Dine medarbejdere er jeres største trussel

Introduktion

I denne blog og i et opfølgende blogindlæg giver vi dig en komplet guide til hvilke steps, som du skal igennem for at klæde dig og dine medarbejdere optimalt på til at nå sikkert i mål – bogstaveligt talt. 

Denne blog beskriver de fire steps i processen. 

Du kan også downloade vores e-bog, hvor vi har samlet de fire steps PLUS, at vi giver dig adgang til konkrete værktøjer og skabeloner, som du kan benytte i processen.

Indholdsfortegnelse

Forord

Kulturændring igennem 4 trin 

  • Organisationens kulturændring er en trinvis udviklingsproces – der varer ved…

IT-sikkerhedstruslen opstår og løses indefra

  • Den IT-sikkerhedsmæsstige risiko kommer indefra – på medarbejderniveau
  • Derfor skal sikkerhedsløsningerne også komme indefra – og starte hos medarbejderne

#1 Tydelig medarbejderkommunikation er forudsætning for succes

  • Vær klar i spyttet over for dine medarbejdere – med tydelig kommunikation

#2 Lad IT-retningslinjer guide dine medarbejdere

  • Konkrete retningslinjer til medarbejderne betaler sig – bogstaveligt talt

#3 Awareness from for alt

  •  Awareness is everything – skab og fasthold opmærksomhed omkring IT-sikkerheden i organisationen
  • Fysiske møder eller oplæg – få engageret dine medarbejdere i praksis
  • Plakater – giv medarbejderne syn for (IT-)sagen i hverdagen
  • Awareness-træning (e-læring) – få fastholdt det (høje) opmærksomhedsniveau
  • Phishin-træning – skab awareness igennem simulering af angreb
#4 Måling er vejen til fremtidssikring af organisationens IT-sikkerhed
  • Mål på jeres fremgang – “hvis ikke vi måler, aner vi ikke, hvor vi er…”
  • Statistik fra den virkelige verden – IT-sikkerheden er (stadig) udfordret

Konklusion – kom sikkert i mål med træningen af jeres medarbejdere

  • De 4 steps til opmærksomme medarbejdere
  • CyberPilot – din personlige sparringspartner på IT-sikkerhed og persondata

Forord

Når man hører ord som for eksempel ”IT-sikkerhedstrussel”, ”IT-kriminelle angreb” og ”IT-sikkerhedsbrist” i virksomheder og organisationer, er det nok de færreste, der i første omgang tænker på medarbejderne som problemets hovedårsag. 

Men faktum er, at netop medarbejderne udgør den primære kilde til IT-sikkerhedsbrister på arbejdspladsen. Størstedelen af disse sikkerhedsbrister kan spores direkte tilbage til medarbejdernes uvidenhed om og manglende bevidsthed i forhold til forsvarlig og korrekt håndtering af IT- og datasikkerhed i dagligdagen.  

Derudover er det også medarbejderne, der i langt de fleste tilfælde ubevidst laver fejl, som kan føre til overtrædelse af reglerne vedrørende Persondataforordningen (GDPR). 

Med andre ord: Medarbejderne er paradoksalt nok din virksomheds største risiko i forhold til IT-sikkerhed. 

Denne risiko kan resultere i svære økonomiske omkostninger, bøder og utilsigtet brug af interne ressourcer. Og den er såmænd lige reel, aktuel og alvorlig for store, mellemstore såvel som små virksomheder og organisationer i dag. Det vil sige alle arbejdspladser – også jeres. 

Men hvordan dæmmer I mest effektivt op for denne risiko? Det gør I ved at skabe en kultur i jeres organisation, der beror på et fælles ansvar for og en bevidsthed omkring IT-sikkerhed. 

Guiden er bygget op omkring fire centrale områder, som I bør fokusere på: 

  • Klar kommunikation til medarbejderne
  • Retningslinjer til medarbejderne
  • Fokus på at skabe og fastholde opmærksomhed
  • Måling af jeres fremgang

Rigtig god læselyst!

Forfatter
Rasmus Vinge
CyberPilot

Kulturændring igennem 4 trin

Organisationens kulturændring er en trinvis udviklingsproces – der varer ved… 

At få skabt bevidsthed og opmærksomhed omkring de IT-sikkerhedsmæssige risici og udfordringer samt udbedring af problemerne er langt fra noget, der sker over natten. Tværtimod. Det er en længerevarende proces, der kræver arbejde og målrettede indsatser – på ledelsesniveau, men i den grad også på medarbejderniveau. 

Denne udviklingsproces skal starte fra ledelsen og hele vejen ud til alle medarbejdere. Målet er at få denne (nye) kultur naturligt integreret som en del af medarbejdernes mindset og deres daglige håndtering af IT-systemer og data. 

Men for at kunne nå dette mål må du og dine medarbejdere nødvendigvis gennemgå en række trin – lidt firkantet sagt fire trin. Eller måske rettere lidt ”trekantet” sagt, da du med fordel kan forstå og visualisere denne udviklingsproces som en firedelt pyramide: 

Pyramide

Arbejdsprocessen for medarbejderne forløber altså igennem følgende fire trin i prioriteret, kronologisk rækkefølge: 

Kommunikation fra ledelsen – retningslinjer – awareness  måling 

Modellen skal læses som en slags ”behovspyramide”, hvor de nederste (behovs)trin nødvendigvis skal dækkes for at kunne nå de øverste trin. Men arbejdet stopper ikke ved fjerde og sidste trin. Kulturændringen er nemlig en ongoing arbejdsproces, der kræver løbende vedligeholdelse, opdatering og tilpasning på tværs af de forskellige indsatsområder. 

I den resterende del af denne e-bog vil vi tage dig igennem de fire trin og give dig inspiration til, hvordan du bedst muligt igangsætter og realiserer kulturændringen i din organisation.  

IT-sikkerhedstruslen opstår og løses indefra

Den IT-sikkerhedsmæssige risiko kommer indefra - på medarbejderniveau

Inden vi kaster os ud i de fire grundlæggende procestrin, vil vi lige indledningsvis træde et skridt tilbage og kort fokusere på dét, som det hele handler om: Den IT-sikkerhedsmæssige risiko. 

I en digital tidsalder, hvor de fleste arbejdspladser i en eller anden udstrækning opererer med IT-systemer og data, er denne risiko mere virkelig end nogensinde før. Helt instinktivt tillægger vi typisk udefrakommende hackere, svindlere og andre IT-kriminelle aktører skylden – og skænker sjældent de ansatte en tanke i denne sammenhæng.  

Men prøv lige at betragte følgende statistik: 

9 ud af 10 IT-sikkerhedsbrud i virksomheder og organisationer starter hos medarbejderne

Forsiden_910

Lige så overraskende og foruroligende tallene er, lige så præcist beskriver de den overhængende fare, danske virksomheder og organisationer står overfor i dag.  

Truslen opstår altså indefra i form af datahåndteringsfejl eller målrettede angreb mod den enkelte medarbejder. Det kan eksempelvis være phishing og Social Engineering såsom CEO-fraud eller lignende svindel- og manipulationsnumre, der giver ondsindede aktører adgang til jeres fortrolige data og IT-systemer. 

Senere vil vi præsentere dig for reelle statistikker, der viser, hvor mange medarbejdere der rent faktisk ”hopper” i fælden, når man udsætter dem for et simuleret phishing-angreb.  

Spoiler alert: Det er en overraskende stor andel! 

Men hvordan imødekommer du denne risiko, og hvor skal du overhovedet starte? 

Det skal vi sige dig… 

Derfor skal sikkerhedsløsninger også komme indefra - og starte hos medarbejderen

Ligesom at truslen hovedsageligt opstår indefra i din organisation, skal selve løsningen på IT-sikkerhedsproblemerne også findes og udvikles indefra. Og dette projekt starter logisk nok hos dine medarbejdere. Det vil sige lige akkurat dér, hvor problemerne typisk bliver født i første omgang. 

Det handler om at højne din virksomheds tekniske og adfærdsmæssige IT-sikkerhedsniveau ved at arbejde med den enkelte medarbejder. Den førnævnte kulturændring kræver, at der rykkes ved medarbejdernes gamle rutiner, vaner og ”plejer”-adfærd – både på det teoretiske og det (lav)praktiske plan. 

Det handler desuden også om at træne og uddanne dine medarbejdere Persondataforordningen. Dette punkt vil vi ikke gå yderligere i detaljer med her, men hvis du er interesseret i at lære mere om denne del, kan du læse om awareness-træningens rolle i forhold til Persondataforordningen lige her. 

Ved at indarbejde og indlære nye, sunde og sikre IT-sikkerhedsvaner i organisationen kan du således styrke dine medarbejderes evne til at kunne: 

  • Handle proaktivt og identificere potentielle risici, før de bliver aktualiserede og skadelige
  • Reflektere over og tænke rationelt i forhold til IT- og datasikkerhed i hverdagen
  • Spare med hinanden og tale åbent og ærligt om fejl og sikkerhedsbrud

En række egenskaber, der over tid vil kunne bidrage til øget awareness, reducering af fejl – og ikke mindst mindske den IT-sikkerhedsmæssige risiko indefra. 

Men lad os komme til sagen og se nærmere på de fire trin, der skal bringe dig og dine medarbejdere sikkert i mål og skabe konkrete resultater.

#1 Tydelig medarbejderkommunikation er forudsætning for succes

Vær klar i spyttet overfor dine medarbejdere - med tydelig kommunikation

Deallerførste skridt ved enhver indsats i forhold til ændring og forbedring af IT-sikkerhed og datahåndtering er at rette fokus mod medarbejderkommunikationen. Det vil sige, hvordan ledelsen kommunikerer og informerer medarbejderne. 

Selvom forandring ofte fryder, kan nye tiltag og procedurer også give anledning til frygt, usikkerhed og tvivl hos dine medarbejdere. De finder typisk tryghed ved det gamle og vante (det vil sige ”plejer”) og kan let blive afskrækkede af nye krav. Og netop denne forbeholdenhed udgør en stor udfordring, der kan være vanskelig at overkomme, når nye IT-sikkerhedsforanstaltninger skal implementeres. 

Det bedste råd er kort sagt at adressere dine medarbejderes potentielle usikkerhed og tvivl ved at italesætte dem direkte, åbent og eksplicit. Kun på den måde kan du forberede medarbejderne grundigt, så de bliver mere omstillingsparate og modtagelige over for de nye tiltag. 

Det mest effektive middel til at nedbringe dine medarbejderes forbeholdenhed er klar og tydelig kommunikation – formidlet direkte i øjenhøjde. Det gælder om at skabe klare linjer fra starten, så ingen medarbejdere er det mindst i tvivl om tiltagenes (gode) formål og vejen dertil. 

Der er mange måder, hvorpå du konkret kan formidle dette. Fælles for alle metoderne er, at kommunikationen ultimativt skal klarlægge: 

  • Hvad der kommer til at ske
  • Hvad formålet er
  • Hvad der forventes af dem

Det handler altså grundlæggende om forventningsafstemning og at være klar i spyttet. På den måde sikrer du, at medarbejderne er med ombord og klar til jeres fælles rejse. 

Når det er sagt, handler det ikke udelukkende om medarbejderne. Det er altafgørende, at du også sikrer dig, at ledelsen bakker 100% op omkring projektet og er med ombord. 

Hvis du mangler inspiration til, hvordan du kan udforme kommunikationen til dine medarbejdere, kan du downloade vores e-bog og se vores bud på en skabelon lige her.

#2 Lad IT-retningslinjerne guide dine medarbejdere

Konkrete retningslinjer til medarbejderne betaler sig - bogstaveligt talt

Det næste vigtige step er at få sikret, at medarbejderne har et veldefineret sæt af målrettede og skarpe retningslinjer, der beskriver, hvad der er ”god praksis i jeres organisation. 

Det vil sige et slags internt ”regelsæt”, der tydeligt kortlægger, hvordan medarbejderne må og skal agere i forhold til (korrekt) brug af IT-systemer-udstyr, data og platforme.   

Måske har I allerede udarbejdet retningslinjer i jeres organisationder dog godt kunne trænge til at blive opdateret og præciseretDet kan også være, at I aldrig har fået udtænkt og implementeret retningslinjer for medarbejderne og derfor står på bar bund 

Uanset hvilken situation, der gør sig gældende for jer, er det nødvendigt at få etableret gode og konkrete retningslinjer, som kan fungere som guidelines og konkrete holdepunkter for den enkelte medarbejder.  

Uden klare retningslinjer kan det være vanskeligt for medarbejderne at vide, hvordan de skal agere i hverdagen. Omvendt vil retningslinjer kunne bidrage til at skabe klarhed omkring de IT-relaterede procedurer inhouse, hvilket i sidste ende gør det nemmere for den enkelte medarbejder at udføre sit arbejde sikkert. 

Med tydeligt optegnede retningslinjer kan du blandt andet besvare følgende potentielle tvivlspørgsmål hos medarbejderne:

  • Er det tilladt at bruge virksomhedens IT-udstyr til privat brug?
  • Tillader vi brugen af OneDrive, Dropbox og lignende?
  • Tillader vi brugen af Facebook, LinkedIn osv., og hvad bruger vi platformene til?
  • Tillader vi, at medarbejderne selv installerer programmer på egen hånd?
  • Er det i orden, at medarbejderne gemmer lokalt på deres enheder?

Det handler altså om at klæde medarbejderne på med den nødvendige viden, der skal til for at kunne udføre deres arbejde sikkertVed at besvare alle disse spørgsmål kan I minimere risikoen for, at medarbejderne begår uhensigtsmæssige fejl, der i værste tilfælde kan føre til IT-kriminelle angreb, bøder eller lignende uønskede omkostninger. 

Samtlige af ovenstående punkter og flere til kan du finde i vores skabelon for IT-retningslinjer. Du kan downloade vores e-bog og få adgang til den samlede liste lige her eller ved at kontakte os online, pr. telefon eller e-mail.

#3 Awareness frem for alt

Awareness is everything - skab og fasthold opmærksomhed omkring IT-sikkerheden i organisationen

Én af de største udfordringer i forhold til IT-sikkerhed er ofte at få skabt den nødvendige opmærksomhed blandt medarbejderne i jeres organisation. Det vil sige at sikre et tilstrækkeligt og højt awareness-niveau hos hver enkelt medarbejder. 

Når først I har fået kommunikeret klart og tydeligt, hvad der forventes af medarbejderne, og hvilke retningslinjer der definerer praksissen i jeres organisationer næste step at gøre en fokuseret indsats for at skabe og ikke mindst fastholde den nødvendige opmærksomhed på IT-sikkerheden og håndteringen af persondata.  

Mange begår den alvorlige (begynder)fejl, at de opfatter denne opgave med at skabe opmærksomhed som en éngangsforestilling. Når først retningslinjerne er skrevet ned og kommunikeret ud, anses opgaven som færdig, hvilket ofte har den konsekvens, at de hurtigt ender i glemmebogen. Det gælder om at gøre en aktiv indsats for løbende at genopfriske og opdatere dem kontinuerligt for på den måde at vedligeholde det høje awareness-niveau. 

Til dette formål findes der en lang række værktøjersom du med fordel kan gøre brug af for fastholde og udvikle medarbejdernes security awareness. På de følgende sider har vi samlet et udvalg af gratis og brugbart inspirationsmateriale i form af konkrete skabeloner samt gode råd til, hvordan du kommer godt i gang. 

Forslag til tiltag, der kan skabe og vedligeholde opmærksomheden:

  • Fysiske møder eller oplæg (eksempelvis til jeres personalemøde)
  • Awareness-træning (e-læring)
  • Phishing-træning
  • Plakater

Men lad os knytte et par uddybende ord til hver af disse tiltag.

Fysiske møder eller oplæg - få engageret dine medarbejdere i praksis

Al begyndelse er svær. Og det gælder bestemt også, når man taler om implementering af nye IT-sikkerhedstiltag såsom at skabe awareness blandt medarbejderne.  

Derfor er det også afgørende, at I gør en målrettet indsats for, at de nye aktiviteter bliver ordentligt sat i søen. Her kan det være yderst formålstjenligt at gøre brug af fysiske møder, oplæg eller praktiske workshops som en slags effektiv ”kick-off i forhold til aktiviteterne. 

De fysiske møder, workshops eller oplæg kan tage meget forskellige form og sætte fokus på forskellige delområder afhængig af jeres aktuelle situation og behov, hvad angår IT-sikkerhed og Persondataforordningen.  

Det kan eksempelvis være et oplæg til personalemødet fra en intern medarbejder eller et ledelses/bestyrelsesmedlem. Det kan også være en ekstern foredragsholder eller fagekspertder kommer og fortæller om IT-sikkerhed, så I bliver opdateret på feltet. 

Fordelen ved denne type tiltag er, at du får aktiveret og engageret medarbejderne i praksis, så der bliver skabt en opmærksomhed omkring jeres konkrete retningslinjer og behovet for security awareness. 

Hos CyberPilot har vi udarbejdet forskellige typer inspirationsmateriale, der kan hjælpe dig på vej i denne proces, og som vi gerne deler ud afVi tilbyder blandt andet: 

  • Skabelon til PowerPoint-præsentation, som kan bruges til oplæg
  • Quiz med 10 sandt/falsk spørgsmål til jeres medarbedjere, der kan fungere som en lille quiz til jeres næste personalemøde

Download vores e-bog hvis du vil have adgang til overnstående materiale. E-bogen kan du finde her:

Kontakt os endelig, hvis du er interesseret i at høre mere og ønsker at modtage materialerne

Awareness-træning (e-læring) - få fastholdt det (høje) opmærksomhedsniveau

Det tredje værktøj, vi vil fremhæve, er det absolut vigtigste: Nemlig awareness-træning til at skabe og fastholde opmærksomheden. 

Opgaven med at skabe og fastholde den IT-sikkerhedsmæssige opmærksomhed samt de nødvendige kompetencer kræver en dedikeret og kontinuerlig indsats over tid. 

Fysiske møder er ofte ressourcekrævende i forhold planlægning, logistik og afvikling. Det kan være svært og omstændeligt at koordinere aktiviteterne, så alle medarbejdere har mulighed for at deltage – eksempelvis på grund af separate afdelinger og geografisk adskilte kontorerDerudover er der jo konstant ændring i medarbejderstaben, hvilket gør det vanskeligt at sikre, at alle de nye medarbejdere også har modtaget træning. 

Og selvom fysiske møder ofte er en god idé at gøre brug af for at skabe den indledende opmærksomhed hos medarbejdernekan det tilsvarende være vanskeligt at fastholde denne opmærksomhed over tid igennem de fysiske møder. 

Det er netop her, awareness-træning igennem e-læring kommer ind i billedet som effektiv løsning. 

Grundet de store koordineringsudfordringer vælger mange virksomheder og organisationer nemlig anvende awareness-træning via e-læring. Denne digitale træningsform er en smart metode til at sikre den løbende opmærksomhed uden alt det praktiske besvær. 

E-læring gør det nemt at planlægge og gennemføre træningen, da medarbejderne kan foretage trænings-sessionerne når og hvor som helst – lige når det passer ind i deres hverdag. Derudover kan træningen tilrettelægges, så den er skræddersyet nøjagtig til den enkelte medarbejders (lærings)behov.  

Hvis du ønsker at teste vores awareness-træning eller søger inspiration til jeres eget træningsforløb, kan du med fordel tjekke CyberPilots awareness-træning ud, som både dækker IT-sikkerhed og Persondataforordningen. Her kan du ganske gratis og 100% uforpligtende afprøve vores awareness-træning i din virksomhed. 

Awareness-træning i praksis – hvad siger kunderne?  

Hvad får man egentlig ud af awareness-træning og e-læring – og hvordan virker det i praksis? Det vil vi sådan set overlade til vores kunder at sætte ord på. 

Nedenfor kan du se en række udtalelser fra nogle af vores kunder. 

Phishing-træning - skab awareness igennem simulering af angreb

Det fjerde værktøj, vi vil præsentere, er såkaldt phishing-træning. Phishing er den største trussel i forhold til IT-kriminalitet i dag. Som tidligere nævnt starter 9 ud 10 angreb med et målrettet forsøg på at ramme og skade medarbejderne. Retningslinjer, kurser og e-læring kan være en god metode til at lære og gøre medarbejderne bevidste om, hvilke udtalte faresignaler og kendetegn, de bør være opmærksomme på. 

Vores erfaring er dog, at godt nok kan man læse og træne sig til meget, men intet slår den ”ægte vare” – det vil sige håndtering af (næsten) virkelighedstro IT-kriminelle angreb. Derfor anbefaler vi ofte, at der gennemføres phishing-træning som separat tiltag, så medarbejderne kan afprøve i praksis, hvordan de ideelt set skal (eller ikke skal) agere, når uheldet er ude.  

Phishing-træning handler kort sagt om at udsætte de ansatte for simulerede phishing-angreb, hvilket kan tjene til at: 

  • Teste medarbejdernes nuværende beredskab
  • Skabe endnu mere opmærksomhed omkring denne trussel

Eksempler på phishing-træning i praksis 

Men hvordan ser disse simulerede phishing-angreb ud i praksis? 

Nedenfor præsenterer vi dig for to klassiske case-eksempler, der kan anvendes til phishing-træning, og som viser, hvordan et phishing-angreb typisk ser ud, hvis medarbejderne møder det i dagligdagen. Begge eksempler har det til fælles, at de forsøger at være personlige i henvendelsesformen og opfordrer eksplicit til interaktion og klik.  

I disse tilfælde skal medarbejderne ideelt set kunne opfange den mistænkelige aktivitet og dermed undgå at falde i fælden ved at ignorere og slette mailen. Men derudover skal de også gerne gøre de andre kollegaer opmærksomme på truslen,  de heller ikke falder i fælden.  

Eksempel nr. 1 - Julegaven

Eksempel nr. 2 - Mistænkelig aktivitet

Du kan lære meget mere om phishing-træning, og hvorfor det er vigtigt for din organisation, på vores hjemmeside eller ved at kontakte os. 

Plakater - giv medarbejderne syn for (IT-sagen) i hverdagen

Et andet brugbart værktøj til at skabe, fastholde og højne awareness-niveauet blandt medarbejderne i jeres organisation er fysiske plakater eller lignende visuelle præsentationsformater. 

Dette er en effektiv måde at gøre eksplicit opmærksom på IT-sikkerheden i det ”fysiske rum” på arbejdspladsen. Fordelen ved plakater og lignende grafiske materialer er, at de skaber øjeblikkeligt blikfang og nemt kan sættes op hvor som helst. Eksempelvis på kontoret ved de enkelte skriveborde eller kantinen. 

På den måde giver du populært sagt medarbejderne syn for (IT)sagen og sikrer, at – hver eneste dag. 

Hvis du mangler inspiration til, hvordan sådanne awareness-plakater kan se ud, har vi hos CyberPilot produceret en række plakater, som du kan se et udpluk af nedenfor. 

Plakat_HvilketPassword
Plakat_BetragtPersondata

Ønsker du at modtage plakaterne i bedre kvalitet og opløsning, kan du downloade vores e-bog og få adgang til vores plakater her eller blive sendt din vej ved at kontakte os direkte. 

#4 Måling er vejen til fremtidssikring af organisationens IT-sikkerheden

Måling på jeres fremgang - "hvis ikke vi måler, aner vi ikke, hvor vi er..."

Nu er vi endelig nået til det fjerde og øverste trin i pyramiden, der omhandler en meget vigtig del af det samlede arbejde med IT-sikkerhed: Måling af jeres fremgang. 

Vi ser ofte, at man i virksomheder og organisationer implementerer en lang række tiltag uden at gøre sig selv den tjeneste lige at stoppe op en gang imellem og betragte resultaterne af de konkrete tiltag. 

Uden specifikke målinger er det umuligt for jer at vide, hvor I rent faktisk befinder jer lige nu og her – og endnu vigtigere om I er på rette vej. Det drejer sig ikke om, at I nødvendig skal måle på alle aktiviteter og parametre. Det ville være uoverskueligt og ikke konstruktivt. Det handler derimod om at udvælge nogle enkelte og simple mål, som giver bedst mening for jer, og som kan give en god indikation på, om indsatserne går den rigtige vej. 

Uanset hvad jeres behov måtte være, er det vigtigste, at aktivt forholder jer til effekten af de udvalgte tiltag.  

Statistik fra den virkelige verden - IT-sikkerheden er (stadig) udfordret

Selvom vi i dag generelt oplever et øget fokus på IT-sikkerhed og Persondataforordningen inden for erhvervslivet, er der ingen tvivl om, at virksomhederne og organisationerne stadig er voldsomt udfordrede på dette felt. 

Det kan være vanskeligt at sætte eksakte tal på disse udfordringerMen ikke desto mindre har vi hos CyberPilot udarbejdet vores eget lille research-studie, der netop belyser (eller rettere bekræfter) det faktum, at IT-sikkerheden forsat er et sensitivt område inden for erhvervslivet – og særligt på medarbejderniveau.  

På baggrund af en lang række simulerede phishing-angreb mod virksomheder og organisationer tegner nedenstående statistik et tydeligt billede af, at de fleste danske virksomheder stadig er relativt uforberedte i forhold til phishing-angreb. 

Ud af det samlede antal sendte mails blev hele 56% åbnet af medarbejdere, 27% klikkede på et link og 17% opgav deres e-mailadresse og private passwords til uautoriserede kilder. Disse tal er med til at understrege hele denne e-bogs grundlæggende og vigtigste pointe: 

Den største IT-sikkerhedsmæssige risiko er dine medarbejdere – ikke teknikken. 

Derfor er det også netop på medarbejderniveauet, at du i første omgang bør lægge dine kræfter og ressourcer i form af målrettede tiltag, der skal forbedre jeres IT-sikkerhed.  

Kun på den måde kan I etablere et effektiv ”IT-sikkerhedsværn” i organisationen og afværge potentielle angreb.

Konklusion - kom sikkert i mål med træningen af jeres medarbejdere

De 4 steps til opmærksomme medarbejdere

Uanset hvilken grad af IT-sikkerhedsmæssig modenhed din virksomhed afspejler, og uanset om jeres medarbejdere er meget eller mindre opmærksomme på dette område, vil IT-sikkerhed og datahåndtering uden tvivl have stor betydning for jeres hverdag fremadrettet. 

IT-sikkerhed er et område, som er kommet for at blive, og det er et område, som virksomheder og organisationer bliver nødt til at arbejde med aktivt – og kontinuerligtHvis I forsømmer denne indsats, vil jeres arbejdsplads være særligt udsat og sårbar over for IT-kriminelle angreb, og I vil ende i højrisikozonen med hensyn til potentielle bøder, lovovertrædelser og lignende. 

Heldigvis findes der nogle simple tiltagI som virksomhed eller organisation kan tage i brug for at mindske denne risiko. 

denne blog har vi adresseret de indsatsområderder ud fra vores erfaringer har den største effekt og skaber de bedste resultater 

Hvis du ønsker at arbejde videre med træning af jeres medarbejdere, så download vores e-bog her, hvor vi har remlagt en række konkrete redskaber og forskellige typer inspirationsmateriale, der får jer godt i gang (eller videre) med IT-sikkerhedsarbejdet i netop jeres organisation.  

Alt dette kan sammenfattes i følgende fire punkter, der handler om at sikre:

  • Klar kommunikation fra ledelsen til medarbejderne
  • Klare retningslinjer til medarbejderne
  • Fokus på at skabe og fastholde opmærksomhed i forhold til IT-sikkerhed
  • Måling af jeres fremgang

Det gælder ultimativt om at få implementeret alle fire ovenstående steps. Hvis dette lykkes, vil I således være godt på vej i forhold til at skabe den kulturændring, der skal til for at reducere den risiko, som medarbejderne udgør. 

CyberPilot - din personlige sparringspartner på IT-sikkerhed og persondata

Står du og mangler en uvildig og fagligt kompetent sparringspartner og trusted advisor, der kan vejlede og hjælpe dig og dine medarbejdere med at få styrket jeres IT-sikkerhed og persondatahåndtering? Hos CyberPilot har vi den rette løsning – som passer til jer. 

CyberPilot er et specialiseret IT-sikkerhedsfirma, der hjælper både små, mellemstore og store virksomheder og organisationer til effektiv IT-sikkerhed ud fra en stålsat vision om at uddanne medarbejdere i sikker anvendelse af IT på arbejdspladsen. 

Vi har årelang erfaring med vejledning, træning og uddannelse af medarbejdere i IT-sikkerhed og Persondataforordningen (GDPR), og vores specialer tæller blandt andet: 

  • Awareness-træning (e-læring)
  • Sårbarhedsscanning
  • Phishing-træning
  • Log-management/SIEM
  • IT-sikkerhedsrådgivning

Vi arbejder altid med udgangspunkt i overbevisningen om, at IT-sikkerhed ikke kun er et spørgsmål om teknik, men i den grad også handler om mennesker og processer. Og dét kan mærkes på vores services og løsninger, der tager udgangspunkt i menneskers adfærd, bevidsthed og viden. 

Vi tilbyder kurser, trænings- og uddannelsesforløb, der er tilpasset dine medarbejderes IT-sikkerhedsmæssige behov, udfordringer og ståsted. Vores træning og materialer er tilrettelagt ud fra ambitionen om at gøre det komplekse fagfelt så konkret, håndterbart og relaterbart for den enkelte medarbejder.  

Kontakt os til en uforpligtende snak om, hvad vi kan gøre for din virksomhed eller organisation. 

Vi ser frem til at høre fra dig. 

Rasmus Hangaard Vinge
rhv@cyberpilot.dk
Tlf: 71993703

Bliv klogere på IT-sikkerhed og Persondataforordningen

Bliv opdateret når vi udgiver nye artikler

Data i “skyen”

 Flere og flere organisationer benytter sig af Cloud-tjenester til at opbevare og behandle deres data.  Dette er sket på grund af Cloud-tjenesters mange fordele, men det skaber også nye trusler inden for IT-sikkerhed. I denne blogpost vil der blive gennemgået, hvad man indenfor IT-sikkerhed skal være opmærksom på, når man benytter sig af en Cloud-tjeneste.



Helt kort kan en Cloud-tjeneste beskrives som en IT-service, der lader dig gemme data på servere, som en udbyder stiller til rådighed. Du kan herefter tilgå disse servere fra alle dine godkendte enheder, som hvis din data altid hang i en ”sky” over dig. Denne tanke om at din data er i en ”sky” kan dog let skabe en falsk følelse af sikkerhed i forhold til din datas sikkerhed, så det er vigtigt at huske, at dine data i virkeligheden bare er gemt på en computer i et datacenter.


Der er primært tre grunde til at bruge en Cloud-tjeneste:


  • Det gør det let for jeres medarbejdere at tilgå deres filer og samarbejde om fælles filer

  • Det gør det muligt for jer, som organisation, at styre hvordan jeres filer og data kan behandles og tilgås

  • Der bliver automatisk lavet backup af filerne, i tilfælde af at filerne kompromitteres lokalt


Med disse grunde kan man godt forstå at mange benytter Cloud-tjenester, men der er også udfordringer, som f.eks.:


  • I situationer uden internet er jeres data utilgængelig, med mindre den er blevet synkroniseret med jeres enheder

  • Uopmærksomme medarbejdere som tilgår filerne fra forskellige enheder kan kompromittere jeres data

  • Eftersom at alt jeres data er i én kurv, er et sikkerhedsbrud en endnu større trussel end ellers


Modsat hvad mange tror, er det faktisk i langt de fleste situationer brugerens og ikke udbyderens ansvar at holde sin data sikker, når de benytter en Cloud-tjeneste. Dette skyldes at sikkerhedsbrud kun i få situationer skyldes en sårbarhed i Cloud-tjenesten system, men oftest skyldes forkert håndtering fra administrator eller brugerens side.

Konsekvenserne af forkert brug af Cloud-tjenester kan være mange, som f.eks. tab af data eller usikker håndtering af persondata, som går i strid med persondataloven. Generelt er Cloud-tjenester udfordrende i forhold til at overholde persondatalovens krav om sikker håndtering af personoplysninger, da mange forskellige brugere håndterer disse personfølsomme data og derved kan håndtere dem usikkert. Hvis du er i tvivl om, hvordan du skal håndtere persondata, skal du spørge den IT-ansvarlige i din organisation.



Disse sikkerhedsbrud og brud på persondataloven kan undgås, så længe man er opmærksom på hvordan man benytter Cloud-tjenester og har sikre retningslinjer for brugen fra organisationens side. Her er tre gode tips til at bruge skyen sikkert:

  • Benyt aldrig din private Cloud-tjeneste til arbejdsrelaterede data

  • Tilgå aldrig din arbejdsrelaterede Cloud-tjeneste fra et usikkert netværk

  • Benyt kun den Cloud-tjeneste, som dit arbejde anbefaler

Cloud-tjenester kan være et godt arbejdsværktøj, så længe man bruger det med omtanke og forstår dets udfordringer og begrænsninger. Her er endnu et klart eksempel på, at medarbejdernes kunnen er lige så stor en del af IT-sikkerhed som det tekniske aspekt.  


Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og sikker databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.

Phishing – Den største digitale trussel

Phishing er blevet vurderet til at være den største aktuelle IT-sikkerhedsrelaterede trussel for virksomheder. I denne blogpost vil du lære både hvordan phishing har udviklet sig og hvordan I kan undgå at jeres medarbejdere falder i fælden. 

Phishings udvikling 

 

Igennem de sidste 10 år er phishing gået fra at være en fælde, som kun de mest uopmærksomme faldt i, til at være en udfordring, som enhver virksomhed er tvunget til at tage seriøst.  Phishing har udviklet sig fra gennemskuelige masseproducerede e-mails fyldt med stavefejl til e-mails, som er skræddersyede til at snyde lige netop dine medarbejdere. 

Det kræver kun én fejl fra én medarbejder 

For at beskytte din virksomhed er det selvfølgelig essentielt at have styr på de tekniske aspekter af IT-sikkerheden, da det sorterer størstedelen af de skadelige e-mails fra, men det er lige så essentielt at jeres medarbejdere er trænet til at håndtere de få der kommer igennem filteret. Det kræver kun at én medarbejder falder i fælden, før jeres virksomhed mærker konsekvenserne. 

 

Vær særlig opmærksom på phishing af persondata 

 

Den nye persondataforordning sætter endvidere fokus på brud på it-sikkerheden, særligt når et brud involverer læk af persondata. Dette betyder, at et phishing-angreb ikke blot kan have konsekvenser for virksomhedens egne fortrolige oplysninger, men at man også risikerer at komme i problemer ift. persondataforordningen. 


Nødvendigt med kontinuerlig træning 


Det er vigtigt at træning af medarbejderne i IT-sikkerhed er kontinuerlig, da truslerne konstant udvikler sig. Et eksempel på dette er, at man engang nemt kunne spotte phishing på de mange stavefejl og den dårlige grammatik. I dag har de kriminelle dog lavet om på dette, hvilket betyder at man sjældent ser dårligt skrevne forsøg på phishing. Det gør de falske mails væsentlig sværere at spotte.  

Nu er der altså andre ting, som medarbejderne skal være opmærksomme på for at være i stand til at håndtere e-mails sikkert, hvilket øger behovet for
kontinuerlig IT-sikkerheds træning.  


Huskeregler for phishing 


Vi har opstillet tre gode huskeregler, som kan hjælpe dine medarbejdere: 

  • Vær forsigtig med at åbne vedhæftede filer.
     

  • Klik ikke på links i e-mails. 

  • Send aldrig følsomme oplysninger via e-mail. 

Huskeregler er gode at have, men en trussel så stor som phishing kræver kontinuerlig træning enten i form af undervisning eller tests. 

Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og sikker databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen. 

  

Se her for mere information omkring vores awareness-træning. 

Persondata for begyndere

Siden godkendelsen af persondataforordningen er brugen af ordet ”persondata” eksploderet. Ordet har floreret i både nyhederne og på de sociale medier, men på dit arbejde har du nok også oplevet, at der stilles nye krav til, hvordan du behandler persondata. På samme tid har du også fået en masse e-mails fra firmaer, som oplyser dig om, hvordan de behandler din persondata. Alle disse ting kan være svære at forholde sig til, hvis man er lidt usikker på, hvad persondata egentlig er for noget. Derfor kommer her en lille gennemgang af hvad persondata egentlig er og en forklaring på, hvorfor det er vigtigt, at du kender til begrebet.

 

 

Persondata forklaret

 

Datatilsynet definerer persondata som:

 

”… Enhver form for information om en identificeret eller identificerbar fysisk person”[i]

 

Det vil altså sige, at hvis en oplysning siger noget om en person eller leder til en person, så er det persondata. Her er det vigtigt at huske, at det ikke kun gælder informationer i form af tekst, men også i form af videoer, lydoptagelser eller billeder af en person. For at pointere, hvor bredt begrebet persondata favner, får du her lige en liste over nogle af de informationer som er persondata:

 

  • Fornavn og efternavn

  • Køn

  • CPR-nr.

  • Adresse

  • Skostørrelse

  • E-mailadresse

  • Helbredsoplysninger

  • Religiøs overbevisning

  • Politisk overbevisning

  • Telefonnummer

  • Fødselsdato

  • IP-adresse

  • Interesser

  • Fysiske kendetegn

  • Bankoplysninger

  • Online adfærd

  • Og meget meget mere…

Persondata kan altså være utrolig mange forskellige ting. Dog er det ikke alle personoplysninger som prioriteres lige højt i forhold til IT-sikkerhed. Derfor skelner man mellem almindelige persondata og følsomme persondata.



Almindelige persondata vs. Følsomme persondata

 

Informationer som f.eks. navn, køn, adresse og e-mail hører ind under kategorien ”almindelig”, hvor informationer som f.eks. politisk eller religiøs overbevisning, oplysninger om etnisk baggrund eller tilhørsforhold til fagforening hører under kategorien ”følsom”. Hvilke informationer der hører til hvilken kategori, vil for nogen virke indlysende, men i nogle situationer kan det være ret svært at tyde. En sådan situation er i forhold til CPR-numre, som faktisk bliver kategoriseret som almindelige person data, selvom mange nok ville tro det var følsom persondata. Det viser sig dog, at lige præcis CPR-numre er underlagt nogle specifikke regler, som er lidt strammere end reglerne for almindelige persondata. Så man kan lige så godt behandle dem som følsomme persondata.

 

Når du beskæftiger dig med persondata, skal du være særligt opmærksom på, hvornår du bevæger dig fra almindelige til følsomme persondata. At skelne imellem de to kan være svært, men det er meget vigtigt, da der er meget strengere regler i den nye GDPR for behandlingen af den følsomme variant. Hvis du er i tvivl om hvilken kategori et stykke persondata tilhører, er det bedste at gøre, at snakke med den i din organisation, der er ansvarlig for området. I nogle tilfælde kræver den nye lov, GDPR, at firmaet udvælger en til at være ”DPO”, som også kaldes en databeskyttelsesrådgiver. Er der ikke en DPO i din virksomhed kan du spørge den IT-ansvarlige eller datakyndige kolleger.

 

 

Hvorfor er det vigtigt?

 

I forbindelse med den nye lovgivning er indsatsen for at fange forkert håndtering af persondata steget. Det samme er størrelsen på bøderne. Disse bøder kan være op imod 4% af virksomheden eller organisationens globale omsætning. Det skaber selvfølgelig et stort incitament til at have orden i sagerne, men bøder er ikke den eneste mulige konsekvens ved usikker behandling af persondata. Usikker behandling af persondata kan også føre til identitetstyveri, økonomisk svindel, brud på privatliv og et dårligt omdømme for din organisation eller virksomhed.

 

 

Hvad kan jeg gøre?

 

Det var et lille indblik i, hvorfor du skal være forsigtig, når du behandler persondata, og hvad det egentlig går ud på. Selvom det kan virke uoverskueligt at ændre på sine vaner og arbejdsrutiner kan man nå rigtig langt med tre simple huskeregler.

  1. Vær bevidst om, hvornår du behandler almindelige eller følsomme persondata. Når det er følsomme persondata, bør du være særligt opmærksom.

  2. Behandl persondata som noget, du låner. Pas på det, aflever det tilbage og lån det ikke ud. Det vil sige at man skal opbevare det sikkert, slette det når du er færdig og aldrig videregive det til andre.

  3. Er du i tvivl om, hvordan persondata skal håndteres i jeres organisation, så forhør dig hos den ansvarlige, f.eks. jeres DPO.


Hvis du følger disse huskeregler, er du godt på vej. Det er vigtigt at forstå, at når man vil løse udfordringer indenfor IT-sikkerhed er tekniske løsninger vigtige, men det er mindst ligeså vigtigt, hvordan medarbejderne bærer sig ad.


Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.

Se her for mere information omkring vores awareness-træning.

 

[i] http://www.privacy-regulation.eu/da/4.htm