Introduktion til IT-sikkerhedsregler

 In It-sikkerhed

Danmark er et af de mest digitaliserede lande i Europa. Mere end halvdelen af virksomhederne har en ”høj grad eller meget høj grad digitalisering”.

Et udvidet sikkerhedsniveau er samtidig det forventede minimum hos de virksomheder, som anses for at være digitale. Alligevel er der kun 19% af de små- og mellemstore virksomheder i Danmark, der lever op til dette.

Et udvidet sikkerhedsniveau består af grundlæggende organisatoriske og tekniske tiltag. Herunder implementering af risikoanalyse, krav til leverandører vedrørende IT-sikkerhed og databeskyttelse, samt uddannelse og træning af medarbejdere inden for samme områder.

Dine medarbejdere skal være lige så godt rustede mod cyberkriminalitet som dine systemer. Første skridt er derfor at definere et sæt IT-sikkerhedsregler for alle medarbejdere.

De fire vigtigste budskaber at kommunikere til sine medarbejdere:

  1. Vigtigheden af stærke (lange) og unikke kodeord
  2. Opmærksomhed og sund skepsis over for uopfordrede mails fra fremmede
  3. Fokus på ikke at dele personfølsomme oplysninger og andre fortrolige data digitalt (uden kryptering)
  4. Håndtering af cyberkriminalitet (trusler, angreb og nedbrud) i praksis

Hvad er IT-sikkerhedsregler?

IT-sikkerhedsregler er et formuleret regelsæt for intern håndtering af IT-sikkerhed. Det er en praktisk håndbog/opslagsværk, som skal informere medarbejderen om de gældende sikkerhedstiltag og den forventede adfærd.

Sikkerhedsreglerne er forebyggende og skal mindske risikoen for menneskelige fejl. Det er derfor vigtigt at finde ud af, hvad der skal til for at beskytte virksomhedens data og infrastruktur.

Hvad skal et IT-sikkerhedsreglement (som minimum) indeholde?

Sikkerhedsreglementer er forskellige fra organisation til organisation. Der er dog alligevel nogle punkter, som kan inkluderes uanset, hvilken organisationen, der er tale om.

Introduktion
  • Formål og præmis
Best practice
  • Brug din sunde fornuft
  • Adgangskodepolitik
  • Rettidig omhu og ansvar
Dataudveksling og -opbevaring
  • Persondata (GDPR)
  • Juridiske og tekniske tiltag
  • Backup
  • Eksterne databærende medier
    • Eksempler
    • Bortskaffelse
Dataadgang og administration
  • Kontrolleret adgang
  • Administratorkonti
    • I praksis
    • Sikkerheden omkring dem
    • Forholdsregler
  • To-faktor godkendelse
Sikkerhedskopiering
  • Sikkerhedskopiering af lokale filer
  • Rutinemæssig tjek og vedligehold
Internet
  • Brug af internet
  • Privat brug af internet
  • Generelle retningslinjer
  • Gæstenetværk
Emails
  • Privat-mail og firmamail
  • Mailkryptering af følsomme data
  • Phishing og andre former for malware
Mobilt udstyr
  • Koder
  • Netværk
Gæster i huset
  • Brug af gæstenetværk
  • Medbragt IT-udstyr (f.eks. bærbar)

Vi forslår også at man inkluderer sine sikkerhedsregler som bilag i ansættelseskontakten. På den måde bliver nyansatte sat ind i organisationens reglementer fra start, og skriver desuden under på, at de vil overholde reglementet.

Er der nogle af disse punkter, som I ikke allerede har taget stilling til? Brug for hjælp til at komme i gang? Vi står klar til at hjælpe – og tilbyder gerne en uforpligtende snak om IT-sikkerhed.

Blev du klogere?

Seneste artikler