Anders Bryde

Ny EU-dom kan få store konsekvenser for din organisation

Ny EU-dom kan få store konsekvenser for din organisation

USANejTak
Anders Bryde

Anders Bryde Thornild

• 11. AUGUST 2020 • LÆSETID 6 MIN.

Den 16. juli 2020 traf EU-domstolen en afgørelse i ”Schrems II-sagen”. Afgørelsen kan potentielt få store konsekvenser for alle danske virksomheder. Læs med her og få indblik i hvordan vi danske virksomheder skal forholde os til sagen. 

Hvad er "Privacy Shield"? Og hvorfor er det vigtigt for mig?

Schrems II-sagen” omhandler muligheden for at overflytte personoplysninger til amerikanske virksomheder. Det har hidtil været muligt ved hjælp af den såkaldte Privacy Shield-aftale, der kort sagt er en ordning af standardkontrakter, hvor de amerikanske virksomheder garanterede, at de kunne overholde europæiske GDPR-regler (Der er pt. over 5000 amerikanske virksomheder i ordningen – https://www.privacyshield.gov/participant_search). 

Privacy Shield betød at europæiske virksomheder kunne gøre brug af amerikanske services og overføre personoplysninger til disse, uden selv at skulle gå den helt lange vej ift. risikovurdering af, hvorvidt samarbejdspartneren (databehandleren) rent faktisk er i stand til at leve op til sine forpligtelserPrivacy Shield gjorde det derfor unægtelig meget lettere at indgå databehandleraftaler med amerikanske virksomheder.  

LÆS OGSÅ: “Hvad er sammenhængen mellem ISO27001 og GDPR?

Vil du hellere lytte?

Så har vi også lavet en podcast-episode om netop dette emne, som du kan høre her.

Max Schrems klager over Privacy Shield

Privatlivsaktivisten Maximillian Schrems har dog været utilfreds med Privacy Shield-ordningen, da han mener, at amerikanske virksomheder umuligt kan garantere at efterleve GDPR, da USA har nationale love, der trumfer og bryder med principperne i GDPR. Det omhandler blandt andet love, der gør det muligt for den amerikanske stat at få indsigt i de personoplysninger, hvis de f.eks. har mistanke om terror 

Schrems valgte derfor helt konkret at oprette en klage rettet mod Facebook, der flytter data fra deres irske afdeling til den amerikanske via Privacy Shield-aftalen (Facebook Irland og Facebook i USA er to individuelle selskaber). Det betyder, at europæiske brugeres persondata kan ende i USADet er Max Schrems utilfreds med, da han ikke mener, at Facebook kan garantere at efterleve GDPR i håndteringen af personoplysningerne i USADet er denne anke, som EU-domstolen har taget stilling til. EU-domstolen har givet Schrems medhold, hvilket gør Privacy Shield-aftalen ugyldig – vel at mærke fra den ene dag til den anden. Dette påvirker ikke blot Facebook, men samtlige virksomheder der er en del af ordningen. Privacy Shield er ikke længere et gyldigt grundlag til at overføre personoplysninger til USA. 

Du kan læse EU-domstolens dom her: EU-domstolens dom.  

Det er ikke første gang en aftale underkendes

Det er ikke første gang at en aftale som Privacy Shield bliver underkendt. Privacy Shield-aftalen var et direkte resultat af, at den forrige aftale, den såkaldte ”Safe Harbour-aftale”, blev gjort ugyldig i 2015. Dengang var det også Max Schrems, der klagede over aftalen og fik medholdPrivacy Shield skulle have været løsningen på de problemer, der var med Safe Harbour, men det har tydeligvis ikke været tilfældet. Nu står vi i en situation, hvor man ikke kan overføre personoplysninger til USA via hverken Safe Harbour eller Privacy Shield, og der er ikke nogen oplagt ny løsning 

Advokat Michael Hopp har skrevet mere uddybende om, hvorfor Privacy Shield ikke var løsningen på Safe Harbours problemer, som du kan læse her: Schrems II-afgørelsen.

Berører afgørelsen din organisation?

Svaret er ja. 

Hvis din organisation har amerikanske databehandlere eller har samarbejdspartnere, der gør brug af amerikanske databehandlere, så berører det jer. Og hvem er ikke på en eller anden måde viklet ind i services fra fx Microsoft, Google, Amazon og lignende? Det er svært at komme udenom de store amerikanske tech-giganter i danske organisationers dagligdag. De fleste danske organisationer er så integreret med amerikanske services, at det vil have store omkostninger at skulle stoppe samarbejdet.  

Skal jeg så opsige mit samarbejde med alle amerikanske databehandlere?

Vi ved ikke, hvordan afgørelsen specifikt kommer til at påvirke danske organisationer endnuFaktum er dog, at det ikke længere er lovligt at eksportere data til USA med Privacy Shield-aftalen som grundlagSamtlige organisationer kan dog ikke stoppe fra dags dato med at bruge amerikanske virksomheders services. Vi er derfor endt i et limbo, hvor vi afventer, hvad der nu skal ske. Spørgsmålet er, om det bliver op til de enkelte virksomheder at finde en løsning, eller om løsningen skal komme fra politisk niveau. 

Hvis løsningen skal findes ude hos virksomhederne og organisationerne, betyder det, at virksomheder fra USA skal leve op til samme krav som andre tredjelande. Det betyder, at man som dataansvarlig skal kunne garantere at ens databehandler kan leve op til reglerne i persondataforordningen. Det placerer en stor mængde arbejde på skuldrene af den enkelte organisation, der gør brug af amerikanske databehandlere, da man selv skal lave risikovurderingen fra bunden og føre tilsyn hos disse virksomheder – men hvordan kan man i sin risikovurdering forvente at nå frem til noget andet end EU-domstolen: nemlig det åbenlyse faktum at virksomhederne ikke kan garantere, at de kan efterleve kravene? Og hvad gør man, hvis man ikke længere kan gøre brug af f.eks. Office365? Er der overhovedet et alternativ?  Der er mange svære spørgsmål og den nye afgørelse gør det umiddelbart svært at overskue, hvordan det bliver muligt at gøre brug af virksomheder fra USA som databehandlere 

En politisk løsning?

Hvis løsningen skal findes politisk, er det også svært at forudsige, hvordan den vil tegne sigSkal der være vandtætte skodder mellem EU og USA? Skal der indføres sanktioner mod amerikanske virksomheder eller skal løsningen findes et helt andet sted? Det forekommer usandsynligt at EU vil slække på GDPR-lovgivningen for at imødekomme USA’s utilstrækkelige lovgivning. Det virker også usandsynligt at USA vil droppe deres overvågningslove, der gør det muligt for staten at få indsigt i amerikanske virksomheders data.  

Det er svært at overskue, hvad konsekvenserne ville være, hvis der ikke kommer en mindelig løsning på problematikken. I praksis vil det i så fald være ulovligt at overføre personoplysninger til USA, og det virker som en meget sort udgang på sagen, hvis der ikke kan findes en brugbar løsning.  

Forslag til videre læsning

Hvis du vil læse mere om, hvilke overvejelser man kan gøre sig, kan vi anbefale dette blogindlæg på Version2, hvor jurist Jesper Løffler Nielsen deler sine relevante refleksioner over sagen (Jesper Løffler Nielsen – Schrems II i et IT-retligt perspektiv). Det kan også være relevant for jer at undersøge, om jeres advokater har anbefalinger til, hvordan I skal agere nu. 

Her og nu stiller afgørelsen flere spørgsmål, end den kommer med svar. Det eneste, der er sikkert, er, at afgørelsen har smidt en bombe i det digitale samarbejde imellem EU og USA. Der er måske ikke andet at gøre end at tage en stor mundfuld luft ind og afvente, hvad der kommer af meldinger og anbefalinger fra Datatilsynet, der sammen med det Europæiske Databeskyttelsesråd er ved at analysere afgørelsens konsekvenser (Datatilsynet – EU-domstolens dom). Det er dog en god ide at forberede sig på, hvad det potentielt får af konsekvenser for din organisation, hvis I bliver nødt til at finde nye leverandører af IT-services eller skal til behandle disse leverandører som andre tredjelande. Det kan fx være at forholde sig afventende ift. indkøb af nye tjenester og services og sætte pause på projekter, som vil binde organisationen tættere til amerikanske databehandlere. 

Vil du holdes opdateret på IT-sikkerhed?

Da CyberPilot phishede phisheren!

Da CyberPilot Phishede Phisheren!

PhishingPhisher

Så skete det! CyberPilot har været mål for en af de værste former for cyberkriminalitet: CEO Fraud! Meen.. der kan jo ikke tikke en mail ind fra en IT-kriminel hos CyberPilot-kontoret uden at vi laver lidt sjov med det!

Stine Seest Knudsen

• 11. AUGUST 2020 • LÆSTID 6 MIN.

Har du travlt?

Jeg er vendt frisk og veludhvilet tilbage på arbejde efter ferien, da der torsdag d. 23. juli tikker en mail ind kl. 16.13 fra Rasmus Vinge med emnet ”Stine”:

Phishing

Til jer der ikke kender Rasmus, så er han medstifter og direktør i CyberPilot og dermed også min chef. Rasmus havde forladt kontoret for dagen, og det gav derfor god mening, at han kunne finde på at sende mig en mail. Jeg klikker derfor –naiv og uvidende – på mailen, og bliver mødt af følgende besked:

HVAD ER CEO-FRAUD?

CEO Fraud – også kaldet Direktørsvindel – er en metode IT-kriminelle benytter til at franarre en virksomhed oplysninger eller pengebeløb ved at udgive sig for at være virksomhedens direktør.

Angrebet omfatter ofte phishing-teknikker såsom e-mail, hvor den IT-kriminelle sender en e-mail fra direktørens mailadresse eller gennem en spoofet mailadresse for at snyde modtageren til at tro, at mailen er sendt fra direktøren.

De IT-kriminelle benytter sig ofte af elementer fra Social Engineering, som omhandler psykisk manipulation af offeret. I dette tilfælde har de IT-kriminelle udvalgt Stine som mål for CyberPilot og de har overvejet, at mailen skulle sendes lidt over 16, hvor mange ansatte er ved at pakke arbejdstasken og tage hjem for dagen.

Se, nu ved jeg godt, at du sidder og tænker: ”Har CyberPilot fået hovedkontor i Tjekkiet?”, men her må jeg skuffe dig, kære læser. Det er skam ikke CyberPilots nye domæne, du ser her, men nærmere en ulv i fåreklæder; nemlig en vaskeægte phisher!

Under normale omstændigheder bør man selvfølgelig rapportere phishingmailen og slette den – men hvor er det sjove i det? Da jeg fortæller mine kollegaer om, at vi nu ”endelig” er blevet store nok til at blive udsat for CEO fraud, bliver vi derfor enige om at lave lidt sjov med den IT-kriminelle, vi nu har direkte kontakt til.

 

LÆS OGSÅ: “COVID-19-Relateret phishing

Lokkemaden

Vi lader nemlig ikke en IT-kriminel undslippe uden en lille lærestreg, og mission ”Phish Phisheren” gik i gang. Læs med videre for at se, hvad der skete da vi legede med på den IT-kriminelles egen leg og derved phishede phisheren. 

Vi beklager på forhånd for de stavefejl og grammatiske krumspring der forekommer i den IT-kriminelles beskeder. Google Translate er åbenbart ikke blevet perfekt endnu.

HVORDAN OPDAGER MAN EN PHISHING-MAIL?

Der vil ofte være forskellige ledetråde, der gør, at man kan afkode, om man har modtaget en phishingmail.

I mailen sendt til Stine er første ledetråd afsenderadressen. Denne er kpyo1@centrum.cz, hvilket ikke er Rasmus’ e-mail, men nærmere en mailadresse, vi ikke har noget kendskab til.

Anden ledetråd er, at der ikke er en signatur i mailen, hvilket Rasmus altid har i sine mails. Derudover er der en intern social viden i CyberPilot der gør, at Stine i denne situation ved, at Rasmus aldrig ville spørge, om hun har travlt, uden at forklare grunden til spørgsmålet.

Hej Rasmus, 

Lidt travlt. Hvad da? 😊

Stine Seest Knudsen

Customer Success Manager

Okay, jeg har brug for dig til at hjælpe mig med at købe fysiske gavekort fra butikken til nogle specifikke klienter. Kan du få dette gjort på 15 minutter? Fortæl mig det, så jeg kan sende dig detaljer om de nødvendige gavekort og den nøjagtige mængde.

Jeg er i et møde og kan ikke tage opkald lige nu, så vi kan kommunikere via e-mail. 

Jeg refunderer dig pengene sendere i dag, men jeg har brug for gavekortene med det samme.

Phishing

IT-Kriminel

Professionel Phisher

Okay, ja det kan jeg godt. Send mig oplysningerne om gavekortene, så skynder jeg mig ned i butikken og finder dem.

Stine Seest Knudsen

Customer Success Manager

Her er detaljerne

  – Jeg har brug for dig for at få mig itunes gavekort på 500 kr pålydende.
– Jeg har brug for i alt 8 kort. Det er 500 x 8 = 4000kr
– Skrab folien bag på kortene for at afsløre voucher-koder, og send mig derefter et billede af koderne her på e-mail. og når du først har fået det og sender det ikke forlader butikken, skal jeg bekræfte kortene, før du forlader

Fortæl mig, hvor snart du kan få dette gjort

Tak

Phishing

IT-Kriminel

Professionel Phisher

Her bliver den IT-kriminelle utålmodig og skriver igen før vi når at svare.

Fik du detaljerne?

Phishing

IT-Kriminel

Professionel Phisher

Hej Rasmus, 

Tak, jeg har fået detaljerne. I vores butik?

Stine Seest Knudsen

Customer Success Manager

Ja, jeg vidste jo ikke, at vi havde fået en butik ud af det blå.

Du kan få det i ethvert supermarked
Send mig en e-mail, når du ankommer til butikken, hvor de sælger kortene

Tak

Phishing

IT-Kriminel

Professionel Phisher

Vi kunne jo ikke lade ham få hans gavekort så hurtigt uden nogen form for modstand. Så hvad er det værste, der kan ske, når chefen spørger om en tjeneste inden weekenden? En utålmodig medarbejder!

Okay, men Rasmus, du lovede mig jo, at jeg kunne tage fri kl. 13 i dag… Jeg synes ikke helt det er okay.

Stine Seest Knudsen

Customer Success Manager

Og på sit bedste Google Translate-sprog forsøger ”Rasmus” at undskylde, at jeg skal stresse inden min weekend.

Jeg ved, at jeg er ked af, når du har købt dem, kan du tage afsted
dette er virkelig vigtigt
Jeg er ked af stresset

Phishing

IT-Kriminel

Professionel Phisher

Meen han holder alligevel ikke tilbage med at presse mig til at få købt gavekortene, da han minuttet efter spørger:

Skal du købe dem nu?

Phishing

IT-Kriminel

Professionel Phisher

Fælden bliver lagt

Hvad phisheren ikke ved er, at vi på CyberPilot-kontoret er ved at opsætte en simuleret phishingmail til ham/hende. For at gøre det så legitimt som muligt for at få phisheren til at bide på, satte vi vores cloud-phishingkampagne op.

Jeg har gjort det nu, og deler billederne via vores cloud med det samme. 
Holder fri nu – god weekend 🙂

Stine Seest Knudsen

Customer Success Manager

Skal jeg give dig klienten e-mail, så du sender den direkte til klienten?

Phishing

IT-Kriminel

Professionel Phisher

Jeg har sendt dem til dig, kig efter cloud-mailen

Stine Seest Knudsen

Customer Success Manager

Det bedste billede, jeg kan give på, hvordan CyberPilot-kontoret så ud på dette tidspunkt, er nok en flok fnisende skolebørn, der venter på, at læreren opdager, at de har tegnet noget frækt på tavlen. Trippende begynder vi også at blive utålmodige, da phisheren ikke åbner vores mail. Vi modtager lidt senere følgende mail:

Jeg kan ikke gøre alt det herfra
Jeg er i et møde ikke med min computer
Kan du sende det til klienten?

Phishing

IT-Kriminel

Professionel Phisher

Okay så, jeg bider på. Vi vil jo gerne have ham til at åbne vores mail og falde i.

Okay Rasmus, sidste chance, men så går jeg altså på weekend herefter. Send mig klientens mail, så sender jeg det.

Stine Seest Knudsen

Customer Success Manager

Fortæl mig det, når du har sendt det tak

mschaden@promkent.com

Phishing

IT-Kriminel

Professionel Phisher

Sender nu.

Stine Seest Knudsen

Customer Success Manager

Vi sender samme simulerede phishingmail til ”klientens” mailadresse i håb om, at dette får phisheren til endelig at bide på krogen.

Blev phisheren så phishet?

Efter vi har sendt phishingmailen til ”klientens” e-mail, går der ikke mange minutter før vi kan se, at han virkelig gerne vil se de billeder af gavekortene. Han klikker ikke mindre end 6 gange på det tilhørende link i mailen, men giver op herefter.

Phishing

Siden da har vi ikke hørt fra vores kære phisher. Om vedkommende er blevet ked af det eller sur over at blive fanget i sin egen svindel er ikke til at vide. Vi håber blot, at han/hun tænker sig en ekstra gang om, næste gang de tror, at de skal til at sende en phishingmail til nogle stakkels medarbejdere.

LÆS OGSÅ: “Phishing – den største digitale trussel

Vi har også taget en snak om hele den her underholdende situation i vores podcast. Den kan du høre lige her:

Vil du holdes opdateret på IT-sikkerhed?

Anders Bryde

Tilsyns-trilogien: Hvordan er det nu med de der tilsyn?

Tilsyns-trilogien: Hvordan er det nu med de der tilsyn?

Tilsyn
Anders Bryde

Anders Bryde Thornild

• 10. AUGUST 2020 • LÆSTID 3 MIN.

Hvis man er dataansvarlig og gør brug af databehandlere, så skal man føre tilsyn. Hvis man selv er databehandler, skal man forvente at andre fører tilsyn hos dig. Derfor er tilsyn relevant for alle – og derfor har vi her forsøgt at gøre begrebet “tilsyn” lidt mindre mystisk og lidt mere forståeligt. 

Tilsyn er nyt for de fleste, og der florerer derfor utallige spørgsmål. Disse spørgsmål har Rasmus og Fredrik over sommeren sat sig ned og forsøgt at besvare gennem en trilogi af podcast-episoder. De besvarer bl.a. hvorfor og hvor ofte man skal føre tilsyn, hvordan tilsyn foregår i praksis, og om en revisorerklæring er svaret på alle ens bekymringer. 

Så lyt til episoderne og tag de første spæde skridt til at blive en tilsynshaj. 

LÆS OGSÅ: Rigsrevisionen til Datatilsynet: Flere tilsyn tak!

1. del: Du skal føre tilsyn – men hvorfor og hvor ofte?

Den første episode i trilogien omhandler, hvorfor man overhovedet skal føre tilsyn. Rasmus og Fredrik snakker om årsagen til, at du som dataansvarlig skal føre tilsyn hos dine databehandlere, og de kommer også ind på hvor ofte og hvordan du skal føre tilsyn. 

2. del: Sådan foregår tilsyn i praksis

I  anden episode af trilogien snakker Rasmus og Fredrik om selve tilsynet. De kommer ind på, hvornår et tilsyn skal ske henholdsvis skriftligt eller fysisk. De kommer også ind på, hvad et tilsyn kræver af dokumentation og arbejde, samt hvad du som databehandler skal stå klar med, hvis der bliver ført tilsyn hos din organisation.

3. del: Revisorerklæring - den hellige gral for tilsyn?

Rosinen i trilogi-pølseenden handler om revisorerklæringer. Her fortæller Rasmus og Fredrik, hvad en revisorerklæring er og består af. De fortæller også, hvorfor det kan være en god metode, hvis man er databehandler. Sidst men ikke mindst snakker de om, hvad man kan forvente, at det kræver både tidsmæssigt og økonomisk at få udformet en revisorerklæring. 

Med disse tre episoder håber vi, at tilsynet er blevet lidt mindre mystisk og lettere at arbejde med. Hvis du har spørgsmål til tilsyn eller noget andet, der blev nævnt i en af episoderne er du selvfølgelig velkommen til at række ud. 

Vil du holdes opdateret på IT-sikkerhed?

Anders Bryde

Sådan laver du klare IT-retningslinjer

Sådan laver du klare IT-retningslinjer – En trin-for-trin guide med tilhørende skabelon

IT sikkerhedspolitik
Anders Bryde

Anders Bryde Thornild

• 15. JULI 2020 • LÆSETID 7 MIN.

I dette indlæg vil jeg gennemgå, hvordan du kan lave klare retningslinjer for IT-anvendelse til dine kollegaer ved at bruge en af vores skabeloner og derved forbedre IT-sikkerheden i din organisation. Du finder den tilhørende skabelon længere nede i indlægget.

Vi har også lavet en skabelon, som du kan bruge til at lave en IT-sikkerhedspolitik, som du i stedet kan finde her

Begge dokumenter er vigtige værktøjer til at opnå en god IT-sikkerhedskultur i din organisation, men hvad omhandler de egentlig? 

Hvad er forskellen på IT-retningslinjer og en IT-sikkerhedspolitik?

Hvis du arbejder med IT-sikkerhed i din organisation, kan det være brugbart at have en IT-sikkerhedspolitik og retningslinjer for IT-anvendelse. 

IT-sikkerhedspolitikken har til formål at sætte rammerne for organisationen på et overordnet niveau. Den indeholder målsætninger og placerer det overordnede ansvar for IT-sikkerheden i organisationen. Det er et kort dokument, der ikke fylder meget mere end et par sider. Det kan ses som et ledelsesnotat med ambitioner for organisationens IT-sikkerhedstiltag. 

Retningslinjer for IT-anvendelse er derimod et længere dokument med konkrete regler og retningslinjer som ens medarbejdere skal følge. Dokumentet er målrettet alle medarbejdere. 

Hvor politikken er overordnet og strategisk, er retningslinjerne konkrete og implementerbare. 

I dette indlæg vil jeg gennemgå skabelonen for IT-retningslinjer og fortælle, hvad du skal være opmærksom på, når du udfylder disse dokumenter.

Hvis du i stedet er mere interesseret i IT-sikkerhedspolitikken, kan du klikke nedenfor og finde en guide til den i stedet.

Konkrete regler til dine medarbejdere

Hvor sikkerhedspolitikken danner de strategiske rammer, så er retningslinjerne de konkrete regler. 

Retningslinjer for IT-anvendelse handler i bund og grund om, hvad din organisations medarbejdere skal gøre. Den kan f.eks. indeholde regler om, at passwords skal have en vis længde, at skriveborde skal være opryddet, eller at man ikke må bruge sin private mail på arbejdspladsen. 

Formålet med retningslinjerne er at lave den spillebane, som medarbejderne bevæger sig rundt på. Retningslinjerne skal være håndgribelige at forholde sig til både for ledere og for medarbejdere. Derfor er det også vigtigt, at retningslinjerne er til at forstå og følge for medarbejderne. 

Medarbejderne skal ikke være i tvivl om, hvorvidt de bryder reglerne, men kunne navigere let og ”sikkert” i deres dagligdag.  

Hvis det er første gang, at I laver retningslinjer i din organisation, så er det vigtigt, at I ikke bliver for nuancerede og indfører for mange regler. Ingen medarbejdere kan overskue et sæt regler på længde med ”Krig og Fred”. 

Det er vigtigt, at dokumentet ikke bliver for langt og tungt, men at reglerne er generelle og forståelige. For mange regler kan faktisk resultere i dårligere IT-sikkerhed, hvilket du kan høre om i episode 11 i IT-sikkerhed med CyberPilot, som du kan finde her

Senere hen kan I altid revurdere retningslinjerne og tilføje regler, hvis I har observeret mangler. 

Hent skabelonen her og følg vores guide nedenfor.  

Du kan også lytte til vores podcast her på siden, hvor Rasmus og Fredrik går igennem skabelonen trin-for-trin. 

Sådan udfylder du skabelonen

Det er vigtigt at påpege, at de følgende punkter udelukkende skal ses som inspiration til jeres retningslinjer. I kan have særlige tilfælde eller strukturer, der gør, at skabelonens regler ikke er relevante eller aktuelle for jer. Du skal derfor se skabelonens punkter og regler som en klippe-klister model, hvor du kan tage det, der er relevant for jer, tilføje egne regler og fjerne resten. 

Skabelonerne indeholder følgende punkter:

Formål
Retningslinjer og principper

Skabelonen indeholder to overordnede punkter, hvor retningslinjer og principper har 10 tilhørende punkter i form af 10 fokusområder for reglerne i organisationen. Jeg vil herunder gå gennem hvert enkelt punkt. 

Trin 1: Formål

Det første trin i retningslinjerne er dens formål. Kort sagt skal formål blot indeholde, at dokumentet er et sæt retningslinjer, som der forventes efterfulgt af medarbejdere i organisationen. Det er altså her rammen for dokumentet sættes. Det kan f.eks. se således ud: 

”X har fokus på at sikre tilgængeligheden, fortroligheden og integriteten af sine systemer og data. Derfor skal alle medarbejdere handle på en ansvarlig, etisk og lovlig måde.  Alle Xs medarbejdere, konsulenter og midlertidige ansatte er forpligtet til at administrere viden med omhu og diskretion, uanset om den er skriftlig, elektronisk eller verbal. Derfor skal håndtering af viden være i overensstemmelse med Xs informationssikkerhedspolitik samt følgende regler og principper. For at sikre dette bliver medarbejderne i X løbende trænet og gjort opmærksomme på emner indenfor IT-sikkerhed og Persondataforordningen igennem kontinuerlig træning.”

Disse retningslinjer fastlægger således de grundlæggende regler for medarbejdernes anvendelse af IT i organisation X, men stiller samtidig krav til medarbejdernes løbende opmærksomhed og viden. 

Trin 2: Regler og principper

Regler og principper er punktet, hvor selve reglerne står. Det er her, at medarbejdere kan finde de regler, de skal efterleve i deres dagligdag. Vi har tilføjet 10 punkter, som vi har fundet relevante. Hvert punkt indeholder et sæt generelle regler og principper, der skal efterleves.  

Princip 1: Fortrolighed

Fortrolighed er et område, der ofte indgår i kontrakter, men derfor kan det stadig være brugbart at benævne det i retningslinjerne for at understrege vigtigheden. I bund og rund fastlægger punktet, at organisationen forventer fortrolighed fra sine medarbejdere, når det kommer til fortrolige oplysninger. Det kan f.eks. lyde såldes:  

”Du skal håndtere alle Xs oplysninger med diskretion og omhu. Du må under ingen omstændigheder tilgå eller anvende oplysninger, systemer eller netværk, som ikke er nødvendige for dit job.  Du må ikke dele fortrolige oplysninger med kolleger, konsulenter eller midlertidige medarbejdere, som ikke har et jobspecifikt behov for disse oplysninger. Du må ikke dele fortrolige oplysninger med eksterne parter, medmindre det har et klart forretningsmæssigt formål. Samtidig skal den eksterne part have underskrevet en fortrolighedserklæring.”

Princip 2: Adgangskoder

Adgangskoder giver lidt sig selv. Det er her, hvor organisationen kan sætte krav til brugeres adgangskodehåndtering. Der kan f.eks. sættes krav til længden, brugen af tegn eller krav om ikke at genbruge passwords. I vores skabelon lyder punktet således: 

”Alle adgangskoder og PIN-koder er udelukkende personlige. Du skal have en lang adgangskode på minimum 12 tegn, hvor der både benyttes store og små bogstaver samt tal. Du skal logge af eller låse din IT-arbejdsstation (fx bærbar, PC, tablet, mobiltelefon), hver gang du forlader den. Du må aldrig have passwords stående på opslagstavler, papir eller på harddisk/e-mail.” 

Princip 3: Fysiske rammer

De fysiske rammer omhandler, hvordan man håndterer oplysninger, data, papirer mm. på sit skrivebord og resten af de fysiske rammer i organisationen. Det er de fysiske sikkerhedstiltag, der kan specificeres under dette punkt. Det kan f.eks. lyde således: 

”Dit skrivebord skal altid være ryddet. Fortrolige oplysninger skal sættes i aflåste skuffer, skabe eller lignende for at undgå uautoriseret adgang. Du skal samtidig være bevidst omkring synligheden af din PC-skærm. Du skal ikke have fortrolige og følsomme data åbne, når uvedkommende står bag dig, således at de kan overvære dine aktiviteter over skulderen” 

Princip 4: Håndtering af udstyr og dokumenter udenfor X’s område

Dette punkt omhandler, hvordan man skal håndtere udstyr og dokumenter, når man ikke befinder sig på arbejdspladsen – altså når man ikke er i de normale fysiske rammer. Det er et punkt, der kun er blevet mere relevant, nu hvor vi arbejder mere og mere hjemmefra eller på farten. Her kan der være andre forventninger end på arbejdspladsen, da rammerne er nogle andre. Det handler om at sikre organisationens udstyr. Det kan f.eks. lyde såldes:

”Hvis du bringer mobilt udstyr uden for Xs kontorer, skal det være sikret med en PIN- eller adgangskode, der sikrer en tilfredsstillende sikkerhed mod adgang fra uautoriserede personer. Mobilt udstyr, dokumenter osv. skal altid medbringes som håndbagage ved flyrejser.” 

Princip 5: Udstyr og software

I dag bruger man ofte cloud-services og software, der hurtigt kan hentes fra internettet. Derfor kan det være vigtigt at lave nogle generelle regler om, hvilke typer services der må gøres brug af og downloades, da det ellers kan være utrolig svært at kontrollere og holde styr på sine medarbejderes gøren. Det kan nogle gange være nødvendig for medarbejdere, at man f.eks. konkretiserer hvilke cloud-services, der må gøres brug af. Punktet kan f.eks. se således ud: 

”Alle anvendte IT-systemer, udstyr eller hukommelsesenheder skal være godkendt af X eller følge standarder, som er udstedt heraf. Du må aldrig tilslutte uautoriseret udstyr til arbejdsstationer eller netværk. Dette gælder også USB-nøgler og smartphones. Derudover må du kun installere eller downloade programmer, hvis du har fået tilladelse til det.  Software og udstyr, såsom computere, bærbare computere og mobiltelefoner, er Xs ejendom og skal behandles i overensstemmelse derefter. De må derfor ikke udlånes til andre (inklusive familiemedlemmer). Du skal anvende Xs interne filserver til håndtering af data. Anvendelse af cloudbaserede tjenester såsom Google Drive, Dropbox, OneDrive etc. og webbaserede fildelingstjenester er kun tilladt i forbindelse med modtagelse af data fra eksterne parter. Det er ikke tilladt at uploade Xs data til disse tjenester.  Software skal altid bruges i henhold til de licensvilkår, som X har indgået.” 

Princip 6: Brugeridentitet

Brugeridentitet omhandler, hvordan brugerstyringen skal foregå i ens IT-systemer. Må brugere dele brugeroplysninger og gøre brug af hinandens logins= Vores anbefaling er, at man kun må bruge sin egen bruger, således at man ikke kommer i problemer på baggrund af andres handlinger. Punktet kan f.eks. se således ud:

”Brugerrettigheder skal respekteres. Anvend kun din egen bruger. Du må aldrig dele dine brugeroplysninger med andre (heriblandt din chef). Brug af IT-udstyr, såsom bærbare computere eller mobiltelefoner, efterlader digitale spor som kan have konsekvenser for Xs omdømme i samfundet.” 

Princip 7: Brug af e-mail, internet og sms

Under dette punkt kan man sætte reglerne for brug af e-mail, internet og sms. Det er vigtigt, at man sætter en realistisk grænse, der appellerer til medarbejderes sunde fornuft. Det vil være voldsomt at forbyde at besøge specifikke almene hjemmesider eller at tjekke ens private mails, men man kan appellere til at begrænse niveauet af privat forbrug i arbejdstiden. Derudover er det åbenlyst at ulovlige eller voldsomme sider kan forbydes. Det er dog op til din organisation at finde niveauet for disse regler, hvor man ikke fratager sine medarbejderes frihed, men samtidig får lagt en seriøs linje. Punktet kan formuleres således: 

”Du bør minimere privat brug af internettet og e-mail på Xs udstyr. Gem det i en folder med en ”Privat” etiket. Personfølsomt data må ikke sendes på e-mail.  Arbejdsrelaterede online-korrespondancer må under ingen omstændigheder foregå igennem anonymiserede kommunikationskanaler. Det er strengt forbudt at bruge Xs e-mail konti, computere, tablets og mobiltelefoner til at besøge websteder med pornografisk, racistisk eller andet ekstremt og kriminelt indhold.  Afsenders e-mailadresse/nummer skal altid tjekkes før ukendte links og dokumenter åbnes.” 

Princip 8: Sikkerhedsovervågning og logning

Dette punkt er med for at kunne fortælle, at man som organisation har mulighed for at logge og overvåge medarbejdere. Det betyder ikke, at man nødvendigvis gør det, eller at man ikke respekterer medarbejdernes privatliv. Ved at gøre medarbejderne opmærksom på det, kan de agere derefter. Det kan f.eks. formuleres således: 

”X respekterer den enkelte medarbejders privatliv og overholder de danske love og bestemmelser, men logger al IT-anvendelse og kan i særlige situationer kræve adgang til en brugers e-mail konto eller andre oplysninger, der genereres og lagres af medarbejdere, konsulenter og midlertidigt personale. 

Princip 9: Håndtering af persondata

Håndtering af persondata lægger sig tæt op af GDPR. Efterlevelsen af GDPR kræver oftest mere uddybende processer end et sæt regler i et dokument for retningslinjer for IT-anvendelse. Retningslinjerne er dog stadig et sted, hvor man kan gøre medarbejderne opmærksomme på håndteringen af persondata med nogle meget generelle krav. Disse krav fortæller ikke meget om processerne, der gør, at man efterlever kravene, men kan skabe awareness om vigtigheden af håndteringen af persondata. Det kan f.eks. formuleres sådan her: 

Hos X er vi meget opmærksomme på at passe godt på og beskytte de personlige informationer, som vores kunder, medlemmer, medarbejdere og partnere har betroet os at varetage. Vi arbejder løbende med at udvikle og implementere sikre processer, som skal sikre en lovmæssig og sikker behandling af persondata.  

Vi har derfor etableret følgende grundprincipper for behandling af persondata: 

  • Medarbejdere må kun tilgå persondata, som er relevant for deres arbejde og funktion 
  • Medarbejdere må kun dele persondata (f.eks. persondata tilsendt fra kunder eller partnere) med andre medarbejdere, hvis det er relevant for deres opgave og funktion 
  • E-mails indeholdende persondata bør slettes, når den relevante data er behandlet 
  • Medarbejdere må ikke opbevare persondata lokalt på it-udstyr eller i e-mail indbakken længere end højst nødvendigt. I stedet bør man anvende de relevante systemer, som er designet og implementeret til dette formål (f.eks. XXXX)
  • Medarbejdere bør periodevist gennemgå både filer og mapper (både fysiske og digitalt) for at sikre, at de ikke indeholder persondata, som gemmes længere end højst nødvendigt.” 

Princip 10: Rapportér sikkerhedshændelser

Det sidste punkt er, hvordan man rapporterer sikkerhedshændelser. Der kan f.eks. være krav til medarbejdere om, at de skal rapportere sikkerhedshændelser, som de observerer eller er ude for. Du kan også komme med eksempler på, hvad en sikkerhedshændelse kan indebære, og hvem de skal rapportere til. Det vigtige er, at medarbejderen er klar over, hvornår de skal handle, og hvem de skal tage fat i. Punktet kan f.eks. formuleres således: 

”Hvis du har mistanke eller er overbevist om sikkerhedsmæssige hændelser, så skal du indberette dette omgående til nærmeste leder og IT-afdelingen. 

Eksempler på sikkerhedshændelser 

  • Modtagelse af mistænkelige e-mails  
  • E-mails med persondata sendt til forkert modtager  
  • Bortkommet it-udstyr 

Tøv endelig ikke med at kontakte den ansvarlige (XXX) hvis du mistænker noget – hellere en gang for meget end en gang for lidt!” 

Retningslinjerne er første skridt til god medarbejderadfærd

Med retningslinjerne bliver det muligt for medarbejdere at tjekke op på, hvad de må og ikke må. Det er dog vigtigt at pointere, at retningslinjerne ikke kan leve alene. I kan ikke bare skrive reglerne ned og forvente, at alle efterlever disse regler. Der skal løbende skabes opmærksomhed om reglerne og træning i, hvordan de efterleves. Ellers sidder dine medarbejdere med et sæt regler uden at vide, hvad de skal gøre. 

Retningslinjerne skal fungere som en referenceramme, som medarbejderne kan tage frem for at sikre, at de handler korrekt i deres dagligdag. 

Et stærkt grundlag for jeres IT-sikkerhedskultur

IT-sikkerhedspolitikken og retningslinjerne giver til sammen et stærkt grundlag for at skabe en god IT-sikkerhedskultur i din organisation. Hvis du nu har udarbejdet og gerne vil igang med IT-sikkerhedspolitikken kan du finde en tilsvarende guide her:

Det er vigtigt, at dokumenterne ikke bare ligger og samler støv, når I har udfyldt dem, men at I kontinuerligt evaluerer og opdaterer dem. Vi anbefaler, at man opdaterer dokumenterne årligt. 

Der skal arbejdes aktivt med målsætningerne og reglerne fra de to dokumenter, således at organisationen bevæger sig fremad. Her er de årlige evalueringerne gode muligheder for at se, om man rent faktisk har rykket sig. 

Jeg håber, at du har fundet skabelonen og guiden brugbar. 

Vil du holdes opdateret på IT-sikkerhed?

Anders Bryde

Sådan laver du en IT sikkerhedspolitik

Sådan laver du en IT-sikkerhedspolitik – En trin-for-trin-guide med skabelon

IT sikkerhedspolitik
Anders Bryde

Anders Bryde Thornild

15. JULI 2020 • LÆSETID 12 MIN.

I dette indlæg vil jeg gennemgå, hvordan du kan bruge en af vores skabeloner til at lave en god IT-sikkerhedspolitik og derved forbedre IT-sikkerheden i din organisation. 

Vi har også lavet en lignende guide til IT-retningslinjer til dine medarbejdere, som du kan finde her. 

Begge dokumenter er vigtige værktøjer til at opnå en god IT-sikkerhedskultur i din organisation, men hvad omhandler de egentlig?

Hvad er forskellen på en IT-sikkerhedspolitik og retningslinjer for IT-anvendelse?

Hvis du arbejder med IT-sikkerhed i din organisation, kan det være brugbart at have en IT-sikkerhedspolitik og retningslinjer for IT-anvendelse. 

IT-sikkerhedspolitikken har til formål at sætte rammerne for organisationen på et overordnet niveau. Den indeholder målsætninger og placerer det overordnede ansvar for IT-sikkerheden i organisationen. Det er et kort dokument, der ikke fylder meget mere end et par sider. Det kan ses som et ledelsesnotat med ambitioner for organisationens IT-sikkerhedstiltag. 

Retningslinjer for IT-anvendelse er derimod et længere dokument med konkrete regler og retningslinjer som ens medarbejdere skal følgeDokumentet er målrettet alle medarbejdereHvor politikken er overordnet og strategisk, er retningslinjerne konkrete og implementerbare. 

Hvis du gerne vil guides igennem hvordan man laver IT-retningslinjer, så klik her.

I dette indlæg vil jeg gå igennem skabelonen for en god IT-sikkerhedspolitik og hvad du skal være opmærksom på, når du udfylder dette dokument.

IT-sikkerhedspolitikken

Formål

Formålet med en IT-sikkerhedspolitik er, som nævnt, at danne rammerne for organisationens IT-sikkerhedsarbejde. Politikken skal hjælpe dig med at danne målsætninger, placere ansvar og rapportere fremgang.  

Jeg vil herunder gå gennem hvert enkelt punkt i skabelonen med kommentarer om, hvordan den kan bruges 

Du kan hente skabelonen ved at klikke på knappen herunder:

Hvis du hellere vil lytte til en guide, har vi også lavet en podcast, der går gennem skabelonen,  Vi anbefaler, at du sidder med skabelonen ved din side, når du læser videre, da den er fyldt med eksempler på, hvad politikken kan indeholde. 

Sådan udfylder du IT-sikkerhedspolitikken

IT-sikkerhedspolitikken indeholder syv punkter, der skal tages stilling til og udfyldes. Disse punkter er: 

Jeg vil herunder gå gennem dem en ad gangen og komme med eksempler på, hvad du skal overveje i din organisation, og hvad punkterne kan indeholde.

Trin 1: Formål

Det første punkt, du skal overveje i politikken, er dens formål. Dens formål vil næsten altid være at sætte rammerne for styringen af informationssikkerheden i en organisation. Punktet vil derfor ofte formuleres a la: 

”Sikkerhedspolitikken definerer rammerne for styring af informationssikkerhed i ORG X.” 

Trin 2: Gyldighed

Gyldighed omhandler, hvem der er berørt af politikken. Det vil ofte være samtlige ansatte i organisationen. Det kan også være, at alle konsulenter, der arbejder for organisationen, skal inkluderes, eller alle der overhovedet sidder på organisationens IT-system. 

Punktet kan f.eks. formuleres som: 

”Sikkerhedspolitikken gælder for alle ansatte i ORG X og al anvendelse og adgang til ORG Xs informationssystemer.” 

Trin 3: Målsætninger

Det tredje step er målsætninger.

Målsætningerne er på mange måder det centrale element i IT-sikkerhedspolitikken. Det er her, at I definerer, hvad I gerne vil opnå. Det er disse målsætninger, der skal opnås for, at man er i mål med sin informationssikkerhed. 

I vores skabelon er der 8 eksempler, der kan bruges, justeres eller slettes, så de passer til jeres organisation. Det er vigtigt at overveje, hvorfor I har jeres målsætninger, og om de er realistiske at opnå. De 8 eksempler kan findes i skabelonen, men herunder kan du se én af dem: 

“ORG X anvender en risikobaseret tilgang, hvor beskyttelsesniveauet og omkostningerne hertil skal være baseret på en forretningsmæssig risiko- og konsekvensanalyse som skal foretages minimum årligt. “ 

Eksemplerne peger på at følge eksisterende rammer som f.eks. ISO27001:2013. Det gør de fordi, at man ikke nødvendigvis behøver at opfinde den dybe tallerken selv. Det er helt okay at bruge regelsæt, der allerede eksisterer. 
Derudover vil nogen påpege, at det er vagt at bruge et ord, som at ”tilstræbe”Brugen af dette ord skal forstås som, at det f.eks. er et stort stykke arbejde at efterleve ISO27001:2013 eller følge alt GDPR-lovgivning fra dag et. Det vil for mange organisationer være et urealistisk mål. Ordet tilstræbe sætter et krav til, at man bevæger sig hen imod at kunne efterleve målsætninger fuldt ud, men acceptere også, at det ikke kan lade sig gøre fra dags dato.  

Politikken skal ses som et dokument i udvikling, der skal revurderes af flere omgange. Ordlyden kan ændre sig hen ad vejen, når I bliver klogere eller bedre som organisation. Ved at evaluere og opdatere politikken hvert år, vil I også se en udvikling i jeres målsætninger, der passer til jeres organisations virkelighed.  

Det sikrer, at politikken ikke bliver et støvet dokument, men et aktivt værktøj. 

Trin 4: Organisation og ansvar

Det er vigtigt, at I får fordelt ansvaret for IT-sikkerheden på tværs af organisationen. Her kan politikken også være et vigtigt redskab. Det er muligvis den IT-ansvarlige, der sidder med mange daglige opgaver og driften, men der skal også placeres ansvar og opgaver andre steder i organisationen, hvis den IT-ansvarlige skal lykkes. Der er både et ansvar helt oppe på bestyrelsesniveau, men også helt nede på medarbejderniveau. 

Som det ses i skabelonen, kan en ansvarsfordeling f.eks. se således ud:

  • Bestyrelsen har det ultimative ansvar for informationssikkerheden i ORG X.  
  • Direktionen er ansvarlig for styringsprincipperne og delegerer specifikke ansvarsområder for beskyttelsesforanstaltninger, herunder ejerskab af informationssystemer.  
  • Ejerskab fastsættes for hvert kritisk informationssystem. Ejeren fastlægger hvorledes sikringsforanstaltninger anvendes og administreres i overensstemmelse med sikkerhedspolitikken.  
  • IT-afdelingen rådgiver, koordinerer, kontrollerer og rapporterer om status på sikkerheden. IT-afdelingen udarbejder hertil understøttende retningslinjer og procedurer.  
  • Den enkelte medarbejder er ansvarlig for at overholde sikkerhedspolitikken og er informeret herom i ”IT-anvendelsespolitikken””. 

Det er vigtigt at påpege, at det ikke nødvendigvis er IT-afdelingen, der har ejerskab over alle informationssystemer. Det kan f.eks. være, at marketing-afdelingen har ejerskab over virksomhedens hjemmeside. Det er vigtigt, at ansvarsfordelingen afspejler jeres organisations virkelighed. 

Trin 5: Dispensationer

Punktet dispensationer kan udfyldes med undtagelser, der betyder at enten ansvar eller målsætninger ikke er gældende i særlige tilfælde. Hvis I ikke har nogle tydelige undtagelser, kan der formuleres, at det potentielt kan gives i fremtiden, hvis der opstår situationer, der kræver det. Der kan f.eks. stå: 

”Dispensationer til ORG Xs informationssikkerhedspolitik og retningslinjer godkendes af IT-afdelingen ud fra retningslinjer udstukket af direktionen.” 

Trin 6: Rapportering

Rapportering er vigtigt, da det skaber et loop og en proces i IT-sikkerhedsarbejdet. Rapporteringen handler om at belyse ansvar. Ved at der f.eks. skal rapporteres fra IT-afdelingen til ledelsen sikrer man, at der skabes fremgang, da rapporterne skal vise resultater.  

Rapporteringen er altså et værktøj til at sikre, at ansvaret holdes, og at der arbejdes med målsætningerne. 

Punktet kan f.eks. se således ud: 

  • IT-afdelingen informerer direktionen om alle væsentlige sikkerhedsbrud.  
  • Status over dispensationer inkluderes i IT-afdelingens årlige rapport til direktionen.  
  • Direktionen behandler årligt sikkerhedsstatus og rapporterer til bestyrelsen herom. 
Trin 7: Overtrædelse

Det sidste step i IT-sikkerhedspolitikken omhandler, hvad der skal ske ved en forsættelig overtrædelse af IT-sikkerhedspolitikken. Det kan f.eks. være, at det er HR-afdelingens ansvar at tage sig af overtrædelser. Det vigtige er, at man har skrevet ned, hvem der tager sig af overtrædelser, så man sikrer sig, at der bliver taget handling. I vores skabelon står der f.eks.: 

 Forsætlig overtrædelse og misbrug rapporteres af IT-afdelingen til HR-afdelingen og nærmeste leder. Overtrædelse af informationssikkerhedspolitikken eller understøttende retningslinjer kan få ansættelsesretlige konsekvenser. 

IT-sikkerhedspolitikken sætter rammen for jeres sikkerhed

De syv punkter udgør din IT-sikkerhedspolitik. Den behøver ikke nødvendigvis at fylde mere end et par sider, da dens formål blot er at sætte rammerne for organisationens IT-sikkerhedsarbejde.  

Når ambitionerne er på plads gennem politikkens målsætninger, kan dig og din organisation dykke ned i mere konkrete regler og guidelines i form af et sæt retningslinjer for IT-anvendelse, som medarbejdere skal følge for at IT-sikkerhedspolitikkens målsætninger kan opnås. 

Et stærkt grundlag for jeres IT-sikkerhedskultur

IT-sikkerhedspolitikken og retningslinjerne giver til sammen et stærkt grundlag for at skabe en god IT-sikkerhedskultur i din organisation. Hvis du også gerne vil have hjælp til at lave gode retningslinjer for IT-anvendelse, så kan du finde en lignende guide her.

Det er vigtigt, at dokumenterne ikke bare ligger og samler støv, når I har udfyldt dem, men at I kontinuerligt evaluerer og opdaterer dem. Vi anbefaler, at man opdaterer dokumenterne årligt. 

Der skal arbejdes aktivt med målsætningerne og reglerne fra de to dokumenter, således at organisationen bevæger sig fremad. Her er de årlige evalueringerne gode muligheder for at se, om man rent faktisk har rykket sig. 

Jeg håber, at I har fundet skabelonen og guiden brugbar. 

Vil du holdes opdateret på IT-sikkerhed?

Anders Bryde

Rigsrevisionen til Datatilsynet: Flere tilsyn tak!

Rigsrevisionen til Datatilsynet: Flere tilsyn tak!

businessman
Anders Bryde

Anders Bryde Thornild

• 17. JUNI 2020 • LÆSETID 3 MIN.

I sidste måned fokuserede vi på Datatilsynets kritik af BroBizz, der havde anmeldt 3 tilfælde af brud på persondataloven og ikke haft tilstrækkelig awareness-træning. Men myndighederneherunder Datatilsynet, er også selv underlagt tilsyn igennem Rigsrevisionen. Det gælder som sagt også Datatilsynet, som for nylig selv blev kritiseret af Rigsrevisionen bl.a. for deres opgaver omkring tilsyn og udarbejdelse af vejledninger. 

Hvad var Rigsrevisionens kritik af Datatilsynet

Rigsrevision har gennemgået en lang række forhold omkring myndighedernes behandling af data, og du kan læse Rigsrevisionens bemærkninger her: 
https://www.rigsrevisionen.dk/publikationer/2020/152019/statsrevisorernes-bemaerkning-til-beretningen/ 

Der er en række bemærkninger til myndighedernes egen behandling af data, men der er også en række bemærkninger ift. deres arbejde omkring GDPR – både vejledninger og tilsyn. 

Særligt to bemærkninger fra Rigsrevisionen er interessante: 

Kort om Rigsrevisionen

Rigsrevisionen er en uafhængig institution under Folketinget og er en del af den parlamentariske kontrol i Danmark.  

Rigsrevisionen reviderer på vegne af Folketinget bl.a. regnskaber for offentligt finansierede virksomheder og efterprøver, om offentlige midler anvendes lovligt og effektivt.

Her fremgår det altså, at Rigsrevisionen har vurderet, at Finansministreret (som Datatilsynet hører under) var for langsomme til at udgive de vejledninger, som de danske virksomheder skulle bruge for at få hjælp til at implementere de relevante tiltag ift. implementeringen af GDPR.  

Derudover er det bemærkelsesværdigt, at Datatilsynet får kritik for tilsynsarbejdet. Tilsynene er jo der, hvor Datatilsynet går ud til de danske myndigheder og private virksomheder og tjekker, om reglerne bliver overholdt. Og som det er noteret fra Rigsrevisionen, så har en mangel på tilsyn medført en lav risiko for at blive opdaget. 

Hvad siger Datatilsynet?

Datatilsynet har i deres kommentar til beretningen skrevet, at de ”tager kritikken alvorligt og har på flere områder allerede iværksat ændringer, der bl.a. indeholder et mere dokumenteret og databaseret koncept for udførelsen af tilsyn, gentænkning af konceptet for planlagte tilsyn samt etablering af nye tilsynsformer. Dertil har de særligt fokus på at gøre deres vejledninger mere konkrete og målrettede. Datatilsynet forventer således at imødekomme Rigsrevisionens kritik. 

Hvordan skal du forholde dig?

Det kan være svært at gennemskue, hvad det konkret kommer til at betyde for de private danske virksomheder. Men umiddelbart må man forvente, at Datatilsynet kommer til at ”skrue op” for deres tilsynsaktiviteter. Det vil alt andet lige betyde, at flere virksomheder vil blive udsat for tilsyn og derigennem få tjekket, om deres behandling af persondata lever op til kravene.  

Reelt set ændrer det jo ikke noget ift. selve reglerne for overholdelse af GDPR, men den praktiske risiko for at blive opdaget, hvis ikke man følger reglerne, vil stige i takt med, at Datatilsynet øger deres tilsynsaktiviteter. 

Der findes desværre ikke nogen ”mirakelkur” ift. overholdelse af GDPR. Så det kedelige budskab herfra er: Hvis du ikke er kommet i mål endnu, så er det bare om at komme i gang. 

Så kan vi forhåbentlig se frem til endnu flere gode vejledninger fra Datatilsynet, som kan gøre arbejdet endnu nemmere. Der findes også allerede en række gode vejledninger. 

Flyvende hilsener,  

Stine Seest Knudsen  

Customer Success Manager hos CyberPilot 

Vil du holdes opdateret på IT-sikkerhed?

Mikael Korsholm

Sådan kommer du let igang med Asset-management

Sådan kommer du let igang med Asset-management

Wireless
Mikael Korsholm

Mikael Korsholm

• 10. JUNI 2020 • LÆSETID 6 MIN.

At holde et overblik over alle ens IT-aktiver i en virksomhed kan være en uoverskuelig opgave. Der kan være bærbare computere, stationære computere, mobiltelefoner, cloud-services og meget mere. Det er netop denne udfordring som Asset-management forsøger at tackle. I den her blogpost vil vi give en introduktion til asset-management og bagefter give en praktisk introduktion til, hvordan I kan komme i gang med asset-management i jeres virksomhed. 

Hvad er asset-management?

Asset-management er kort sagt et system, hvori du kan holde overblikket over, hvilke IT-aktiver der indgår i din virksomhed. Et eksempel er hvilke computere i har tilkoblet, hvilke programmer, der er installeret på disse, og hvilke cloud-services disse benytter sig af. Dette giver altså mulighed for at kontrollere, at det kun er godkendte services eller programmer, der benyttes på medarbejdernes arbejdscomputere. Her er det vigtigt at pointere, at Asset-management ikke vedrører medarbejdernes brug af disse aktiver, men kun hvorvidt de er tilkoblet. Man vil altså kunne se om f.eks. medarbejderen har installeret Word, men ikke hvorvidt medarbejderen bruger dette program. Hvis det er et sådant system, man er interesseret i, skal man i stedet have et Log-management system. 

Hvad skal jeg så bruge det til?

Inden vi går videre til, hvordan man implementerer Asset-management, vil jeg lige hurtigt give tre gode grunde til at prioritere dette initiativ:

1. Det kræver ikke nogen stor ressource-investering og er derved lidt en “lavt hængende frugt” for mange virksomheder. 

2. Med Asset-management implementeret kan du sove trygt med den viden, at en af dine medarbejdere ikke lige har valgt at installere en omgang Limewire på sin arbejdscomputer.  

3. Du får et godt overblik over jeres IT-aktiver, som kan bruges til at implementere et succesfuldt Log-management system.

Så lad os gå videre med de gode grunde på plads, og se på hvordan man implementerer Asset-management og hvilken rolle et sådan system vil kunne have i jeres IT-sikkerheds-setup.

Asset-management vs. log-management

Skal man så have Log-management eller Asset-management? Det behøver heldigvis ikke at være en enten/eller-situation, da disse to typer systemer komplimenterer hinanden rigtig fint. I vores erfaring med Log-management har vi fundet, at det er en rigtig god idé at starte denne proces med at implementere asset-management, da man her finder ud af, hvilke kilder, man gerne vil logge data fra. Uden asset-management kan man altså overse nogle af de kilder man vil logge data fra, når man implementerer log-management, og derved ikke logge alt den relevante data. På samme måde kan Log-management også berige asset-management i og med, at implementeringen af log-management kan hjælpe med at identificere de forskellige cloud-tjenester, der skal registreres som aktiver.  

Hvad kræver det?

Nu ved vi altså, at asset-management kan skabe overblik over både jeres fysiske og digitale IT-aktiver, men hvad kræver det så? Kort sagt kræver det kun tid. Der findes forskellige systemer til denne opgave, men det system vi vil gennemgå i denne blogpost, og som vi selv bruger, kan bruges helt uden betaling. Prisen bliver altså den tid, det tager at implementere systemet. Inden man går i gang med at implementere Asset-management, er det også smart at skabe sig et indledende overblik over hvilke online services, din organisation benytter sig af, da systemet ikke kan scanne disse automatisk.  

Hvordan kommer jeg i gang?

Første skridt i denne proces er selvfølgelig at oprette en bruger på det system, som vi i denne blogpost vil anbefale, nemlig SpiceWorks Inventory.

Asset-management - SpiceWorks

Dette system kræver en server, det kan køre på, hvilket man selvfølgelig selv kan håndtere, men hvis man gerne vil undgå dette, har SpiceWorks også en Cloud-løsning, hvor de står for serveropsætning. Hvis man har flere forskellige lokationer, kan disse opsættes som “Remote Sites”, hvilket er nødvendigt for at kunne køre de scanninger, som vi kommer ind på senere I blogposten.

RemoteSites

Agenter

Agenten skal installeres på aktivet, men kan derefter følge aktivet udenfor arbejdspladsen. Dette betyder, at det er en god idé at installere en agent på mobile enheder, som f.eks. den bærbare arbejdscomputer, som muligvis tages med hjem af medarbejderen. Agenten downloader man simpelthen bare fra Spiceworks og installerer på de forskellige aktiver. Når Agenten er installeret på enheden, vil den kunne gennemgå de installerede programmer på computerens drev og derefter indføre disse programmer i SpiceWorks-systemet. Desværre findes SpiceWorks’ agent kun til Windows-maskiner, og Mac- eller Ubuntu-maskiner vil derfor skulle registreres igennem scanning i stedet.

RemoteAgents

Scanning

Scanninger foregår helt simpelt vha. jeres netværk på arbejdspladsen. Derfor kan dette dække alle de aktiver, som ikke forlader arbejdspladsen, og dem der ikke egner sig til at få installeret en agent. Dette dækker altså alt det, som ikke kan registreres via en agent. Denne type registrering er selvfølgelig også lidt mindre administrations-tung, da der ikke skal installeres agenter på de individuelle enheder, men kræver et større udredningsarbejde i at få identificeret de forskellige enheder korrekt.

Asset-management dashboard for scanning af device

Online aktiver

Registreringen af hvilke online aktiver, der benyttes er lidt mere udfordrende end registreringen af installerede programmer. Installerede programmer registreres nemlig automatisk ved at enten agenten eller scanningen gennemgår computerens drev, og derved registreret alt der er installeret. Men hvilke services der tilgås, foregår i stedet ved at browserhistorikken gennemsøges for URL’er, som man selv skal definere. Hvis jeg f.eks. ved, at vi i vores organisation benytter os af Office365 vil jeg kunne bede systemet om at søge efter URL-bidden ”Office”. Derefter vil jeg kunne se, om de forskellige aktiver har besøgt en sådan URL. Dette betyder dog også, at hvis jeg, som IT-ansvarlig, ikke ved, at en online cloud-tjeneste benyttes og derfor ikke har indsat dens URL i SpiceWorks, så vil jeg ikke kunne se, hvorvidt denne tjeneste optræder på organisationens IT-aktiver. Her ser vi altså et eksempel på en af fordelene ved at have både Asset-management og Log-management. I en sådan situation ville det kunne ses i Log-management-systemet, at den uregistrerede cloud-tjeneste var blevet tilgået og derefter bede vores Asset-management om at lede efter denne, og derved se hvilke enheder, der har tilgået tjenesten.

Hvad så nu?

Når du har registreret alle din virksomheds aktiver og registreret hvilke cloud-tjenester, som der skal søges efter, skulle du altså gerne have et overblik over både din virksomheds fysiske og digitale IT-aktiver. Herefter vil du altså som tidligere nævnt have et dejligt overskueligt overblik over, hvorvidt dine kollegaer benytter sig af programmer eller services, som du ikke har sikkerhedsgodkendt. Fremadrettet vil vedligeholdelsen af systemet bare handle om at få installeret agenter på nye aktiver og registrere nye cloud-tjenester, som I vælger at benytte. 

Jeg håber, at den her blog har fået Asset-management til at virke som en overkommelig opgave, som du kan implementere i din organisation . Det kan ofte være lidt en ”lavt-hængende”-frugt, da ressource-kravet er lavt, og at man igennem implementeringen skaber sig et overblik, som alligevel burde være en del af enhver stærk IT-sikkerhedsopsætning.

Vil du holdes opdateret på IT-sikkerhed?

Ny afgørelse fra Datatilsynet: Ét kursus er ikke nok!

Ny afgørelse fra Datatilsynet: Ét kursus er ikke nok!

Et kursus er ikke nok

Stine Seest Knudsen

• 11. MAJ 2020 • LÆSTID 5 MIN.

Vi ved det alle sammen godt: GDPR og IT-sikkerhed er vigtigt og det er et lovkrav, at medarbejderne trænes i dette. Dette kræver kontinuerlig træning, meeen… Kan vi ikke bare nøjes med at give et kursus, når det lige passer ind i vores travle arbejdstid, og så er den ged barberet? Det er der da ikke nogen, der tjekker – vel? Tro om igen, for Datatilsynet har været ude med luppen og understreget vigtigheden af kontinuerlig awareness-træning! 

BroBizz har anmeldt 3 tilfælde af brud på persondataloven i organisationen til Datatilsynet, idet de desværre har lækket kunders data til en tredjepart. Her skal vi lige huske at rose BroBizz for at melde sikkerhedsbruddet selv i stedet for at vente på at blive fanget. Datatilsynet har på baggrund af BroBizz’s fremsendte risikovurdering vurderet, at BroBizz ikke har taget tilstrækkeligt hensyn til de risici, som persondatabehandlingen udgør, bl.a. ved uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet. Dette har ført til alvorlig kritik fra Datatilsynet samt et påbud om, at BroBizz inden for fire uger får styr på sagerne. Hvis dette ikke opnås, vil BroBizz blive straffet med en bødeDenne kritik er baseret på de hændelser, der er udledt af brudene samt mangel på awareness-træning af medarbejderne. 

Datatilsynet har i deres gennemgang af de anmeldte sager lagt vægt på, at der ikke eksisterer tilstrækkelig behandlingssikkerhed, herunder uddannelse og træning af BroBizzmedarbejderne i databeskyttelse. BroBizz oplyste, at forskellige medarbejdere har gennemgået e-læring siden den 25. maj 2018, og at kundeservicemedarbejderne introduceres til relevante persondataretlige problemstillinger ved ansættelsesstart. Derudover oplyste de, at den løbende uddannelse foregår på ad hoc basis. Datatilsynet har sidenhen erfaret, at forskellige medarbejdere kun har gennemgået ét kursus siden 25. maj 2018. Dette vurderes sammen med den løbende uddannelse på ad hoc basis som værende utilstrækkelig efter Datatilsynets opfattelse. Vurderingen bekræftes af, at BroBizz på bare 2,5 måneder har videregivet oplysninger til uvedkommende i tre tilfælde. Du kan læse mere om Datatilsynets afgørelse her. 

Hvordan kan man så leve op til Datatilsynets krav?

Det er første gang, at Datatilsynet konkret har påpeget eorganisations utilstrækkelige niveau af awareness-træning. Dette understreger blot, at man derfor ikke skal tage for let på denne post, da det i sidste end kan dette kan have store konsekvenser for jeres organisation, kunder og medarbejdere. Afgørelsen fra Datatilsynet fortæller rigtigt nok, at kontinuerlig awareness-træning er vigtig, men hvad betyder det egentligt i praksis? 

Hos CyberPilot hører vi ofte kunder, der efterspørger den gode måde at håndtere awareness-træningen påog dette kan være svært at hitte ud af. Datatilsynets afgørelse specificerer ikke, hvad best practice er inden for awareness-træningen og lægger derfor op til selvfortolkning. Der er mange måder at varetage træningen af medarbejdere på, og det er derfor vigtigt, at man gør sine overvejelser omkring, hvad der passer bedst ind i jeres organisation. 

Det årlige møde

Nogle vælger at tage en dag ud af kalenderen en gang om året for at have en kursusdag omkring awareness-træning og IT-sikkerhed, hvilket kan give mulighed for medarbejderne for at komme i dybden med dette og skabe diskussioner rundt i krogene. Dog bør man være opmærksom på, hvorvidt det er tilstrækkeligt for medarbejderne, at der blot er fokus på IT-sikkerhed én gang om året. Man kender det jo selv: De første uger efter kurset er man meget opmærksom på de ting, man har lært på kursusdagen, men efter et par måneder og en masse nye arbejdsopgaver, er opmærksomheden rettet et andet sted. Vælger man denne løsning bør man efter vores anbefalinger gøre dette en gang hver 3. eller 6. måned, således IT-sikkerhed altid ligger friskt i medarbejdernes hukommelse. 

Det månedlige møde

Andre benytter sig af månedlige fællesmøder med indslag om IT-sikkerhed, hvor der bliver sat fokus på forskellige emner inden for området. Dette hjælper til, at medarbejderne får kontinuerlig awareness-træning og bliver gjort opmærksom på, hvordan de skal agere og forholde sig til det. Denne løsning kræver lidt tid til forberedelse af indlæggene, men er overordnet en god løsning til at få sat tjek ved medarbejdernes awareness-træning. Det kræver dog en del koordination, da alle medarbejdere skal have tid til at møde op, og det kan derfor være svært at dække alle medarbejderes træningsbehov. 

Udsending af eget materiale

En anden løsning er at lave sine egne awareness-træningsvideoer, hvor man får en af medarbejderne til at fortælle om IT-sikkerhed og GDPR til de andre medarbejdere, udsende e-bøger omhandlende IT-sikkerhed, benytte sig af de gratis awareness-træningsmuligheder, der ligger online eller noget helt fjerde. Alt hvad man gør, er en hjælp til at få en mere sikker organisation. Man skal dog være opmærksom på, hvordan man får dokumenteret, at medarbejderne modtager awareness-træning på den ene eller den anden måde. Dette kan eksempelvis være ved at registrere fremmøde til kurser eller fællesmøder, indtaste gennemført awareness-træning i et Excel-ark eller få medarbejderne til at kvittere på et dokument.

Vores model

Vores model for god awareness-træning hos CyberPilot er baseret på vores erfaringer i løbet af årene. Vi anbefaler vores kunder at udsende ét kursus hver eller hver anden måned, da det er her, vi ser dem have størst succes med deres awareness-træning. Dette sker, fordi medarbejderne får små brudstykker af viden, de kan fordøje over tid og diskutere med deres kollegaer i kaffepausen (når de da er på kontoret). På denne måde fæstnes medarbejdernes læring i hukommelsen, og de vil derfor opleve en større værdi af træningen, end hvis de får 10 kurser smidt i hovedet på en gang. Dette skaber en synergi mellem medarbejderens hverdag og arbejdsopgaver, som kan være med til at forebygge brud på persondataloven. Derudover er det muligt at udtrække en rapport, således man kan dokumentere præcist hvilke medarbejdere, der har gennemført præcist hvilke kurser og hvornår de er taget. 

 

Kort sagt: Der er mange løsninger på det samme problem. Vi vil derfor råde alle til at tage stilling til, hvordan I bedst muligt får uddannet jeres medarbejdere tilstrækkeligt, så I ikke ender med uhensigtsmæssige brud på persondataloven og store bøder som følge af dette. Hvis du er i tvivl om, hvad der er den bedste løsning for jer, så tøv endelig ikke med at tage fat på os – vi er her for at hjælpe og guide jer rundt i awareness-træningsjunglen😊 Du kan fange mig på tlf. 91 52 61 72 eller via ssk@cyberpilot.dk

 

Mvh. Stine Seest Knudsen

CyberPilot – Customer Success Manager

Vil du holdes opdateret på IT-sikkerhed?

Fredrik Nielsen

Få gode IT-sikkerhedsvaner – Også derhjemme!

Få gode IT-sikkerhedsvaner - Også derhjemme!

It-sikkerhedsvaner
Fredrik Nielsen

Fredrik Nielsen

11. Maj 2020 • LÆSETID 7 MIN.

I skrivende stund maj 2020, står vi overfor en gradvis genåbning af samfundet efter den lange nedlukning ifm. corona. 

Mange skal tilbage på job efter en periode med udelukkende hjemmearbejde, hvor de fleste af os har forsøgt at finde balancen mellem privatliv og et arbejdsliv med et hav af videomøder iført joggingbukser. 

Hjemmearbejdet har tydeliggjort vigtigheden af gode IT-sikkerhedsvaner. Denne blogpost vil fortælle dig, hvordan man opbygger gode sikkerhedsvaner både på jobbet og derhjemme.

Da statsministeren lukkede landet ned og sendte alle hjem, så var der mange, der fik travlt med at finde ud af, hvordan man sørger for god IT-sikkerhed og databeskyttelse, når man arbejder hjemme. Det er som sådan ikke fordi hjemmearbejde er en ny ting. Mange af os har hele tiden haft mulighed for at tage en dag eller to på hjemmekontoret om måneden. Det har bare ikke været i det omfang og i den skala, som vi nu har været vidne til. 

Alt fra sølvpapirshatte med konspirationsteorier til seriøse institutioner kom hurtigt på banen med deres input til, hvordan man skal bære sig ad, når man arbejder hjemme i længere tid. Førstnævnte kan man som altid se bort fra og sidstnævnte gav en god påmindelse om hvad grundlæggende god adfærd er ift. IT-sikkerhed og databeskyttelse. 

Det er i bund og grund de samme gode råd, som gælder under almindelige omstændigheder, men det lange fravær fra arbejdspladsens trygge IT-sikkerhedsrammer betyder, at selvsamme råd bliver endnu vigtigere at følge. På hjemmekontoret er man i højere grad på egen hånd og hjælpen fra den gode kollega og den IT-ansvarlige kan føles meget længere væk. Derfor er det endnu vigtigere at give opmærksom til sine gode og dårlige IT-sikkerhedsvaner. 

Hvad er en sølvpapirshat?

Når vi bruger ordet sølvpapirshat, så refererer vi til folk, som måske har en lidt større tilbøjelighed til at se konspirationsteorier i deres omverden end vi andre har.

Ordet kommer fra nogle af de første teknofober, som ville undgå at få elektroniske bølger ind i deres hjerne og derfor lavede hatte ud af sølvpapir for at holde de “farlige” bølger ude.

Vanen vs. forståelsen

Vaner er i bund og grund hverdagshandlinger, som vi ikke længere sætter spørgsmålstegn ved, fordi de sidder på rygraden. En handling, som vi ikke kan se formålet med, har vi meget svært ved at gøre til en vane. Tandbørstning er kedeligt, men vi gør det pligtskyldigt 1-2 gange om dagen, fordi vi ikke vil have dårlig ånde og gebis som 50-årig. Vi tror på det virker og er nødvendigt. 

Men når jeg ser skiltet i svømmehallen med instrukser om at vaske hele min krop fra top til tå inden jeg går i vandet OG gentage hele processen, hvis blot jeg skal slå en streg i kummen, så må jeg indrømme, at jeg bliver vanskelig. Jeg tager gerne første tur under bruseren, men efter toiletbesøg klarer jeg den ekstra rengøring med en håndvask og forsøger ellers at lade som ingenting, når jeg sniger mig langs væggene og tilbage i vandet. 

Jeg ved godt der står noget med 1.000.000.000 bakterier, men jeg synes tallet virker astronomisk overdrevet og jeg laver min egen lille plan for at undgå at følge reglerne. I bund og grund, fordi jeg ikke er overbevist om vigtigheden af at følge dem og min vilje til at gøre den ekstra indsats ikke forekommer at være umagen værd. Den vurdering står selvfølgelig for min egen regning, men tænk over, hvornår du sidst fulgte anvisningen til punkt og prikke, da du stod i dine speedos eller badedragt i svømmehallen. 

Sådan er det også med vaner, når det kommer til IT-sikkerhed og databeskyttelse. Hvis vi ikke forstår vigtigheden af en retningslinje eller et tiltag, så finder vi på vores egne strategier for at undgå at følge anvisningen. Derfor synes jeg det er værd at tage et nærmere kig på tre af de råd, som center for cybersikkerhed offentliggjorde ifm. med nedlukningen af samfundet og se på hvilke misforståelser eller fejlopfattelser, som kan ligge til grund for at man ”undgår” at følge de gode anvisninger. Rådene kan også findes her.

 

LÆS OGSÅ: Sikker surfing

RÅD: Husk at beskytte den fysiske adgang til din arbejdscomputer, når du arbejder hjemme.

I store træk kan beskyttelse af den fysiske adgang til computeren koges ned til at man husker at låse sin maskine, når man forlader den. På en windowsmaskine gøres dette let ved at bruge windowstast+L, når man skal ud efter en kop kaffe. Det er min opfattelse at rigtig mange mennesker ikke helt kan se meningen med dette, fordi man tænker at det virker helt overdrevet at låse sin computer, når man fx går til pause.

Det er jo kun ens gode kollegaer, som er i rummet, og i forbindelse med hjemmearbejde de elskede børn eller ens partner, som er tilstede. Her er det vigtigt at gøre sig klart, at det ikke drejer sig om, at man skal gå og mistænke de velkendte ansigter fra hverdagen for at have ondt i sinde eller være udspekulerede dataspioner. Det drejer sig grundlæggende set om at arbejdscomputeren giver adgang til en masse data og rettigheder, som man har pligt til at beskytte. Særligt persondata, har man pligt til at sikre, at andre ikke får adgang til. Lader man bare computeren stå åben og frit tilgængeligt, så har man i princippet givet alle mennesker i nærheden adgang til al den persondata, også selvom de ikke har tænkt sig at udnytte det. Det er et ikke uvæsentligt brud med reglerne i persondataforordningen, hvor databeskyttelse og adgangsbegrænsning spiller en afgørende rolle. Så det drejer sig altså ikke om overdreven mistanke til sine omgivelser – det drejer sig om principiel beskyttelse af andre menneskers personoplysninger.

RÅD: Hvis din arbejdscomputer ikke holdes opdateret automatisk, så skal du holde den opdateret selv.

Mange tænker på opdateringer, som noget der har til hensigt at forbedre deres oplevelse af at bruge computeren. Måske den bliver hurtigere, programmerne smartere og mere stabile. Det er også en del af sandheden. Ikke alle er fuldt bevidste om, hvor vigtigt et opdateret styresystem og browser er for den grundlæggende sikkerhed på arbejdscomputeren. Selv hvis IT-afdelingen sørger for at computeren automatisk bliver opdateret, så er det ikke sjældent at medarbejderen selv skal tillade, godkende eller gøre noget aktivt for at gennemføre installationen. Muligheden for at udskyde kan være fristende. Hvorfor skal jeg så ulejlige mig med at vente på en tidskrævende genstart og installationsproces, hvis jeg ikke synes computeren ”fejler” noget?

Denne logik kan stå i vejen for den mere principielle årsag. Hvis du ikke gennemfører en opdatering, så risikerer du, at du arbejder videre med åbne sikkerhedshuller i din arbejdscomputer. Denne begrundelse er lidt sværere at feje bort og man vil måske være tilbøjelig til ikke at udsætte opdateringer helt så ubekymret.

RÅD: Brug de værktøjer og kommunikationskanaler, din arbejdsplads stiller til rådighed.

Dette råd er særligt vigtigt, når man arbejder hjemme. Hjemmearbejde udfordrer den måde vi arbejder på normalt, fordi behovet for digitale møder og samarbejdsformer bliver større. Det kan være man i en snæver vending fristes til at bruge Zoom i stedet for det godkendte program til videomøder, fx Teams eller Skype. 

Som privatpersoner er vi vant til at tage nye tjenester og programmer i brug uden bekymring, men når det komme til arbejdscomputeren, så kan samme ubekymrede tilgang få negative konsekvenser. Har man ikke selv sidder med den opgave at skulle godkende et program og vurdere om det kan leve op til de mange strenge krav om persondatabehandling og IT-sikkerhed, så kan det være svært at forstå, hvorfor man ikke bare kan downloade, installere og tage nye programmer i brug. Hvorfor kan man fx ikke bruge sin private dropbox til at dele nogle filer med en kollega? Dropbox er jo ikke nogen useriøs virksomhed. De to grundlæggende årsager til dette er, at arbejdspladsen skal kunne stå 100% inde for sikkerheden af en service, og skal samtidig helst have et 100% overblik over, hvor alle data som organisationen behandler bliver opbevaret. Hvis halvdelen af filerne ligger og roder i medarbejdernes private dropboxes eller private e-mailindbakker, så bliver det en umulig opgave.

Det var et udpluk at de gode råd, som Center for Cybersikkerhed har udgivet. Vi kender de gode råd fra tidligere, men det er en rigtig god ide at gentage dem, når hjemmearbejde spiller så stor en rolle, som det gør i disse tider. Den centrale pointe i denne artikel er, at selvom medarbejderen får besked på at følge de gode råd, så mangler den anden del af ligningen. Forståelsen for HVORFOR det er så vigtigt. Der eksisterer mange fejlkonklusioner, misforståelser og forkerte opfattelser af, hvorfor man bør følge ovenstående anvisninger. Tror man det drejer sig om overdreven mistænkelighed, uvæsentlige opdateringer og bureaukratiske regler for programmer, så er man tilbøjelig til at ignorere de gode råd, og følge sin egen overbevisning. Har man derimod forstået de helt grundlæggende årsager til at følge rådene, er der større chance for, at den enkelte medarbejder tager sit ansvar alvorligt og gør sig ekstra umage.

Mvh. Fredrik Nielsen

CyberPilot – Product Owner

LÆS OM VORES KURSUS: “Hjemmearbejde”

Vil du holdes opdateret på IT-sikkerhed?

RHV_profile

Dine medarbejdere er jeres største trussel

Dine medarbejdere er jeres største trussel

e-bog
RHV_profile

Rasmus Hangaard Vinge

• 13. AUGUST 2019 • LÆSETID 20 MIN.

Introduktion

Når man hører ord som for eksempel ”IT-sikkerhedstrussel”, ”IT-kriminelle angreb” og ”IT-sikkerhedsbrist” i virksomheder og organisationer, er det nok de færreste, der i første omgang tænker på medarbejderne som problemets hovedårsag. 

Men faktum er, at netop medarbejderne udgør den primære kilde til IT-sikkerhedsbrister på arbejdspladsen. Størstedelen af disse sikkerhedsbrister kan spores direkte tilbage til medarbejdernes uvidenhed om og manglende bevidsthed i forhold til forsvarlig og korrekt håndtering af IT- og datasikkerhed i dagligdagen.  

Derudover er det også medarbejderne, der i langt de fleste tilfælde ubevidst laver fejl, som kan føre til overtrædelse af reglerne vedrørende Persondataforordningen (GDPR). 

Med andre ord: 

Medarbejderne er paradoksalt nok din virksomheds største risiko i forhold til IT-sikkerhed. 

Denne risiko kan resultere i svære økonomiske omkostninger, bøder og utilsigtet brug af interne ressourcer. Og den er såmænd lige reel, aktuel og alvorlig for store, mellemstore såvel som små virksomheder og organisationer i dag. Det vil sige alle arbejdspladser – også jeres. 

Men hvordan dæmmer I mest effektivt op for denne risiko? Det gør I ved at skabe en kultur i jeres organisation, der beror på et fælles ansvar for og en bevidsthed omkring IT-sikkerhed. 

Guiden er bygget op omkring fire centrale områder, som I bør fokusere på: 

Rigtig god læselyst!

Indholdsfortegnelse

 

Kulturændring igennem 4 trin 

  • Organisationens kulturændring er en trinvis udviklingsproces – der varer ved…

IT-sikkerhedstruslen opstår og løses indefra

  • Den IT-sikkerhedsmæssige risiko kommer indefra – på medarbejderniveau
  • Derfor skal sikkerhedsløsningerne også komme indefra – og starte hos medarbejderne

#1 Tydelig medarbejderkommunikation er forudsætning for succes

  • Vær klar i spyttet over for dine medarbejdere – med tydelig kommunikation

#2 Lad IT-retningslinjer guide dine medarbejdere

  • Konkrete retningslinjer til medarbejderne betaler sig – bogstaveligt talt

#3 Awareness frem for alt

  • Awareness is everything – skab og fasthold opmærksomhed omkring IT-sikkerheden i organisationen
  • Fysiske møder eller oplæg – få engageret dine medarbejdere i praksis
  • Plakater – giv medarbejderne syn for (IT-)sagen i hverdagen
  • Awareness-træning (e-læring) – få fastholdt det (høje) opmærksomhedsniveau
  • Phishing-træning – skab awareness igennem simulering af angreb
  • Mål på jeres fremgang – “hvis ikke vi måler, aner vi ikke, hvor vi er…”
  • Statistik fra den virkelige verden – IT-sikkerheden er (stadig) udfordret

Konklusion – kom sikkert i mål med træningen af jeres medarbejdere

  • De 4 steps til opmærksomme medarbejdere
  • CyberPilot – din personlige sparringspartner på IT-sikkerhed og persondata
RHV_profile

Forfatter
Rasmus Vinge
CyberPilot

Kulturændring igennem 4 trin

Organisationens kulturændring er en trinvis udviklingsproces – der varer ved… 

At få skabt bevidsthed og opmærksomhed omkring de IT-sikkerhedsmæssige risici og udfordringer samt udbedring af problemerne er langt fra noget, der sker over natten. Tværtimod. Det er en længerevarende proces, der kræver arbejde og målrettede indsatser – på ledelsesniveau, men i den grad også på medarbejderniveau. 

Denne udviklingsproces skal starte fra ledelsen og hele vejen ud til alle medarbejdere. Målet er at få denne (nye) kultur naturligt integreret som en del af medarbejdernes mindset og deres daglige håndtering af IT-systemer og data. 

Men for at kunne nå dette mål må du og dine medarbejdere nødvendigvis gennemgå en række trin – lidt firkantet sagt fire trin. Eller måske rettere lidt ”trekantet” sagt, da du med fordel kan forstå og visualisere denne udviklingsproces som en firedelt pyramide: 

Pyramide

Arbejdsprocessen for medarbejderne forløber altså igennem følgende fire trin i prioriteret, kronologisk rækkefølge: 

Kommunikation fra ledelsen – retningslinjer – awareness  måling 

Modellen skal læses som en slags ”behovspyramide”, hvor de nederste (behovs)trin nødvendigvis skal dækkes for at kunne nå de øverste trin. Men arbejdet stopper ikke ved fjerde og sidste trin. Kulturændringen er nemlig en ongoing arbejdsproces, der kræver løbende vedligeholdelse, opdatering og tilpasning på tværs af de forskellige indsatsområder. 

I den resterende del af denne e-bog vil vi tage dig igennem de fire trin og give dig inspiration til, hvordan du bedst muligt igangsætter og realiserer kulturændringen i din organisation.  

IT-sikkerhedstruslen opstår og løses indefra

Den IT-sikkerhedsmæssige risiko kommer indefra - på medarbejderniveau

Inden vi kaster os ud i de fire grundlæggende procestrin, vil vi lige indledningsvis træde et skridt tilbage og kort fokusere på dét, som det hele handler om: Den IT-sikkerhedsmæssige risiko. 

I en digital tidsalder, hvor de fleste arbejdspladser i en eller anden udstrækning opererer med IT-systemer og data, er denne risiko mere virkelig end nogensinde før. Helt instinktivt tillægger vi typisk udefrakommende hackere, svindlere og andre IT-kriminelle aktører skylden – og skænker sjældent de ansatte en tanke i denne sammenhæng.  

Men prøv lige at betragte følgende statistik: 

9 ud af 10 IT-sikkerhedsbrud i virksomheder og organisationer starter hos medarbejderne

Forsiden_910

Lige så overraskende og foruroligende tallene er, lige så præcist beskriver de den overhængende fare, danske virksomheder og organisationer står overfor i dag.  

Truslen opstår altså indefra i form af datahåndteringsfejl eller målrettede angreb mod den enkelte medarbejder. Det kan eksempelvis være phishing og Social Engineering såsom CEO-fraud eller lignende svindel- og manipulationsnumre, der giver ondsindede aktører adgang til jeres fortrolige data og IT-systemer. 

Senere vil vi præsentere dig for reelle statistikker, der viser, hvor mange medarbejdere der rent faktisk ”hopper” i fælden, når man udsætter dem for et simuleret phishing-angreb.  

Spoiler alert: Det er en overraskende stor andel! 

Men hvordan imødekommer du denne risiko, og hvor skal du overhovedet starte? 

Det skal vi sige dig… 

Derfor skal sikkerhedsløsninger også komme indefra - og starte hos medarbejderen

Ligesom at truslen hovedsageligt opstår indefra i din organisation, skal selve løsningen på IT-sikkerhedsproblemerne også findes og udvikles indefra. Og dette projekt starter logisk nok hos dine medarbejdere. Det vil sige lige akkurat dér, hvor problemerne typisk bliver født i første omgang. 

Det handler om at højne din virksomheds tekniske og adfærdsmæssige IT-sikkerhedsniveau ved at arbejde med den enkelte medarbejder. Den førnævnte kulturændring kræver, at der rykkes ved medarbejdernes gamle rutiner, vaner og ”plejer”-adfærd – både på det teoretiske og det (lav)praktiske plan. 

Det handler desuden også om at træne og uddanne dine medarbejdere Persondataforordningen. Dette punkt vil vi ikke gå yderligere i detaljer med her, men hvis du er interesseret i at lære mere om denne del, kan du læse om awareness-træningens rolle i forhold til Persondataforordningen lige her. 

Ved at indarbejde og indlære nye, sunde og sikre IT-sikkerhedsvaner i organisationen kan du således styrke dine medarbejderes evne til at kunne: 

En række egenskaber, der over tid vil kunne bidrage til øget awareness, reducering af fejl – og ikke mindst mindske den IT-sikkerhedsmæssige risiko indefra. 

Men lad os komme til sagen og se nærmere på de fire trin, der skal bringe dig og dine medarbejdere sikkert i mål og skabe konkrete resultater.

#1 Tydelig medarbejderkommunikation er forudsætning for succes

Vær klar i spyttet overfor dine medarbejdere - med tydelig kommunikation

Deallerførste skridt ved enhver indsats i forhold til ændring og forbedring af IT-sikkerhed og datahåndtering er at rette fokus mod medarbejderkommunikationen. Det vil sige, hvordan ledelsen kommunikerer og informerer medarbejderne. 

Selvom forandring ofte fryder, kan nye tiltag og procedurer også give anledning til frygt, usikkerhed og tvivl hos dine medarbejdere. De finder typisk tryghed ved det gamle og vante (det vil sige ”plejer”) og kan let blive afskrækkede af nye krav. Og netop denne forbeholdenhed udgør en stor udfordring, der kan være vanskelig at overkomme, når nye IT-sikkerhedsforanstaltninger skal implementeres. 

Det bedste råd er kort sagt at adressere dine medarbejderes potentielle usikkerhed og tvivl ved at italesætte dem direkte, åbent og eksplicit. Kun på den måde kan du forberede medarbejderne grundigt, så de bliver mere omstillingsparate og modtagelige over for de nye tiltag. 

Det mest effektive middel til at nedbringe dine medarbejderes forbeholdenhed er klar og tydelig kommunikation – formidlet direkte i øjenhøjde. Det gælder om at skabe klare linjer fra starten, så ingen medarbejdere er det mindst i tvivl om tiltagenes (gode) formål og vejen dertil. 

Der er mange måder, hvorpå du konkret kan formidle dette. Fælles for alle metoderne er, at kommunikationen ultimativt skal klarlægge: 

Det handler altså grundlæggende om forventningsafstemning og at være klar i spyttet. På den måde sikrer du, at medarbejderne er med ombord og klar til jeres fælles rejse. 

Når det er sagt, handler det ikke udelukkende om medarbejderne. Det er altafgørende, at du også sikrer dig, at ledelsen bakker 100% op omkring projektet og er med ombord. 

Hvis du mangler inspiration til, hvordan du kan udforme kommunikationen til dine medarbejdere, kan du downloade vores e-bog og se vores bud på en skabelon lige her.

#2 Lad IT-retningslinjerne guide dine medarbejdere

Konkrete retningslinjer til medarbejderne betaler sig - bogstaveligt talt

Det næste vigtige step er at få sikret, at medarbejderne har et veldefineret sæt af målrettede og skarpe retningslinjer, der beskriver, hvad der er ”god praksis i jeres organisation. 

Det vil sige et slags internt ”regelsæt”, der tydeligt kortlægger, hvordan medarbejderne må og skal agere i forhold til (korrekt) brug af IT-systemer-udstyr, data og platforme.   

Måske har I allerede udarbejdet retningslinjer i jeres organisationder dog godt kunne trænge til at blive opdateret og præciseretDet kan også være, at I aldrig har fået udtænkt og implementeret retningslinjer for medarbejderne og derfor står på bar bund 

Uanset hvilken situation, der gør sig gældende for jer, er det nødvendigt at få etableret gode og konkrete retningslinjer, som kan fungere som guidelines og konkrete holdepunkter for den enkelte medarbejder.  

Uden klare retningslinjer kan det være vanskeligt for medarbejderne at vide, hvordan de skal agere i hverdagen. Omvendt vil retningslinjer kunne bidrage til at skabe klarhed omkring de IT-relaterede procedurer inhouse, hvilket i sidste ende gør det nemmere for den enkelte medarbejder at udføre sit arbejde sikkert. 

Med tydeligt optegnede retningslinjer kan du blandt andet besvare følgende potentielle tvivlspørgsmål hos medarbejderne:

Det handler altså om at klæde medarbejderne på med den nødvendige viden, der skal til for at kunne udføre deres arbejde sikkertVed at besvare alle disse spørgsmål kan I minimere risikoen for, at medarbejderne begår uhensigtsmæssige fejl, der i værste tilfælde kan føre til IT-kriminelle angreb, bøder eller lignende uønskede omkostninger. 

Samtlige af ovenstående punkter og flere til kan du finde i vores skabelon for IT-retningslinjer. Du kan downloade vores e-bog og få adgang til den samlede liste lige her eller ved at kontakte os online, pr. telefon eller e-mail.

#3 Awareness frem for alt

Awareness is everything - skab og fasthold opmærksomhed omkring IT-sikkerheden i organisationen

Én af de største udfordringer i forhold til IT-sikkerhed er ofte at få skabt den nødvendige opmærksomhed blandt medarbejderne i jeres organisation. Det vil sige at sikre et tilstrækkeligt og højt awareness-niveau hos hver enkelt medarbejder. 

Når først I har fået kommunikeret klart og tydeligt, hvad der forventes af medarbejderne, og hvilke retningslinjer der definerer praksissen i jeres organisationer næste step at gøre en fokuseret indsats for at skabe og ikke mindst fastholde den nødvendige opmærksomhed på IT-sikkerheden og håndteringen af persondata.  

Mange begår den alvorlige (begynder)fejl, at de opfatter denne opgave med at skabe opmærksomhed som en éngangsforestilling. Når først retningslinjerne er skrevet ned og kommunikeret ud, anses opgaven som færdig, hvilket ofte har den konsekvens, at de hurtigt ender i glemmebogen. Det gælder om at gøre en aktiv indsats for løbende at genopfriske og opdatere dem kontinuerligt for på den måde at vedligeholde det høje awareness-niveau. 

Til dette formål findes der en lang række værktøjersom du med fordel kan gøre brug af for fastholde og udvikle medarbejdernes security awareness. På de følgende sider har vi samlet et udvalg af gratis og brugbart inspirationsmateriale i form af konkrete skabeloner samt gode råd til, hvordan du kommer godt i gang. 

Forslag til tiltag, der kan skabe og vedligeholde opmærksomheden:

Men lad os knytte et par uddybende ord til hver af disse tiltag.

Fysiske møder eller oplæg - få engageret dine medarbejdere i praksis

Al begyndelse er svær. Og det gælder bestemt også, når man taler om implementering af nye IT-sikkerhedstiltag såsom at skabe awareness blandt medarbejderne.  

Derfor er det også afgørende, at I gør en målrettet indsats for, at de nye aktiviteter bliver ordentligt sat i søen. Her kan det være yderst formålstjenligt at gøre brug af fysiske møder, oplæg eller praktiske workshops som en slags effektiv ”kick-off i forhold til aktiviteterne. 

De fysiske møder, workshops eller oplæg kan tage meget forskellige form og sætte fokus på forskellige delområder afhængig af jeres aktuelle situation og behov, hvad angår IT-sikkerhed og Persondataforordningen.  

Det kan eksempelvis være et oplæg til personalemødet fra en intern medarbejder eller et ledelses/bestyrelsesmedlem. Det kan også være en ekstern foredragsholder eller fagekspertder kommer og fortæller om IT-sikkerhed, så I bliver opdateret på feltet. 

Fordelen ved denne type tiltag er, at du får aktiveret og engageret medarbejderne i praksis, så der bliver skabt en opmærksomhed omkring jeres konkrete retningslinjer og behovet for security awareness. 

Hos CyberPilot har vi udarbejdet forskellige typer inspirationsmateriale, der kan hjælpe dig på vej i denne proces, og som vi gerne deler ud afVi tilbyder blandt andet: 

Download vores e-bog hvis du vil have adgang til overnstående materiale. E-bogen kan du finde her:

Kontakt os endelig, hvis du er interesseret i at høre mere og ønsker at modtage materialerne

Awareness-træning (e-læring) - få fastholdt det (høje) opmærksomhedsniveau

Det tredje værktøj, vi vil fremhæve, er det absolut vigtigste: Nemlig awareness-træning til at skabe og fastholde opmærksomheden. 

Opgaven med at skabe og fastholde den IT-sikkerhedsmæssige opmærksomhed samt de nødvendige kompetencer kræver en dedikeret og kontinuerlig indsats over tid. 

Fysiske møder er ofte ressourcekrævende i forhold planlægning, logistik og afvikling. Det kan være svært og omstændeligt at koordinere aktiviteterne, så alle medarbejdere har mulighed for at deltage – eksempelvis på grund af separate afdelinger og geografisk adskilte kontorerDerudover er der jo konstant ændring i medarbejderstaben, hvilket gør det vanskeligt at sikre, at alle de nye medarbejdere også har modtaget træning. 

Og selvom fysiske møder ofte er en god idé at gøre brug af for at skabe den indledende opmærksomhed hos medarbejdernekan det tilsvarende være vanskeligt at fastholde denne opmærksomhed over tid igennem de fysiske møder. 

Det er netop her, awareness-træning igennem e-læring kommer ind i billedet som effektiv løsning. 

Grundet de store koordineringsudfordringer vælger mange virksomheder og organisationer nemlig anvende awareness-træning via e-læring. Denne digitale træningsform er en smart metode til at sikre den løbende opmærksomhed uden alt det praktiske besvær. 

E-læring gør det nemt at planlægge og gennemføre træningen, da medarbejderne kan foretage trænings-sessionerne når og hvor som helst – lige når det passer ind i deres hverdag. Derudover kan træningen tilrettelægges, så den er skræddersyet nøjagtig til den enkelte medarbejders (lærings)behov.  

Hvis du ønsker at teste vores awareness-træning eller søger inspiration til jeres eget træningsforløb, kan du med fordel tjekke CyberPilots awareness-træning ud, som både dækker IT-sikkerhed og Persondataforordningen. Her kan du ganske gratis og 100% uforpligtende afprøve vores awareness-træning i din virksomhed. 

Awareness-træning i praksis – hvad siger kunderne?  

Hvad får man egentlig ud af awareness-træning og e-læring – og hvordan virker det i praksis? Det vil vi sådan set overlade til vores kunder at sætte ord på. 

Nedenfor kan du se en række udtalelser fra nogle af vores kunder. 

Testimonials

Phishing-træning - skab awareness igennem simulering af angreb

Det fjerde værktøj, vi vil præsentere, er såkaldt phishing-træning. Phishing er den største trussel i forhold til IT-kriminalitet i dag. Som tidligere nævnt starter 9 ud 10 angreb med et målrettet forsøg på at ramme og skade medarbejderne. Retningslinjer, kurser og e-læring kan være en god metode til at lære og gøre medarbejderne bevidste om, hvilke udtalte faresignaler og kendetegn, de bør være opmærksomme på. 

Vores erfaring er dog, at godt nok kan man læse og træne sig til meget, men intet slår den ”ægte vare” – det vil sige håndtering af (næsten) virkelighedstro IT-kriminelle angreb. Derfor anbefaler vi ofte, at der gennemføres phishing-træning som separat tiltag, så medarbejderne kan afprøve i praksis, hvordan de ideelt set skal (eller ikke skal) agere, når uheldet er ude.  

Phishing-træning handler kort sagt om at udsætte de ansatte for simulerede phishing-angreb, hvilket kan tjene til at: 

Rune

Eksempler på phishing-træning i praksis 

Men hvordan ser disse simulerede phishing-angreb ud i praksis? 

Nedenfor præsenterer vi dig for to klassiske case-eksempler, der kan anvendes til phishing-træning, og som viser, hvordan et phishing-angreb typisk ser ud, hvis medarbejderne møder det i dagligdagen. Begge eksempler har det til fælles, at de forsøger at være personlige i henvendelsesformen og opfordrer eksplicit til interaktion og klik.  

I disse tilfælde skal medarbejderne ideelt set kunne opfange den mistænkelige aktivitet og dermed undgå at falde i fælden ved at ignorere og slette mailen. Men derudover skal de også gerne gøre de andre kollegaer opmærksomme på truslen,  de heller ikke falder i fælden.  

Eksempel nr. 1 - Julegaven

Julegaven

Eksempel nr. 2 - Mistænkelig aktivitet

Mistænkelig

Du kan lære meget mere om phishing-træning, og hvorfor det er vigtigt for din organisation, på vores hjemmeside eller ved at kontakte os. 

Plakater - giv medarbejderne syn for (IT-sagen) i hverdagen

Et andet brugbart værktøj til at skabe, fastholde og højne awareness-niveauet blandt medarbejderne i jeres organisation er fysiske plakater eller lignende visuelle præsentationsformater. 

Dette er en effektiv måde at gøre eksplicit opmærksom på IT-sikkerheden i det ”fysiske rum” på arbejdspladsen. Fordelen ved plakater og lignende grafiske materialer er, at de skaber øjeblikkeligt blikfang og nemt kan sættes op hvor som helst. Eksempelvis på kontoret ved de enkelte skriveborde eller kantinen. 

På den måde giver du populært sagt medarbejderne syn for (IT)sagen og sikrer, at – hver eneste dag. 

Hvis du mangler inspiration til, hvordan sådanne awareness-plakater kan se ud, har vi hos CyberPilot produceret en række plakater, som du kan se et udpluk af nedenfor. 

Password
persondata

Ønsker du at modtage plakaterne i bedre kvalitet og opløsning, kan du downloade vores e-bog og få adgang til vores plakater her eller blive sendt din vej ved at kontakte os direkte. 

#4 Måling er vejen til fremtidssikring af organisationens IT-sikkerheden

Måling på jeres fremgang - "hvis ikke vi måler, aner vi ikke, hvor vi er..."

Nu er vi endelig nået til det fjerde og øverste trin i pyramiden, der omhandler en meget vigtig del af det samlede arbejde med IT-sikkerhed: Måling af jeres fremgang. 

Vi ser ofte, at man i virksomheder og organisationer implementerer en lang række tiltag uden at gøre sig selv den tjeneste lige at stoppe op en gang imellem og betragte resultaterne af de konkrete tiltag. 

Uden specifikke målinger er det umuligt for jer at vide, hvor I rent faktisk befinder jer lige nu og her – og endnu vigtigere om I er på rette vej. Det drejer sig ikke om, at I nødvendig skal måle på alle aktiviteter og parametre. Det ville være uoverskueligt og ikke konstruktivt. Det handler derimod om at udvælge nogle enkelte og simple mål, som giver bedst mening for jer, og som kan give en god indikation på, om indsatserne går den rigtige vej. 

Uanset hvad jeres behov måtte være, er det vigtigste, at aktivt forholder jer til effekten af de udvalgte tiltag.  

ToBokse

Statistik fra den virkelige verden - IT-sikkerheden er (stadig) udfordret

Selvom vi i dag generelt oplever et øget fokus på IT-sikkerhed og Persondataforordningen inden for erhvervslivet, er der ingen tvivl om, at virksomhederne og organisationerne stadig er voldsomt udfordrede på dette felt. 

Det kan være vanskeligt at sætte eksakte tal på disse udfordringerMen ikke desto mindre har vi hos CyberPilot udarbejdet vores eget lille research-studie, der netop belyser (eller rettere bekræfter) det faktum, at IT-sikkerheden forsat er et sensitivt område inden for erhvervslivet – og særligt på medarbejderniveau.  

På baggrund af en lang række simulerede phishing-angreb mod virksomheder og organisationer tegner nedenstående statistik et tydeligt billede af, at de fleste danske virksomheder stadig er relativt uforberedte i forhold til phishing-angreb. 

PhishingStatistik

Ud af det samlede antal sendte mails blev hele 56% åbnet af medarbejdere, 27% klikkede på et link og 17% opgav deres e-mailadresse og private passwords til uautoriserede kilder. Disse tal er med til at understrege hele denne e-bogs grundlæggende og vigtigste pointe: 

Den største IT-sikkerhedsmæssige risiko er dine medarbejdere – ikke teknikken. 

Derfor er det også netop på medarbejderniveauet, at du i første omgang bør lægge dine kræfter og ressourcer i form af målrettede tiltag, der skal forbedre jeres IT-sikkerhed.  

Kun på den måde kan I etablere et effektiv ”IT-sikkerhedsværn” i organisationen og afværge potentielle angreb.

Konklusion - kom sikkert i mål med træningen af jeres medarbejdere

De 4 steps til opmærksomme medarbejdere

Uanset hvilken grad af IT-sikkerhedsmæssig modenhed din virksomhed afspejler, og uanset om jeres medarbejdere er meget eller mindre opmærksomme på dette område, vil IT-sikkerhed og datahåndtering uden tvivl have stor betydning for jeres hverdag fremadrettet. 

IT-sikkerhed er et område, som er kommet for at blive, og det er et område, som virksomheder og organisationer bliver nødt til at arbejde med aktivt – og kontinuerligtHvis I forsømmer denne indsats, vil jeres arbejdsplads være særligt udsat og sårbar over for IT-kriminelle angreb, og I vil ende i højrisikozonen med hensyn til potentielle bøder, lovovertrædelser og lignende. 

Heldigvis findes der nogle simple tiltagI som virksomhed eller organisation kan tage i brug for at mindske denne risiko. 

denne blog har vi adresseret de indsatsområderder ud fra vores erfaringer har den største effekt og skaber de bedste resultater 

Hvis du ønsker at arbejde videre med træning af jeres medarbejdere, så download vores e-bog her, hvor vi har remlagt en række konkrete redskaber og forskellige typer inspirationsmateriale, der får jer godt i gang (eller videre) med IT-sikkerhedsarbejdet i netop jeres organisation.  

Alt dette kan sammenfattes i følgende fire punkter, der handler om at sikre:

Det gælder ultimativt om at få implementeret alle fire ovenstående steps. Hvis dette lykkes, vil I således være godt på vej i forhold til at skabe den kulturændring, der skal til for at reducere den risiko, som medarbejderne udgør. 

CyberPilot - din personlige sparringspartner på IT-sikkerhed og persondata

Står du og mangler en uvildig og fagligt kompetent sparringspartner og trusted advisor, der kan vejlede og hjælpe dig og dine medarbejdere med at få styrket jeres IT-sikkerhed og persondatahåndtering? Hos CyberPilot har vi den rette løsning – som passer til jer. 

CyberPilot er et specialiseret IT-sikkerhedsfirma, der hjælper både små, mellemstore og store virksomheder og organisationer til effektiv IT-sikkerhed ud fra en stålsat vision om at uddanne medarbejdere i sikker anvendelse af IT på arbejdspladsen. 

Vi har årelang erfaring med vejledning, træning og uddannelse af medarbejdere i IT-sikkerhed og Persondataforordningen (GDPR), og vores specialer tæller blandt andet: 

Vi arbejder altid med udgangspunkt i overbevisningen om, at IT-sikkerhed ikke kun er et spørgsmål om teknik, men i den grad også handler om mennesker og processer. Og dét kan mærkes på vores services og løsninger, der tager udgangspunkt i menneskers adfærd, bevidsthed og viden. 

Vi tilbyder kurser, trænings- og uddannelsesforløb, der er tilpasset dine medarbejderes IT-sikkerhedsmæssige behov, udfordringer og ståsted. Vores træning og materialer er tilrettelagt ud fra ambitionen om at gøre det komplekse fagfelt så konkret, håndterbart og relaterbart for den enkelte medarbejder.  

Kontakt os til en uforpligtende snak om, hvad vi kan gøre for din virksomhed eller organisation. 

Vi ser frem til at høre fra dig. 

RHV_profile

Rasmus Hangaard Vinge
rhv@cyberpilot.dk
Tlf: 71993703

Bliv klogere på IT-sikkerhed og Persondataforordningen

Bliv opdateret når vi udgiver nye artikler