Blog: 5 regler for it-sikkerhed

Din virksomheds it-sikkerhed er aldrig bedre end det svageste led – nemlig medarbejderne. Her er fem regler, de ansatte SKAL overholde, hvis du vil undgå phishing, ransomware og virus.

IT-sikkerhed

Du beskytter din virksomheds netværk og data, som var det dit eget barn. Alle antivirusprodukter holdes konstant opdateret, både servere og arbejdsstationer har fået de seneste patches, og selv den kinesiske mur har flere huller end din Firewall.

Alligevel sover du ikke altid roligt om natten. Igen og igen kører der en film for dit indre blik. En medarbejder modtager en e-mail fra en tilsyneladende troværdig afsender. I mailen er der vedhæftet en fil, som er navngivet noget med "timerapport", og du ser – som i slowmotion – hvordan medarbejderen med musen bevæger cursoren over mod filen og skal til at klikke … "HUSK NU SIKKERHEDSPOLITIKKEN" råber du og vågner badet i sved for tredje gang denne måned.

Nu må det være nok, tænker du. Det er på tide at indskærpe de vigtigste sikkerhedsforskrifter for medarbejderne – og det på en måde, der er til at forstå for alle, så du igen kan komme til at sove godt om natten.

Og for at du ikke skal opfinde den dybe tallerken, har vi her samlet de fem vigtigste regler for medarbejdere, som de må og skal overholde, når de sidder foran arbejdsstationen og i øvrigt færdes rundt om i virksomhedens it-systemer:

1) Pas på links og vedhæftede filer
Langt de fleste hackerangreb, om det er i form af identitetstyveri, phishing, ransomware eller virus, sker, fordi nogen klikkede på den forkerte vedhæftede fil – eller på et link til den forkerte webside. Derfor er det regel nummer 1, at man aldrig, aldrig, aldrig skal åbne vedhæftede filer og heller ikke klikke på links sendt pr. e-mail fra ukendte afsendere. Samme regel gælder, hvis mailen tilsyneladende er sendt fra en kendt afsender, men man ikke regnede med at modtage den. Kun filer og links modtaget fra kendte afsendere efter forudgående aftale kan man risikere at åbne. Ellers hold nallerne væk!

2) Lås skærmen
Forlader man sin arbejdsplads og sin computer – selvom det bare er for et øjeblik – så lås skærmen. Sørg for, at man skal bruge et kodeord for igen at få adgang til computeren. Vi siger ikke, at man ikke skal stole på sine kolleger, men der kan komme andre mennesker i huset end lige medarbejderne, og en forladt og pivåben computer er en sikkerhedskatastrofe, der venter på at ske!

3) Ingen porno
… eller det, der ligner. Sig til medarbejderne, at både deres chef og deres mor skal kunne tåle at se deres browserhistorie. "Spændende" websider med erotiske billeder, datingsider, gamblingsider og lignende hører hjemme på privat-pc'en og ikke arbejdsstationen. Den slags websteder vrimler med virus, trojanere, spyware og det, der er værre, så medarbejderne har bare at holde sig fra dem i arbejdstiden.

4) Ingen piratkopier
… eller nogen andre downloads, som it-afdelingen ikke har godkendt på forhånd. Det er ikke kun mor og chefen, som skal kunne tåle at kigge på medarbejderens pc uden at få røde kinder. En betjent fra Rigspolitiets Nationale Cyber Crime Center skulle helst også kunne tåle at kigge nærmere på computeren uden at få kløe i håndjernene. Selvsagt er ulovligt materiale som piratkopier og den slags helt og aldeles bandlyst, men også gratis software fra internettet skal medarbejderne holde sig fra, da der nemt kan smutte små "overraskelser" med ned på computeren, når man downloader den slags.

5) Kun kendte enheder
Finder man en USB-nøgle på parkeringspladsen foran arbejdet, eller har man lånt en ekstern harddisk fyldt med gode film af en kammerat, skal man holde begge dele – og i det hele taget alle slags ukendte lagringsmedier og andre typer af elektroniske enheder, der kan forbindes med en computer – meget langt væk fra sin arbejdsstation.

Husk de personfølsomme oplysninger
Ovenstående råd er langt fra fyldestgørende, men de er lige til at printe ud og fordele, og de er nemme at huske for selv de mest sjuskede medarbejdere. Kan man undgå sikkerhedsbrister af den type, vi taler om her, er man faktisk nået langt i retning af beskytte sig mod angreb udefra. Og den it-chef, som ved, at kollegerne bare har styr på de basale ting, kan være sikker på at få en bedre nattesøvn.

Det er i øvrigt værd at nævne, at der efter ikrafttrædelsen af EU's persondataforordning den 25. maj 2018 gælder skærpede regler for, hvordan personfølsomme data håndteres. Det betyder bl.a. højere sanktioner ved evt. sikkerhedsbrister, så der er mere end nattesøvnen på spil, når huller i datasikkerheden skal stoppes. Derfor bør adfærdsreglerne gælde for alle de sammenhænge, hvor personfølsomme data er i brug – og ikke blot reduceres til brugen af it-systemet.