Hvorfor afviser nogle virksomheder IT angreb gang på gang?

Hvad gør de rigtigt omkring IT sikkerhed?

Handler IT sikkerhed altid om penge?   “Jo dyrere – jo flere uforståelige forkortelser – jo mere avanceret  – jo bedre”.

Dette kunne godt være IT sikkerhedsbranchen ordsprog. Men hvorfor er det de største virksomheder, med de største budgetter og  IT afdelinger med dedikerede it-sikkerhedsfolk, der til stadighed bliver ofre for angreb?

Måske handler det ikke altid om penge, og at investere i det nyeste. De virksomheder der afviser IT angreb gang på gang, har styr på helt grundlæggende ting.

Forklaringen er:

Hvorfor? 

Når ens medarbejdere pludselig ikke kan arbejde, fordi virksomhedens systemer ikke er tilgængelige, så kontakter man sin IT leverandør. Han kommer glad og fortæller om fantastisk software, der løser lige netop dit problem. I mange tilfælde resulterer det i, at du køber produktet, og har en forventninger om at NU ER DU SIKKER!

Men virksomheden bliver stadig angrebet, og spørger man sælgeren, så er svaret, at angriberne jo hele tiden finder på nye metoder. Derfor er du nødt til igen at investere i et nyt stykke software, som beskytter mod den nye trussel. Sådan går livet videre både for virksomheden og IT leverandøren.

Det er sandt, at hackere hele tiden udvikler deres angrebsmetoder. Men min erfaring er, at nogle virksomheder aldrig inficeres. Hvad kan det skyldes?

Hvad er årsagen?

– Sund IT kultur

Brugere må ikke bare trykke ukritisk på alt! De skal lære en grundlæggende IT kultur allerede ved ansættelsen, og grundigt introduceres til firmaets IT sikkerheds politik.

Ikke kun via en fin 200 siders udleveret mappe, men praktisk gennemgang af konkrete eksempler på hvordan man skal forholde sig.  Firmaets IT politik skal efterleves 100%, og det er medarbejdernes ansvar at sikre dette. Ved afvigelser skal nærmeste leder omgående informeres.

Der er beskrevne processer for, hvordan en medarbejder skal forholde sig, hvis hans enhed kan være inficeret.  Den beskrevne IT politik gives til medarbejderen, der underskriver et dokument om at man er enig og har forstået budskabet.

Ledelsen i virksomheden skal gå foran, skal have det som et punkt på fællesmøder,  fortælle om mistænkelige events, og afholde awareness træning omkring IT sikkerhed. Her kan man  også tilføje viden om sikkerhed, som medarbejderen kan bruge privat.

– Styr på rettigheder

  • Brugerne har ikke administrative rettigheder på deres PC’er
  • Der er styr på hvem har adgang til hvad på virksomhedens systemer
  • Der er styr på passwords og værktøjer

Brugerne skal have værktøjer til at styre brugernavn og password, så de ikke bruger det samme password igen og igen. Løbende systemtilpasning efter brugernes behov.

Man skal være åben overfor de ansattes forslag til, hvordan man optimerer sine systemer. Derved undgår virksomheden, at brugerne finder egne måder at behandle data på. F.eks. at  sende en email hjem til sin private konto, fordi det virker svært at arbejde hjemmefra med firmaets systemer. IT afdelingen skal understøtte og supportere forretningen og brugerne i en positiv ånd.

– Undgå panik reaktioner

Du skal ikke bare panisk indkøbe ny software, som en ivrig IT leverandør forsøger at sælge dig.

Benyt dig af uvildig ekspert bistand, og få årsagen og det reelle problem belyst. Find herefter tilpassede løsninger, som bestemt ikke altid er at indkøbe flere sikkerheds produkter, der aldrig bliver fuldstændig implementeret.

Ofte har man en sikkerheds organisation, som består af både sikkerheds folk og brugere fra organisationen, så alle høres ved nye sikkerhedstiltag.

Dette er blot enkelte eksempler fra de virksomheder jeg har mødt, og som altid har skilt sig ud fra mængden, med måden de håndterer IT sikkerhed på.

Hvem er Ole Schmitto?

Jeg har været i IT sikkerhedsbranchen i mere end 30 år, som ejer af Tempest A/S og eSec Managed Security. Jeg har nu Schmitto A/S , som rådgiver virksomheder om IT sikkerhed, for at opnå større udbytte i forhold til sikkerheds investeringen.

Du er velkommen til at forbinde dig med mig på Linkedin eller følge mig på Twitter