NORIAN News

 

En starkare cybersäkerhet i en osäkrare värld



Många cyberattacker börjar med att en anställd omedvetet släpper in hackare via mail. Alla anställda, oavsett roll eller ansvar i företaget, är en möjlig ingång för ett angrepp.

Läs mer om vad Öyvind Sand, CIO på NORIAN Gruppen och Hugo Løvhøiden Klemmestad, CISO på ECIT skriver om Cybersäkerhet och företags prioriteringar för en starkare Cybersäkehet.

Cyberangreppen fortsätter att öka markant och de blir mer och mer avancerade och omfattande. I takt med att angreppen blir allt mer komplexa är förebyggande åtgärder nödvändigt för företagets säkerhet. Säkerheten inom företaget är helt avgörande i företagets strategiska DNA och dess framtid.

Att hålla företags säkerhet på en god och trygg nivå kan kosta men det riskerar att bli ännu dyrare om det bortprioriteras!

Det är inte bara volymen av angrepp som ökat utan cyberbrottslingarna har även blivit mer sofistikerade. Digitalisering driver förändring och med den ökade hotbilden måste alla företag alltid vara förberedda.

Cybersäkerhet har varit på agendan i flera år men varför är det så viktigt egentligen?

Det handlar i grunden om att säkerställa företagets överlevnad och förmåga till vidareutveckling. Precis som du låser dörren för att förhindra att tjuvar tar sig in och stjäl värdefulla ägodelar, måste ni också säkra verksamheten mot cyberbrottslingar.

En allvarlig konsekvens av angreppen kan vara att företagets verksamhet sätts ur drift under en tid och vill det sig riktigt illa så kan det gå så långt att företaget går i konkurs.

Genom att prioritera säkerhet lägger ni grunden för företagets fortsatta tillväxt.


En ansvarsfråga

Cyberattacker kan drabba alla, både i den privata sektorn och i den offentliga sektorn. Alla företag, oavsett storlek, är därför väl betjänta av att ha säkerheten under kontroll.

Angreppen slår ofta hårdast mot små och medelstora företag och där ser vi tyvärr också att cybersäkerhet inte alltid är ett prioriterat område och många företag saknar både resurser och kunskap för att kunna hålla en god säkerhetsnivå.

Hugo Løvhøiden Klemmestad, CISO på ECIT, berättar att det generellt finns ett missförstånd i ansvaret om cybersäkerhet på företag. Många ledningsgrupper lämnar ansvaret till företagets IT-chef eller till en IT-outsourcingpartner vilket är fel, då ledningsgruppen själva måste ta detta ansvar.

Eftersom IT-säkerheten är så pass viktig för företagets framtid måste ansvarsfrågan ligga högst upp på toppen hos företagets ledning och styrelse.

Först och främst handlar det om att ledningen behöver bedöma vilken risk de är villiga att leva med. Därefter måste investeringar i en säkerhetsstrategi göras för de åtgärder man finner nödvändiga för att säkra verksamheten.

Ta ansvar för företagets framtid!


Kontinuerligt riskarbete

”Man hör ofta att anställda är den svagaste länken i försvarskedjan. Det är en ursäkt för att inte göra något åt ​​den bristande säkerheten i de IT-system som ledningen valt att de anställda ska använda.”

- Hugo Løvhøiden Klemmestad, CISO på ECIT

I ledningens ansvar för företagets säkerhet ingår att kontinuerligt arbeta med riskhantering. För att veta var företaget står här och nu, måste en lägesanalys genomföras.

Börja med att dokumentera vilka system ni har, hur är dessa system sammankopplade och vilka tredje parter finns. En tredje part kan vara en leverantör, partner eller någon annan som har kontroll över de tekniska aspekterna av era IT-system. Ställ er även frågan om ni ser en risk för företagets cybersäkerhet med att ha en tredje part inblandad.

Efter att ni kommit igång med riskanalysarbetet rekommenderar vi att det genomförs två årliga säkerhetsrevisioner. Dessa revisioner ska även ge en översikt över praktiska säkerhetsåtgärder som ska genomföras i bolaget och följas upp vid nästa styrelsemöte.

För att uppnå en så god cybersäkerhet som möjligt är det viktigt att arbeta både proaktivt och reaktivt, så kom ihåg att genomföra kontinuerliga riskanalyser – det stärker företagets verksamhet!


En stark säkerhetskultur

Många cyberattacker börjar med att en anställd, utan att vara medveten om det, släpper in hackare via ett ”Phishing” (nätfiske)-mail. Dessa mail är otroligt lätta att skapa, vilket gör det till cyberbrottslingarnas favoritverktyg vid cyberangrepp.

Detta innebär att alla anställda på företaget, oavsett om det är VD eller administrativ anställd, är en ingång för hackare att försöka hitta och utnyttja.

"Alla tar emot ”phishing” (nätfiske)-mail. Därför är den största risken vi löper att våra leverantörer, kunder mm  inte själva har tillräcklig  IT-säkerhet."

- Hugo Løvhøiden Klemmestad, CISO på ECIT

Att bygga en stark säkerhetskultur är en viktig del av företagets cybersäkerhetsarbete. Det är avgörande att företagsledningen tar ansvar för att bygga en stark säkerhetskultur baserad på medvetenhet om cyberhot, fara med cyberhot och konkreta säkerhetsråd.

Att öka säkerheten kan innebära mer tidskrävande arbetssätt för användarna och därför är det viktigt att förklara varför ledningen ser värdet med att lägga tid och pengar på bättre säkerhet.

Information och ramverk

Information som enkelt förklarar vikten av säkerhet ger en förståelse bland de anställda om hur viktig säkerhetskulturen är för företags varande och framtid. Med ett tydligt ramverk innehållande säkerhetspolicy, rutiner och konkreta råd skapar företaget bättre stöd och riktlinjer i vardagen för alla anställda.

Intern utbildning

Som en del av en stark säkerhetskultur bör ledningen prioritera intern utbildning i säkerhet för ett ökat säkerhetsmedvetande. Hur utbildas och informeras alla nyanställda? Behövs det ett ”körkort i säkerhet” innan den anställde får påbörja sitt arbete på företaget? Kom även ihåg att det krävs uppföljning av den interna säkerhetsutbildningen för att säkerställa att alla anställda följer ramverket och bidrar till företagets trygga säkerhetskultur.

I takt med de mer avancerade och komplexa angreppen behöver även de anställda bli informerade om hur angreppen utvecklas och förändras så att de har sitt vakande öga uppmärksammat på rätt håll i sitt dagliga arbete. Ledningen bör utse en eller fler personer som håller alla på företaget uppdaterade.

Köp kunskap ni saknar

Har ni inte själva den kompetens som krävs för att säkerställa företags cybersäkerhet? Ta kontakt med en kompetent samarbetspartner som kan hjälpa till med lägesanalys och stötta er i arbetet med att bygga en stark säkerhetskultur.

Det behöver inte vara dyrt, ibland behövs bara små åtgärder genomföras för att förbättra IT- säkerheten i företag. IT-säkerheten är ett kontinuerligt arbete och företaget bör prioritera de åtgärder som ger bästa möjliga riskreduktion.

God cybersäkerhet skyddar även företagets rykte.

1Hur kan det gå till när cyberbrottslingar angriper?
Två vanliga angreppssätt som cyberbrottslingar använder sig av är:
  1. att lura en person att köra ett program som ger dem kontroll över personens dator.
  • Detta är vad som kallas datavirus eller skadlig kod.
  • Brottslingarna kamouflerar oftast programmet innehållande datavirus/skadlig kod som ett dokument för att kunna ta kontroll. Dokumentet kan vara ett kalkylblad med ett macro eller ett script i syfte att lura personen att tro att det är ett vanligt PDF-dokument eller en bild.
  1. att stjäla lösenord. Det brukar ske genom ett e-postmeddelande, med en länk till en okänd webbplats eller med information om ett delat dokument, som ber personen om dennes användarnamn och lösenord. Vanliga exempel är genom att:
  • De skickar ett e-postmeddelande om att någon har delat ett dokument, men länken går till en okänd webbplats som personen inte har sett tidigare.
  • De skickar ett mejl till personen från en känd avsändare med meddelande om att det är bråttom att personen loggar in på den aktuella sidan och agerar. Tittar mottagaren mer noggrant på länken går den till en okänd webbadress.
2Praktiska säkerhetsåtgärder att vidta för att skydda företaget och de anställda.
  • Håll programvaran uppdaterad. Föråldrad programvara kan utgöra en säkerhetsrisk.
  • Använd ett antivirusprogram som alltid är uppdaterat.
  • Säkerhetskopiera filer regelbundet.
  • Använd alltid MFA (MultiFactorAuthentication) med kod från App på mobil eller via sms till mobil.
  • Gör det svårt för de anställda att starta program som laddas ner från Internet, även när det är program som någon har bett den anställde att ladda ner.
  • Använd ett spam- och virusfilter på de anställdes e-post, även om det ibland misslyckas och felaktigt stoppar ett e-postmeddelande.
  • Sätt upp regler för vilken typ av bilagor de anställda kan få i e-postmeddelandet och blockera bilagor av fel typ.
  • Sätt policys gällande hur de anställda skall skapa säkra lösenord. Enkla lösenord som bara siffror eller sekvenser på tangentbordet, till exempel qwerty12345 eller 1qaz2wsx, får inte tillåtas. Anställda aldrig ska inte heller använda samma lösenord för fler än ett konto.
  • Användarnamn ska alltid vara personliga och aldrig delas med andra. Att nyttja gemensamt användarnamn anonymiserar.
 

Social media:

Kontakta oss

NORIAN är en tjänsteleverantör inom redovisning, lön och automatisering med målet att leverera smartare, snabbare och bättre tjänster.

© 2022 NORIAN. All Rights Reserved. | Privacy Policy | Kontakt | Löfströms Allé 7, 172 66 Sundbyberg, Sverige | Powered by Sitea

Pic-text-kontakt@2x