Cyberangreppen fortsätter att öka markant och de blir mer och mer avancerade och omfattande. I takt med att angreppen blir allt mer komplexa är förebyggande åtgärder nödvändigt för företagets säkerhet. Säkerheten inom företaget är helt avgörande i företagets strategiska DNA och dess framtid.
Att hålla företags säkerhet på en god och trygg nivå kan kosta men det riskerar att bli ännu dyrare om det bortprioriteras!
Det är inte bara volymen av angrepp som ökat utan cyberbrottslingarna har även blivit mer sofistikerade. Digitalisering driver förändring och med den ökade hotbilden måste alla företag alltid vara förberedda.
Cybersäkerhet har varit på agendan i flera år men varför är det så viktigt egentligen?
Det handlar i grunden om att säkerställa företagets överlevnad och förmåga till vidareutveckling. Precis som du låser dörren för att förhindra att tjuvar tar sig in och stjäl värdefulla ägodelar, måste ni också säkra verksamheten mot cyberbrottslingar.
En allvarlig konsekvens av angreppen kan vara att företagets verksamhet sätts ur drift under en tid och vill det sig riktigt illa så kan det gå så långt att företaget går i konkurs.
Genom att prioritera säkerhet lägger ni grunden för företagets fortsatta tillväxt.
En ansvarsfråga
Cyberattacker kan drabba alla, både i den privata sektorn och i den offentliga sektorn. Alla företag, oavsett storlek, är därför väl betjänta av att ha säkerheten under kontroll.
Angreppen slår ofta hårdast mot små och medelstora företag och där ser vi tyvärr också att cybersäkerhet inte alltid är ett prioriterat område och många företag saknar både resurser och kunskap för att kunna hålla en god säkerhetsnivå.
Hugo Løvhøiden Klemmestad, CISO på ECIT, berättar att det generellt finns ett missförstånd i ansvaret om cybersäkerhet på företag. Många ledningsgrupper lämnar ansvaret till företagets IT-chef eller till en IT-outsourcingpartner vilket är fel, då ledningsgruppen själva måste ta detta ansvar.
Eftersom IT-säkerheten är så pass viktig för företagets framtid måste ansvarsfrågan ligga högst upp på toppen hos företagets ledning och styrelse.
Först och främst handlar det om att ledningen behöver bedöma vilken risk de är villiga att leva med. Därefter måste investeringar i en säkerhetsstrategi göras för de åtgärder man finner nödvändiga för att säkra verksamheten.
Ta ansvar för företagets framtid!
Kontinuerligt riskarbete
”Man hör ofta att anställda är den svagaste länken i försvarskedjan. Det är en ursäkt för att inte göra något åt den bristande säkerheten i de IT-system som ledningen valt att de anställda ska använda.”
- Hugo Løvhøiden Klemmestad, CISO på ECIT
I ledningens ansvar för företagets säkerhet ingår att kontinuerligt arbeta med riskhantering. För att veta var företaget står här och nu, måste en lägesanalys genomföras.
Börja med att dokumentera vilka system ni har, hur är dessa system sammankopplade och vilka tredje parter finns. En tredje part kan vara en leverantör, partner eller någon annan som har kontroll över de tekniska aspekterna av era IT-system. Ställ er även frågan om ni ser en risk för företagets cybersäkerhet med att ha en tredje part inblandad.
Efter att ni kommit igång med riskanalysarbetet rekommenderar vi att det genomförs två årliga säkerhetsrevisioner. Dessa revisioner ska även ge en översikt över praktiska säkerhetsåtgärder som ska genomföras i bolaget och följas upp vid nästa styrelsemöte.
För att uppnå en så god cybersäkerhet som möjligt är det viktigt att arbeta både proaktivt och reaktivt, så kom ihåg att genomföra kontinuerliga riskanalyser – det stärker företagets verksamhet!
En stark säkerhetskultur
Många cyberattacker börjar med att en anställd, utan att vara medveten om det, släpper in hackare via ett ”Phishing” (nätfiske)-mail. Dessa mail är otroligt lätta att skapa, vilket gör det till cyberbrottslingarnas favoritverktyg vid cyberangrepp.
Detta innebär att alla anställda på företaget, oavsett om det är VD eller administrativ anställd, är en ingång för hackare att försöka hitta och utnyttja.
"Alla tar emot ”phishing” (nätfiske)-mail. Därför är den största risken vi löper att våra leverantörer, kunder mm inte själva har tillräcklig IT-säkerhet."
- Hugo Løvhøiden Klemmestad, CISO på ECIT
Att bygga en stark säkerhetskultur är en viktig del av företagets cybersäkerhetsarbete. Det är avgörande att företagsledningen tar ansvar för att bygga en stark säkerhetskultur baserad på medvetenhet om cyberhot, fara med cyberhot och konkreta säkerhetsråd.
Att öka säkerheten kan innebära mer tidskrävande arbetssätt för användarna och därför är det viktigt att förklara varför ledningen ser värdet med att lägga tid och pengar på bättre säkerhet.
Information och ramverk
Information som enkelt förklarar vikten av säkerhet ger en förståelse bland de anställda om hur viktig säkerhetskulturen är för företags varande och framtid. Med ett tydligt ramverk innehållande säkerhetspolicy, rutiner och konkreta råd skapar företaget bättre stöd och riktlinjer i vardagen för alla anställda.
Intern utbildning
Som en del av en stark säkerhetskultur bör ledningen prioritera intern utbildning i säkerhet för ett ökat säkerhetsmedvetande. Hur utbildas och informeras alla nyanställda? Behövs det ett ”körkort i säkerhet” innan den anställde får påbörja sitt arbete på företaget? Kom även ihåg att det krävs uppföljning av den interna säkerhetsutbildningen för att säkerställa att alla anställda följer ramverket och bidrar till företagets trygga säkerhetskultur.
I takt med de mer avancerade och komplexa angreppen behöver även de anställda bli informerade om hur angreppen utvecklas och förändras så att de har sitt vakande öga uppmärksammat på rätt håll i sitt dagliga arbete. Ledningen bör utse en eller fler personer som håller alla på företaget uppdaterade.
Köp kunskap ni saknar
Har ni inte själva den kompetens som krävs för att säkerställa företags cybersäkerhet? Ta kontakt med en kompetent samarbetspartner som kan hjälpa till med lägesanalys och stötta er i arbetet med att bygga en stark säkerhetskultur.
Det behöver inte vara dyrt, ibland behövs bara små åtgärder genomföras för att förbättra IT- säkerheten i företag. IT-säkerheten är ett kontinuerligt arbete och företaget bör prioritera de åtgärder som ger bästa möjliga riskreduktion.
God cybersäkerhet skyddar även företagets rykte.