbende trænet og gjort opmærksomme på emner indenfor IT-sikkerhed og Persondataforordningen igennem kontinuerlig træning.”

Disse retningslinjer fastlægger således de grundlæggende regler for medarbejdernes anvendelse af IT i organisation X, men stiller samtidig krav til medarbejdernes løbende opmærksomhed og viden. 

Trin 2: Regler og principper

Regler og principper er punktet, hvor selve reglerne står. Det er her, at medarbejdere kan finde de regler, de skal efterleve i deres dagligdag. Vi har tilføjet 10 punkter, som vi har fundet relevante. Hvert punkt indeholder et sæt generelle regler og principper, der skal efterleves.  

Princip 1: Fortrolighed

Fortrolighed er et område, der ofte indgår i kontrakter, men derfor kan det stadig være brugbart at benævne det i retningslinjerne for at understrege vigtigheden. I bund og rund fastlægger punktet, at organisationen forventer fortrolighed fra sine medarbejdere, når det kommer til fortrolige oplysninger. Det kan f.eks. lyde såldes:  

”Du skal håndtere alle Xs oplysninger med diskretion og omhu. Du må under ingen omstændigheder tilgå eller anvende oplysninger, systemer eller netværk, som ikke er nødvendige for dit job.  Du må ikke dele fortrolige oplysninger med kolleger, konsulenter eller midlertidige medarbejdere, som ikke har et jobspecifikt behov for disse oplysninger. Du må ikke dele fortrolige oplysninger med eksterne parter, medmindre det har et klart forretningsmæssigt formål. Samtidig skal den eksterne part have underskrevet en fortrolighedserklæring.”

Princip 2: Adgangskoder

Adgangskoder giver lidt sig selv. Det er her, hvor organisationen kan sætte krav til brugeres adgangskodehåndtering. Der kan f.eks. sættes krav til længden, brugen af tegn eller krav om ikke at genbruge passwords. I vores skabelon lyder punktet således: 

”Alle adgangskoder og PIN-koder er udelukkende personlige. Du skal have en lang adgangskode på minimum 12 tegn, hvor der både benyttes store og små bogstaver samt tal. Du skal logge af eller låse din IT-arbejdsstation (fx bærbar, PC, tablet, mobiltelefon), hver gang du forlader den. Du må aldrig have passwords stående på opslagstavler, papir eller på harddisk/e-mail.” 

Princip 3: Fysiske rammer

De fysiske rammer omhandler, hvordan man håndterer oplysninger, data, papirer mm. på sit skrivebord og resten af de fysiske rammer i organisationen. Det er de fysiske sikkerhedstiltag, der kan specificeres under dette punkt. Det kan f.eks. lyde således: 

”Dit skrivebord skal altid være ryddet. Fortrolige oplysninger skal sættes i aflåste skuffer, skabe eller lignende for at undgå uautoriseret adgang. Du skal samtidig være bevidst omkring synligheden af din PC-skærm. Du skal ikke have fortrolige og følsomme data åbne, når uvedkommende står bag dig, således at de kan overvære dine aktiviteter over skulderen” 

Princip 4: Håndtering af udstyr og dokumenter udenfor X’s område

Dette punkt omhandler, hvordan man skal håndtere udstyr og dokumenter, når man ikke befinder sig på arbejdspladsen – altså når man ikke er i de normale fysiske rammer. Det er et punkt, der kun er blevet mere relevant, nu hvor vi arbejder mere og mere hjemmefra eller på farten. Her kan der være andre forventninger end på arbejdspladsen, da rammerne er nogle andre. Det handler om at sikre organisationens udstyr. Det kan f.eks. lyde såldes:

”Hvis du bringer mobilt udstyr uden for Xs kontorer, skal det være sikret med en PIN- eller adgangskode, der sikrer en tilfredsstillende sikkerhed mod adgang fra uautoriserede personer. Mobilt udstyr, dokumenter osv. skal altid medbringes som håndbagage ved flyrejser.” 

Princip 5: Udstyr og software

I dag bruger man ofte cloud-services og software, der hurtigt kan hentes fra internettet. Derfor kan det være vigtigt at lave nogle generelle regler om, hvilke typer services der må gøres brug af og downloades, da det ellers kan være utrolig svært at kontrollere og holde styr på sine medarbejderes gøren. Det kan nogle gange være nødvendig for medarbejdere, at man f.eks. konkretiserer hvilke cloud-services, der må gøres brug af. Punktet kan f.eks. se således ud: 

”Alle anvendte IT-systemer, udstyr eller hukommelsesenheder skal være godkendt af X eller følge standarder, som er udstedt heraf. Du må aldrig tilslutte uautoriseret udstyr til arbejdsstationer eller netværk. Dette gælder også USB-nøgler og smartphones. Derudover må du kun installere eller downloade programmer, hvis du har fået tilladelse til det.  Software og udstyr, såsom computere, bærbare computere og mobiltelefoner, er Xs ejendom og skal behandles i overensstemmelse derefter. De må derfor ikke udlånes til andre (inklusive familiemedlemmer). Du skal anvende Xs interne filserver til håndtering af data. Anvendelse af cloudbaserede tjenester såsom Google Drive, Dropbox, OneDrive etc. og webbaserede fildelingstjenester er kun tilladt i forbindelse med modtagelse af data fra eksterne parter. Det er ikke tilladt at uploade Xs data til disse tjenester.  Software skal altid bruges i henhold til de licensvilkår, som X har indgået.” 

Princip 6: Brugeridentitet

Brugeridentitet omhandler, hvordan brugerstyringen skal foregå i ens IT-systemer. Må brugere dele brugeroplysninger og gøre brug af hinandens logins= Vores anbefaling er, at man kun må bruge sin egen bruger, således at man ikke kommer i problemer på baggrund af andres handlinger. Punktet kan f.eks. se således ud:

”Brugerrettigheder skal respekteres. Anvend kun din egen bruger. Du må aldrig dele dine brugeroplysninger med andre (heriblandt din chef). Brug af IT-udstyr, såsom bærbare computere eller mobiltelefoner, efterlader digitale spor som kan have konsekvenser for Xs omdømme i samfundet.” 

Princip 7: Brug af e-mail, internet og sms

Under dette punkt kan man sætte reglerne for brug af e-mail, internet og sms. Det er vigtigt, at man sætter en realistisk grænse, der appellerer til medarbejderes sunde fornuft. Det vil være voldsomt at forbyde at besøge specifikke almene hjemmesider eller at tjekke ens private mails, men man kan appellere til at begrænse niveauet af privat forbrug i arbejdstiden. Derudover er det åbenlyst at ulovlige eller voldsomme sider kan forbydes. Det er dog op til din organisation at finde niveauet for disse regler, hvor man ikke fratager sine medarbejderes frihed, men samtidig får lagt en seriøs linje. Punktet kan formuleres således: 

”Du bør minimere privat brug af internettet og e-mail på Xs udstyr. Gem det i en folder med en ”Privat” etiket. Personfølsomt data må ikke sendes på e-mail.  Arbejdsrelaterede online-korrespondancer må under ingen omstændigheder foregå igennem anonymiserede kommunikationskanaler. Det er strengt forbudt at bruge Xs e-mail konti, computere, tablets og mobiltelefoner til at besøge websteder med pornografisk, racistisk eller andet ekstremt og kriminelt indhold.  Afsenders e-mailadresse/nummer skal altid tjekkes før ukendte links og dokumenter åbnes.” 

Princip 8: Sikkerhedsovervågning og logning

Dette punkt er med for at kunne fortælle, at man som organisation har mulighed for at logge og overvåge medarbejdere. Det betyder ikke, at man nødvendigvis gør det, eller at man ikke respekterer medarbejdernes privatliv. Ved at gøre medarbejderne opmærksom på det, kan de agere derefter. Det kan f.eks. formuleres således: 

”X respekterer den enkelte medarbejders privatliv og overholder de danske love og bestemmelser, men logger al IT-anvendelse og kan i særlige situationer kræve adgang til en brugers e-mail konto eller andre oplysninger, der genereres og lagres af medarbejdere, konsulenter og midlertidigt personale. 

Princip 9: Håndtering af persondata

Håndtering af persondata lægger sig tæt op af GDPR. Efterlevelsen af GDPR kræver oftest mere uddybende processer end et sæt regler i et dokument for retningslinjer for IT-anvendelse. Retningslinjerne er dog stadig et sted, hvor man kan gøre medarbejderne opmærksomme på håndteringen af persondata med nogle meget generelle krav. Disse krav fortæller ikke meget om processerne, der gør, at man efterlever kravene, men kan skabe awareness om vigtigheden af håndteringen af persondata. Det kan f.eks. formuleres sådan her: 

Hos X er vi meget opmærksomme på at passe godt på og beskytte de personlige informationer, som vores kunder, medlemmer, medarbejdere og partnere har betroet os at varetage. Vi arbejder løbende med at udvikle og implementere sikre processer, som skal sikre en lovmæssig og sikker behandling af persondata.  

Vi har derfor etableret følgende grundprincipper for behandling af persondata: 

  • Medarbejdere må kun tilgå persondata, som er relevant for deres arbejde og funktion 
  • Medarbejdere må kun dele persondata (f.eks. persondata tilsendt fra kunder eller partnere) med andre medarbejdere, hvis det er relevant for deres opgave og funktion 
  • E-mails indeholdende persondata bør slettes, når den relevante data er behandlet 
  • Medarbejdere må ikke opbevare persondata lokalt på it-udstyr eller i e-mail indbakken længere end højst nødvendigt. I stedet bør man anvende de relevante systemer, som er designet og implementeret til dette formål (f.eks. XXXX)
  • Medarbejdere bør periodevist gennemgå både filer og mapper (både fysiske og digitalt) for at sikre, at de ikke indeholder persondata, som gemmes længere end højst nødvendigt.” 

Princip 10: Rapportér sikkerhedshændelser

Det sidste punkt er, hvordan man rapporterer sikkerhedshændelser. Der kan f.eks. være krav til medarbejdere om, at de skal rapportere sikkerhedshændelser, som de observerer eller er ude for. Du kan også komme med eksempler på, hvad en sikkerhedshændelse kan indebære, og hvem de skal rapportere til. Det vigtige er, at medarbejderen er klar over, hvornår de skal handle, og hvem de skal tage fat i. Punktet kan f.eks. formuleres således: 

”Hvis du har mistanke eller er overbevist om sikkerhedsmæssige hændelser, så skal du indberette dette omgående til nærmeste leder og IT-afdelingen. 

Eksempler på sikkerhedshændelser 

  • Modtagelse af mistænkelige e-mails  
  • E-mails med persondata sendt til forkert modtager  
  • Bortkommet it-udstyr 

Tøv endelig ikke med at kontakte den ansvarlige (XXX) hvis du mistænker noget – hellere en gang for meget end en gang for lidt!” 

Retningslinjerne er første skridt til god medarbejderadfærd

Med retningslinjerne bliver det muligt for medarbejdere at tjekke op på, hvad de må og ikke må. Det er dog vigtigt at pointere, at retningslinjerne ikke kan leve alene. I kan ikke bare skrive reglerne ned og forvente, at alle efterlever disse regler. Der skal løbende skabes opmærksomhed om reglerne og træning i, hvordan de efterleves. Ellers sidder dine medarbejdere med et sæt regler uden at vide, hvad de skal gøre. 

Retningslinjerne skal fungere som en referenceramme, som medarbejderne kan tage frem for at sikre, at de handler korrekt i deres dagligdag. 

Et stærkt grundlag for jeres IT-sikkerhedskultur

IT-sikkerhedspolitikken og retningslinjerne giver til sammen et stærkt grundlag for at skabe en god IT-sikkerhedskultur i din organisation. Hvis du nu har udarbejdet og gerne vil igang med IT-sikkerhedspolitikken kan du finde en tilsvarende guide her:

Det er vigtigt, at dokumenterne ikke bare ligger og samler støv, når I har udfyldt dem, men at I kontinuerligt evaluerer og opdaterer dem. Vi anbefaler, at man opdaterer dokumenterne årligt. 

Der skal arbejdes aktivt med målsætningerne og reglerne fra de to dokumenter, således at organisationen bevæger sig fremad. Her er de årlige evalueringerne gode muligheder for at se, om man rent faktisk har rykket sig. 

Jeg håber, at du har fundet skabelonen og guiden brugbar. 

Vil du holdes opdateret på IT-sikkerhed?

Comments are closed.