IT-SÄKERHET FÖRETAG
Ökad IT-säkerhet företag: detta behöver ditt företag veta om datasäkerhet
Det har blivit allt viktigare att öka IT-säkerheten i företaget. Digitaliseringen genomsyrar hela vårt samhälle - och förändrar det i grunden. Det är lätt hänt att värdefull information hamnar i fel händer och konsekvenserna kan bli riktigt allvarliga. Att säkerställa en god medvetenhet hos personal är ett, om inte det viktigaste, steg ert företag kan ta för att säkra upp mot intrång och dataförlust.
Genom att anlita Further har vi moderniserat vårt företag. Vi har bättre back-up hantering och använder molntjänster i större grad. Vi har även analyserat och förbättrat våra säkerhetsrutiner.
Björn Henriksson
CEO och Partner, Nordic Interim
Vad är datasäkerhet?
Vi får ofta frågan om vad datasäkerhet är och det är inte så konstigt. IT-säkerhet är något ganska brett. Ibland benämns datasäkerhet som informationssäkerhet och det är faktiskt så. Syftet med IT-säkerhet är att skydda ett företags information vare sig det handlar om affärshemligheter, personuppgifter eller immateriella rättigheter. Denna information kan vara lagrad på olika sätt, antingen i digitala dokument på en server, extern hårdvara (diskar eller USB-stickor etc) eller i molnet.
Varför IT-säkerhet?
Med en ökad digital närvaro ökar även behovet av god IT-säkerhet. Har ni funderat på hur länge ni skulle klara er om ni stod utan IT-tjänster och data? Hur mycket skulle det kosta om ni förlorade tillgång till er data under en timme? En dag? En vecka?
Tyvärr tror bolag ofta att IT-säkerhet är alltför dyrt, tills det är en eftertanke och priset helt plötsligt stiger astronomisk och ni står utan val. Vi på Further kan erbjuda er både utbildning och uppsättning av ramverk för er säkerhet till en bråkdel av vad ett digitalt intrång skulle kosta er.
De som utför dessa cyberattacker ligger inte på latsidan. Gör inte det ni heller! Kom till oss innan någon kommer åt er känsliga information.
Att tänka på kring datasäkerhet
Digitaliseringen ökar i en rasande takt och vi samlar in mer data än någonsin. Det innebär allt högre krav på dataskydd och IT-säkerhet. För att ert företag ska uppnå en säker IT-användning och lagring bör företaget tänka på följande tre punkter:
Människor
Enligt en studie orsakas 90% av alla dataintrång på grund av mänskliga fel och beteenden. Ett företag är bara så säkert som sin svagaste länk. Det är därför viktigt att alla anställda är utbildade inom IT-säkerhet. Vi på Further erbjuder utbildning inom IT-säkerhet för anställda, ägare, styrelse, förtroendevalda och ledning. Det är viktigt att det inte bara är de som arbetar med IT-frågor på företaget som är väl informerade om säkerhetsrutiner och säkerhetsrisker - ALLA på företaget behöver vara tillräckligt informerade.
Att ha god kunskap inom datasäkerhet är även viktigt för att kunna ställa rätt krav på kunder och externa parter.
Processer och rutiner
Att ha processer och rutiner på plats, exempelvis genom en IT-policy, är viktigt för att se till att god datasäkerhet efterlevs. På så sätt vet alla i företaget vad som gäller vid ett eventuellt cyberangrepp. Och, ännu viktigare, alla vet hur dataintrång förhindras genom att följa föreskrifterna.
Kom ihåg att cyberkriminella är mycket motiverade att komma åt ert företags hemliga information. Dessa organisationer sover inte utan arbetar ständigt genom personer, cyberrobotar och utbredda nätverk som delar information. Detta gör ert företags rutiner av yttersta vikt. Ni har inte råd att inte satsa på god IT-säkerhet.
Teknologi
Även teknologin spelar en stor roll för att förhindra dataintrång. Har ni koll på senaste tekniken för att förebygga att just ert företag drabbas av en cyberattack? Tänk på att det inte bara är jobbdatorn som behöver skyddas. Idag arbetar vi mer och mer mobilt, vilket innebär att andra enheter används på ibland osäkra nätverk. Vi på Further använder senaste tekniken och hjälpmedlen för att se till att våra kunder alltid står bäst rustade mot intrång.
Hur säkerhetsmedveten är er organisation?
Det handlar inte bara om Internet och Sociala Medier. Det digitala perspektivet finns med i allt från diskussioner om vården till frågan om hur framtidens arbetsmarknad kommer att påverkas. I en värld där du kan besöka doktorn i mobilen, bli e-medborgare i Estland och kommunicera gränslöst ifrågasätts ständigt gamla strukturer.
Alla – både enskilda personer såväl som företag och organisationer – behöver förstå att det finns krafter som rånar, stjäl och gör inbrott även i den digitala delen av samhället, som allt mer flätas in i den fysiska.
Många företag är medvetna om att det finns en hotbild och investerar stora pengar i tekniska skydd och verktyg som antivirus, brandväggar och intrångsdetektering. Det är naturligtvis viktigt, precis som det är viktigt att lämpliga åtgärder för säkerhetskopiering och katastrofåterställning är på plats. Tyvärr är många insatser kring att förbättra IT-säkerheten fokuserade på tekniken och missar därmed en av de viktigaste delarna; den mänskliga brandväggen.
Intern personal som är utbildad i säkerhetsmedvetenhet kan upptäcka falska e-postmeddelanden och andra försök till bedrägerier. Ett fungerande samspel mellan människor, processer och teknik är nyckel till en säker IT-miljö.
Vad innebär den mobila arbetsplatsen för säkerheten?
Du behöver inte gå speciellt lång tillbaka i tiden för att minnas en tid då du fick släpa med dig fysiska pärmar från arbetsplatsen om du t.ex. hade lust att jobba hemifrån, vilket säkert inte hände så ofta. Då var det fasta arbetsplatser, stationära datorer och fysiska papper i pärmar.
Om någon mot förmodan skulle vilja komma åt företagets data så behövde de hacka servern eller göra inbrott för att fysiskt komma åt pärmarna med information.
Hur ser det ut idag då? Jo mycket har hänt sedan dess och det har gått med rasande takt. Idag har många en smartphone som både används i arbetet och privat. Det innebär att de går omkring med företagskänsligt data (fd. pärmar) i fickan, på kaféer, bussen, Finlandsbåten m.m.
Skydda ert företag mot dataintrång
När en anställd får nyckeln till bolaget förväntar man sig att de ska iaktta aktsamhet kring den, men när det kommer till inloggningsuppgifter försvinner dessa förväntningar många gånger. Sanningen är att de digitala nycklarna ofta är viktigare för ert bolag och ger åtkomst till er känsliga data, inklusive kundregister. Varför godtar vi då att personalen lämnar dem i dörren eller kopierar och använder hos andra företag (jmfr. att använda samma lösenord för olika tjänster med e-postadress som inloggningsnamn och gemensam nämnare)?
Det är viktigt att företag och dess anställda förstår att majoriteten av dagens dataintrång inte längre inriktar sig på de stora bolagen vi ser i nyheterna. Mindre bolag har oftast ingen som kan ha hantera IT-säkerheten vilket medför att de är lättare mål, samtidigt som de lever och dör med sin information.
3 aspekter av IT-säkerhet
Integritet
Enligt Svenska Akademiens ordlista (SAO) innebär integritet okränkbarhet och oberoende. Vad integritet innebär för företag är att ingen utomstående eller obehörig person har tillgång till företagets information på något sätt. Detta är viktigt så att hemlig företagsinformation inte ändras eller sprids vidare utanför företaget.
Konfidentialitet
I företag och organisationer finns det vanligtvis stora mängder konfidentiell information. Det kan handla om personuppgifter, kundavtal och lösenord. Om denna information läcker till allmänheten, konkurrenter eller media kan det få stora konsekvenser för affärsverksamheten. God konfidentialitet är viktigt för att bevara kundernas förtroende och företagets rykte.
Tillgänglighet
Då många idag jobbar digitalt och mobilt, är IT-säkerhet så pass viktigt att det inte kan förbises. Många arbetar hemma på egna nätverk, som inte är lika säkra som företagets. Samtidigt som datasäkerhet är viktig får den inte inskränka på tillgängligheten, den ska inte förhindra de anställda från att ha möjlighet att arbeta från andra platser än kontoret/arbetsplatsen.
Olika typer av cyberattacker
Ordet cyberattack är ett samlingsnamn för olika typer av dataintrång. Det är viktigt att ni på företaget alltid håller er uppdaterade kring vilken typ av cyberkriminalitet som förekommer, på så sätt kan ni vara förberedda och undvika att bli kraftigt skadade av eventuellt intrångsförsök. Låt oss göra en analys av er verksamhet för att ni ska uppnå en större förståelse av vilken typ av skydd ni behöver ha mot skadliga angrepp.
Malware
Malware är en allmän term för program och filer som har som avsikt att tillfoga skada. Exempel på dessa är virus, maskar (worms), spionprogram (spyware) och trojanska hästar.
Phising - nätfiske
Phising, även kallat nätfiske, är ett cyberangrepp med syfte att få dig att lämna känslig och hemlig information. Ett exempel på phising är att du får ett e-mail som ser ut att vara från din bank, där du ombeds att följa en länk för att uppdatera dina inställningar. Det kan också vara att du får e-post om att du glömt att förnya en tjänst som du använder och du uppmanas att snabbt gå in och betala via en länk. Dessa länkar tar dig ofta till en sida som ser ut att vara korrekt, men det är en avbild av den verkliga sidan. Det som kan skilja en nätfiske-sida från den riktiga sidan är ofta stavfel eller konstiga meningar. Ibland är dock dessa sidor så pass väl utformade att bara ett tränat öga skulle se skillnaden. Ett sätt att undvika phising är att se källan för e-mailet och URL:en för landningssidan du hamnat på.
Datavirus
Ett datavirus är ett dataintrång som placerar en skadlig kod i bakgrunden av olika system. Precis som med ett mänskligt virus har dessa virus som huvudsakliga uppgift att duplicera sig och sprida sig så mycket som möjligt, utan att upptäckas. Detta sker vanligtvis genom att viruset fäster sig på olika typer av filer som delas i organisationen.
Worm - mask
En worm, eller mask på svenska, är liknade ett virus med den stora skillnaden att de är mycket mer sofistikerade. Dessa ormar behöver exempelvis inte fästa sig i en fil för att lyckas sprida sig till andra datorer och enheter på nätverket.
Trojansk häst "trojan"
En trojan, eller en trojansk häst när det kommer till cyberangrepp, är en applikation eller programvara som utför skadliga aktiviteter när de används. Det kan vara olika typer av program som laddas ner med syfte att utföra en uppgift men som i själva verket gör något annat. Det är oerhört viktigt att förebygga detta och det bästa sättet är att ha en tydlig IT-policy, där det regleras vilka typer av program som får användas och hur dessa laddas ner.
Ransomware
Ransomware är en form av utpressning, där filer och program låses på datorn och blir tagen som gisslan tills dess att företaget betalat en lösensumma. Denna form av cyberangrepp är den som växt allra snabbast de senaste åren. Ett känt exempel på detta är programmet WannaCry som tros ha utpressat företag och organisationer på mellan 1-4 miljarder dollar världen över.
Spyware
Spyware är ett spionprogram som installerar sig själv på datorn och som sedan i hemlighet övervakar aktiviteten. Ibland skickas denna information tillbaka till användaren i ett utpressningsmail.
DDos-angrepp (distributed denial-of-service)
DDos-angrepp är en cyberattack med syfte att överbelasta företagets hemsida genom att skicka stora mängder trafik och på så sätt överbelasta servrarna. Detta kan få oerhörda konsekvenser för stora företag, som beräknas förlora runt två miljoner dollar i snitt per DDos-angrepp.
Några sätt att skydda sig mot dataangrepp
Nedan har vi samlat en lista med värdefulla tips för att undvika att bli utsatt för en cyberattack.
- Utbilda alla anställda och berörda i god IT-säkerhet. (Se Furthers utbildningsprogram i IT-säkerhet)
- Upprätta en IT-policy för att säkerställa goda rutiner. (Vi hjälper er gärna ta fram en IT-policy)
- Investera i bra digital infrastruktur som främjar datasäkerheten på företaget/i organisationen.
- Se till att teknologin för datasäkerhet är uppdaterad. Detta gäller både hårdvara och mjukvara.
- Gör en säkerhetsanalys för att kartlägga och vikta riskerna med olika typer av dataangrepp. (Läs mer om hur vi kan hjälpa er på sidan: säkerhetsanalys IT)
- Se till att informationssäkerhet är en del av er IT-infrastruktur.
- Se över era molntjänster och säkerheten kring dessa. Vissa lagrar data i USA och kan i värsta fall lämna ut viktig information och företagshemligheter.
- Se över er brandvägg - är den rätt för er och ger den bra skydd? Låt oss hjälpa er utvärdera detta.
- Se till att ha rutiner för att regelbundet byta användarnas lösenord. Lösenord bör dessutom ha krav på sig att inte vara för simpla. Självfallet får inte lösenord förvaras på sådant sätt att någon obehörig kan komma åt det.
- Vilken back-up har ni? Är den tillräcklig och tillräckligt regelbunden? Further hjälper er gärna med detta.
- Säkerhetsrutiner bör regleras. Finns dessa i er IT-policy? Exempelvis vem som har tillgång till information och vem som får installera nya programvara.
- Görs det regelbundna säkerhetstester? Ett exempel är ett penetrationstest, där ett fejkat angrepp iscensätts för att se hur användarna beter sig.
Hackad? Nätfiske och läckta lösenord allt vanligare
Nätfiske och utnyttjande av lösenordsslarv är två av de vanligaste attackvägarna mot företag. Flerfaktorsautentisering är därför en av de viktigare säkerhetsinvesteringarna ni kan göra för att säkra upp era digitala identiteter och inloggningar.
Så när vi pratar säkra inloggningar så menar vi ägarskap, ärftlighet och kännedom. Många använder en eller flera varje dag men kopplar det inte till orden, eller att det faktiskt går att använda för att skydda sitt företagskonto.
Säkra lösenord
Tänk på hur ni loggar in på er dator eller e-posten där vi alla har ett lösenord likt "qwertyu","123456" eller det tredje vanligaste lösenordet i Sverige 2017 - "kn*lla" - personers dåliga beteenden kommer ofta när de upplever att ingen ser och lösenord slarvas det tyvärr med.
Lösenord är "Kännedom", vi vet vilket lösenord vi har till vårt konto men man kan även använda sig av "Ärftlighet" genom fingeravtryck eller ansiktsigenkänning. Flera av er använder det redan idag till t.ex er mobil. Har man både lösenord som krav och fingeravtryck använder man tvåfaktorautentisering - 2FA. Lösenordet är din kännedom och fingeravtrycket är ärftlighet.
"Ägarskap" fungerar likt din hemnyckel att du måste ha den fysiskt för att kunna komma in. Mobilen fungerar likadant genom att den skickar kod eller frågar dig om du får logga in där du precis slog in ditt lösenord. Har personen med kännedom om ditt lösenord inte tillgång till t ex din telefon så kommer attacken inte vidare, precis som att personen inte kommer genom din dörr utan en nyckel även om hen har kännedom vart den finns.
Flerfaktorsautentisering / multifaktorsautentisering/ tvåfaktorautentisering
Hur kan man då säkra upp företagets identiteter, inloggningar och data? Med Microsoft Enterprise Mobility+Security kan du enkelt slå på tvåfaktorautentisering likt Bank-id, samt begränsa möjligheterna att förflytta data mellan företags-appar och privata-appar.
Skulle ni vilja komma igång med utökad säkerhet genom tvåfaktorautentisering så kan vi hjälpa er, vi rådgör då även kring vilken kombination av faktorer som är bäst för er. Vi rekommenderar många att börja med att kika på en lösning som använder Kännedom & Ägarskap, där era användare har kvar sina lösenord kombinerat med en app på sin telefon där de måste godkänna inloggningar.
Men fy vad jobbigt, måste jag godkänna varje gång jag ska logga in överallt, det låter som vi kommer förlora arbetstid!
Kommentaren ovan är en vanlig reaktionen vi får, och det är fullt förståeligt. Men det går att undvika om ni sätter upp er lösning rätt. Ni kan t ex lägga in godkända enheter (Ägarskap) eller platser (Kännedom) där ni slipper godkänna inloggningar om ni är på företagets dator eller plats t.ex. ert kontor. Då används de tillsammans med lösenordet som godkännande och er inloggning blir automagiskt godkänd, men ses fortfarande som säker.
Vi erbjuder anpassade lösningar för inloggningar, läs vidare här om hur vi kan hjälpa er skydda ert företags känsliga data.
Konsekvenserna av dataintrång
Risken för dataintrång blir allt vanligare och konsekvenserna av en cyberattack kan vara förödande. Det uppskattas att cyberkriminalitet kostar över 600 miljarder dollar varje år. Enligt en rapport från PWC 2021, där danska och norska företagsledare blev intervjuade, framkom följande:
- Nästan hälften har blivit utsatta för bedrägerier under det senaste året (VD-bedrägeri, kreditkortsbedrägerier och manipulerade banktransaktioner).
- Sju av tio företag har upplevt nätfiske.
- Två av tio räknar med att investera 26-50 procent mer i cybersäkerhet under de kommande tolv månaderna.
- Sju av tio upplever att organiserad cyberkriminalitet är det största hotet.
- Nästan sex av tio säger att de är mer oroade över cyberhot i dag än för ett år sedan.
Konsekvenserna av att inte investera i IT-säkerhet
Alla företag har hemlig och känslig information som inte bör läcka ut. Det kan handla om allt från lösenord till personuppgifter i form av anställningsavtal. Om personuppgifter läckt har företaget skyldighet att inom 72 timmar rapportera detta till Integritetsskyddsmyndigheten. Om det inte görs riskerar företaget dryga böter. Böterna är dock inte det mest skrämmande med en cyberattack, läckt företagsinformation kan få förödande konsekvenser. Det kan i värsta fall leda till att kunder och anställda väljer att lämna. Har ditt företag råd med det?
Förutom de större konsekvenserna kan ett driftstopp bli oerhört dyrt för företaget. För att inte tala om vad ett ransomeware kan kosta. Företag blir årligen pressade på att betala miljonbelopp i lösensummor. Alla dessa problem kan i slutändan förgöra företaget. Har ni verkligen råd att chansa när det gäller IT-säkerhet? Låt oss hjälpa er med att rusta upp ert skydd mot cyberangrepp.
Alla ska med
Vi på Further har god erfarenhet av utbildningar och workshops i IT-säkerhet och kan skräddarsy material för just er verksamhet. Vi hjälper er att ta fram en IT-säkerhetspolicy och säkerställer att era anställda blir medvetna om de risker som uppstår när policyn inte följs. Vi kan IT-säkerhet för företag.
Furthers säkerthetspaket Modern Cloud Security Package innehåller det absolut viktigaste för ökad trygghet för er och era anställda. Följande ingår:
- Dataförlustskydd - skydda organisationens data och förhindra att de delas. Tex Personnummer, passnummer, kreditkortsnummer.
- Diskkryptering - Möjligheten att tillämpa kryptering på alla Windows-enheter som skydd mot informationsstöld eller exponering om en enhet går förlorad eller blir stulen (Bitlocker)
- Informationsskydd - Kontrollera och skydda e-postmeddelanden, dokument och känsliga data som du delar utanför ditt företag. Innehåller funktioner för enkel klassificering och inbäddade etiketter och behörigheter och ger ett förbättrat dataskydd, oavsett var din data lagras och vem de delas med.
- Krypterad e-post - Minska risken för att information avslöjas av misstag genom att kryptera och rättighetsskydda e-postmeddelanden som skickas inom och utanför organisationen.
Risk- och säkerhetsanalys IT – vi hjälper er att skydda verksamheten mot cyberangrepp
Digitaliseringen innebär många bra möjligheter för företag och organisationer att effektivisera sin verksamhet. Men, den innebär också en uppenbar risk, i och med att man gör information tillgänglig för eventuella inkräktare.
Som företag bör man alltid göra en risk- och säkerhetsanalys av sin IT-organisation. På så sätt får man en bra grund för att arbeta vidare med sitt säkerhetsarbete och man skapar en bra bas för fortsatt digitalisering.
Vad är skyddsvärden?
Skyddsvärden inom säkerhetsanalys är sådant som är skyddsvärd information. Det kan exempelvis vara ett kundregister, ritningar, strategiska dokument, osv. Sådan information, som om den hade hamnat i orätta händer, hade kunnat skada verksamheten allvarligt. Vid en säkerhetsanalys är det viktigt att ta dessa skyddsvärden i beaktande när man gör avvägningar gällande risk och besparingar i samband med digitalisering.
Säkerhetsanalys mall
Här följer nu en enkel mall med de steg vi använder när vi gör en säkerhetsanalys.
- Intervjuer - först måste man bilda sig en uppfattning om verksamheten
- Värdekedjan - hur ser den ut och vad finns det för skyddsvärden?
- Hinder - identifiera vilka hinder som finns för fortsatt digitalisering
- Risker - vilka områden är mest sårbara om någonting går fel?
- Säkerhetsmognad - hur kunnig är personalen kring IT-säkerhet, osv?
Hela detta arbete mynnar sedan ut i en rapport som presenteras för dig som kund. Där får ni konkreta tips och förslag på vad nästa steg bör vara i ert digitaliseringsarbete. Vi tittar på flera aspekter och gör avvägningar med hänsyn till besparingspotential och risker.
Låt oss hjälpa er med företagets IT-säkerhet
Kontakta oss idag för att få hjälp med att forma en strategi kring er IT-säkerhet och för att planera för företagets digitala utveckling.
Kontakta skribent
Niklas Bendelius
Medgrundare till Further och koncernansvarig. Strategisk rådgivare och konsult med lång erfarenhet av effektiviseringslösningar, processer och automation. Niklas fokuserar speciellt på IT, informationssystem och cybersäkerhet inom Life Science-området med flera uppdrag som IT-ansvarig för mindre och medelstora Biotech-företag.
Behöver du hjälp med IT-säkerhet för företag?
Vi kan hjälpa er med allt från säkerhetsanalys till utbildning av personal!
ARTIKLAR