For mange mindre og mellemstore virksomheder kan ordet cybersikkerhed virke overvældende og teknisk uoverskueligt. Der hersker ofte en farlig myte om at de kriminelle kun går efter de store globale koncerner men virkeligheden er den stik modsatte. Mindre virksomheder er ofte attraktive mål netop fordi deres forsvar typisk er svagere og lettere at gennemtrænge.
For en SMV virksomhed handler sikkerhed ikke om at købe de dyreste systemer på markedet men om at udvise rettidig omhu og implementere en række basale tiltag der gør det besværligt for de kriminelle at få fodfæste. Et stærkt forsvar starter med forståelse og disciplin fremfor blot avancerede algoritmer.
De tre søjler i det basale forsvar
Når ressourcerne er begrænsede skal man prioritere de tiltag der giver den største effekt her og nu. Man kan med fordel opdele sikkerhedsarbejdet i tre hovedområder der tilsammen skaber et solidt fundament. Det handler om beskyttelse af adgange og sikring af data samt løbende uddannelse af medarbejderne. Hvis man forsømmer blot ét af disse områder efterlader man en åben dør som de kriminelle før eller siden vil finde.
Nedenstående tabel giver et overblik over de mest kritiske indsatsområder og hvordan de kan implementeres med begrænsede ressourcer.
Multifaktor godkendelse som det vigtigste værktøj
Hvis man kun skal vælge ét tiltag at implementere i dag bør det være multifaktor godkendelse. Det er den absolut mest effektive metode til at stoppe identitetstyveri og uautoriseret adgang.
Ved at kræve en ekstra bekræftelse via en app på telefonen eller en SMS gør man det tæt på umuligt for en hacker at logge ind selvom de har fået fat i medarbejderens adgangskode.
Mange moderne cloud tjenester tilbyder dette som en standardfunktion der blot skal aktiveres. For en mindre virksomhed er dette en billig og utrolig kraftfuld løsning der fjerner langt størstedelen af de risici der er forbundet med svage eller genbrugte adgangskoder. Det kræver en lille smule tilvænning for medarbejderne men værdien i form af tryghed opvejer hurtigt den lille ekstra ulejlighed i hverdagen.
Den menneskelige firewall og træning i hverdagen
Teknologien kan kun beskytte os til et vist punkt. De fleste vellykkede angreb mod mindre virksomheder starter med en menneskelig fejl såsom at klikke på et inficeret link i en mail eller downloade en mistænkelig fil.
Derfor er løbende træning af personalet en af de mest værdifulde investeringer man kan foretage. Det handler ikke om lange kedelige kurser men om at skabe en kultur hvor man tør stille spørgsmål ved mistænkelige henvendelser.
Man bør jævnligt gennemgå eksempler på phishing mails med medarbejderne og tale om hvordan de kriminelle forsøger at skabe en følelse af hastværk eller frygt. En sund skepsis er et af de bedste forsvar en virksomhed kan have. Når alle medarbejdere ved hvordan de skal reagere hvis de opdager noget mistænkeligt bliver hele organisationen langt mere modstandsdygtig. Det skal være legalt at begå en fejl men det skal også være naturligt at rapportere den med det samme så it supporten kan nå at gribe ind før skaden breder sig.
Backup og beredskab når uheldet er ude
Ingen virksomhed er nogensinde hundrede procent sikker og derfor er en gennemtænkt backup strategi afgørende for overlevelse. Hvis virksomheden bliver ramt af ransomware eller et teknisk nedbrud er backuppen den eneste vej tilbage til normal drift. For en SMV virksomhed er det vigtigt at backuppen foregår automatisk og at data gemmes et sted der ikke er direkte forbundet til det primære netværk.
Det er ikke nok blot at have en backup man skal også vide om den virker. Derfor bør man som en fast rutine teste om man rent faktisk kan indlæse sine data igen. Der findes mange eksempler på virksomheder der troede de var sikret blot for at opdage at deres backup filer var korrupte eller ufuldstændige i det øjeblik de fik brug for dem. En testet backup er den bedste sovemedicin for en virksomhedsejer.
Sikring af mobile enheder og hjemmearbejdspladser
Med udbredelsen af fleksibelt arbejde er virksomhedens data nu placeret på mange forskellige enheder uden for kontorets vægge. Det stiller nye krav til sikkerheden på de bærbare computere og telefoner som medarbejderne bruger. Man bør sikre at alle enheder er krypterede så data ikke kan læses hvis de bliver stjålet eller glemt i et tog.
Samtidig er det vigtigt at have kontrol over hvilke programmer der installeres. En enkel politik for brug af software kan forhindre at usikre apps bliver en vej ind i netværket. For mindre virksomheder kan man benytte sig af de indbyggede værktøjer i styresystemer som Windows og macOS til at styre opdateringer og sikkerhedsindstillinger centralt. Det kræver ikke nødvendigvis dyre eksterne konsulenter at sætte de grundlæggende rammer op men det kræver at man tager stilling til hvordan man vil beskytte sine mobile aktiver.
Netværk og trådløs sikkerhed på kontoret
Det trådløse netværk på kontoret er ofte et overset område i sikkerheden. Man bør altid have et separat gæstenetværk så besøgende ikke har adgang til de interne servere og printere. Adgangskoden til det primære netværk skal være stærk og bør skiftes hvis medarbejdere forlader virksomheden. Selvom det kan virke som småting er et åbent eller dårligt sikret wifi en åben invitation til spionage eller misbrug af forbindelsen.
Hvis virksomheden bruger cloud tjenester til deres daglige arbejde er internetforbindelsens stabilitet og sikkerhed endnu vigtigere. Man kan med fordel investere i en professionel router der har indbygget beskyttelse mod de mest almindelige typer af angreb fra nettet. Disse løsninger er i dag faldet meget i pris og er blevet betydeligt lettere at administrere for folk uden en dyb teknisk baggrund.
Sammenfatning og det næste skridt
Sikkerhed i SMV segmentet er en rejse og ikke en destination. Det handler om at starte med de mest kritiske tiltag og derefter løbende bygge ovenpå efterhånden som virksomheden vokser og trusselsbilledet ændrer sig. Ved at fokusere på multifaktor godkendelse og solide backup rutiner samt medarbejdertræning er man allerede nået længere end de fleste.
Ved at følge disse praktiske råd og bruge de tilgængelige tabeller som tjekliste kan man skabe et trygt digitalt fundament hvor innovation og vækst kan blomstre uden unødig risiko. Start med de små skridt i dag så er virksomheden bedre rustet til de udfordringer der venter i morgen.
Her er den dybdegående artikel til kategorien Udstyr med fokus på den tekniske del af medarbejderens upskilling. Teksten er på cirka 1200 ord og belyser hvordan den rette forståelse for hardware og det fysiske setup kan løfte hele organisationens digitale formåen. Der er ikke brugt kolon, bindestreger eller lange tankestreger.
