Med enkle grep og kunnskap øker du raskt virksomhetens datasikkerhet – i samarbeid med de ansatte og virksomhetens IT-partner. Her er våre beste råd for en sikker arbeidsplass!
I takt med at de kriminelle blir smartere, må også norske bedrifter styrke IT-sikkerheten. Det nytter ikke å være naiv og tro at det ikke kan skje din bedrift.
Et skremmende eksempel er Skatteetaten, som blir utsatt for 100.000 dataangrep hver dag. Heldigvis er det sjeldent noen klarer å bryte igjennom sikkerheten, men det finnes flere eksempler på store bedrifter som har tapt milliarder av kroner etter et angrep.
Konsekvensen er at de største virksomhetene har investert store summer i datasikkerhet de siste årene – og på den måten gjort de små og mellomstore bedriftene, der sikkerheten ofte er lavere, til ettertraktede mål.
To-faktor-autentisering – helt nødvendig
Mange bedrifter er ikke klar over hvilke sikkerhetsfunksjoner og løsninger de allerede har tilgjengelig. – Ofte er alt som trengs for styrke sikkerheten å «skru på» eller konfigurere funksjoner som du enten allerede betaler for eller som er inkludert i IT-løsningen din, forklarer sikkerhetsleder Raymond Utsi i Serit Tromsø.
– Det viktigste en bedrift kan ta i bruk er to-faktor-autentisering. Med to-faktor-autentisering krever man en ekstra verifisering i form av en app, melding eller oppringing før man kan logge inn i sårbare systemer, forklarer Utsi og legger til:
– Veldig mange vellykkede dataangrep kunne vært unngått om bedriften hadde benyttet seg av to-faktor-autentisering. Det er lett å slå på, men Serit kan selvfølgelig bistå hvis det trengs.
For at to-faktor-autentisering skal fungere optimalt er det viktig å huske å deaktivere gamle påloggingsmetoder, blokkere eldre protokoller som ikke støtter to-faktor – for eksempel ActiveSync for å motta e-post på mobiltelefonen. Da må brukerne heller bytte til en e-post-app som støtter to-faktor.
Enkle grep for å forbedre sikkerheten
Mange av Serit sine kunder benytter Microsoft 365, med blant annet programmene Word, Outlook og OneDrive, hvor de enkelt har tilgang på to-faktor-autentisering. Det finnes også mange andre enkle grep bedrifter kan ta, og mange av disse er også tilgjengelige i Microsoft 365:
Geolokalisering – Blokkerer pålogging fra andre land. Praktisk hvis de ansatte for det meste befinner seg innenfor ett geografisk område, for eksempel Skandinavia. Skal en ansatt på reise kan en administrator sette opp et unntak eller benytte en VPN-tjeneste. Mange bedrifter har en brannmur med god VPN-støtte som de ikke benytter seg av.
ATP – Advanced Threat Protection gir ekstra beskyttelse mot phishing og skadevare i filer og e-post. ATP har også en avansert klikk-beskyttelse som ikke bare sjekker om lenker er trygge når de ankommer innboksen, men også i det man trykker på den. Dette er en tilleggsbeskyttelse bedrifter kan kjøpe i Microsoft 365.
Sikkerhetskonsoll – I Microsoft 365 finnes det en ferdig aktivert, innebygd sikkerhetskonsoll som det bare er å ta i bruk.
E-postkryptering – E-post er i utgangspunktet en usikret protokoll. Bruker du Microsoft 365 meldingskryptering vil man sikre kommunikasjonen, og det er mindre sannsynlighet for at sensitiv informasjon havner på avveie.
Back-up – Kommer inntrengerne seg gjennom forsvarsverkene og for eksempel korrumperer eller låser data, er du nødt til å ha back-up av e-post og filer. Dette er ikke automatisert i Microsoft 365, og bedrifter må sørge for dette selv – eller få hjelp av en av Serit sine konsulenter.
Oppdateringer – Slutt å trykk på «skip this time». Et oppdatert system er et sikrere system.
Passord – Det gamle mantraet om unike passord med vilkårlige små og store bokstaver, tall og spesialtegn er utdatert. Det viktigste er å bruke lange passord, gjerne en setning du enkelt husker. Lag en liten variasjon for hver konto. For eksempel «Jeg lager middag til Facebook», og «Jeg lager middag til M365». Dette er lange passord du enkelt husker, men som er svært vanskelig å knekke.
«Veldig mange vellykkede dataangrep kunne være unngått om bedriften hadde benyttet seg av to-faktor-autentisering»
– Raymond Utsi, Sikkerhetsleder i Serit Tromsø
Den største risikofaktoren: Mennesket
Den største risikofaktoren for bedriften knyttet til IT-sikkerhet, er de ansatte. I følge PwC sin rapport om cybersikkerhet fra 2019 rammes 7 av 10 virksomheter av dataangrep – og hele 64 prosent av disse skyldes menneskelige feil.
Men det betyr også at kunnskapsrike ansatte som er opptatt av datasikkerhet, er det beste forsvarsverket du kan ha.
– Uansett hvor mange tekniske løsninger du har, har du også ansatte, og de kan gjøre feil. Det er menneskelig å gjøre feil og å ønske å «gjøre det på den lette måten». Derfor er opplæring av ansatte en ekstremt viktig del av et godt sikkerhetsarbeid, forklarer Utsi.
Opplæringen må skje kontinuerlig og være grundig. Det hjelper ikke å ha en god sikkerhetsstrategi hvis de ansatte ikke forstår den. De må vite hva de skal gjøre, hva de ikke skal gjøre, hvordan de skal oppføre seg på reise og på hjemmekontor. Spesielt er det viktig med opplæring rundt bruk av e-post, det er der flest angrep i dag skjer.
– E-post-angrep er enormt effektivt; istedenfor å bryte seg gjennom sikkerhetsmurene banker de kriminelle bare på døren – og blir veldig ofte sluppet inn, sier Utsi.
Med god opplæring av ansatte kan du gjøre dem til ditt fremste forsvar mot digitale trusler, og ikke ditt svakeste punkt. Det viktigste er å skape en trygg sikkerhetskultur hvor ansatte ikke er redde for å spørre om hjelp hvis de blir usikre eller noe virker mistenkelig.