Menu

Log ind
Edit Template
Log ind

IT-sikkerhed – en guide

Værdien af data – ikke mindst persondata – er i disse år kraftigt på vej op. Årsagen er de mange indtjeningsmuligheder, de giver IT-kriminelle, uden at de samtidig løber den store risiko. En stor del af de datalæk, der sker, skyldes nemlig ofte menneskelige fejl, og her er den gode nyhed, at det kan der faktisk gøres noget ved. Så hvordan ser det ud med datasikkerheden i jeres virksomhed? Med inspiration fra Sikker Digital får du her en kvikguide til IT-sikkerhed.

Hvilke trusler skal du være opmærksom på?

En stor del af de hændelser, der sker, skyldes som nævnt menneskelige fejl. Som fx rigtig mail til forkert modtager, eller at man lader papirer ligge og flyde på ens bord. Men der er også de mere bevidste former for svindel, hvor eksterne IT-kriminelle aktivt søger at få adgang til centrale data.

Virus og malware

Malware dækker over software designet til at skade virksomhedens programmer og data. Det kan både bruges til afpresning, men kan også bare forvolde stor skade – ofte på meget kort tid.

Malware

Malware i jeres IT-miljø kan bruges til at kryptere jeres data, så IT-kriminelle kan afpresse jer økonomisk. Heldigvis kan helt basal IT-sikkerhed ofte være et solidt værn mod ransomware.

Phising, smishing og vishing

En tilsyneladende ægte mail, sms eller telefonopkald fra en kendt modtager kan vise sig at være falsk. Klikker man først på fx et link heri, kan det gøre stor skade – ikke mindst økonomisk.

Faktura-bedrageri

Tilsyneladende ægte men falske fakturaer går let under radaren, hvis fx beløbene er relativt små. Og de rammer høj som lav i virksomheder og foreninger – men også privatpersoner.

CEO-fraud (direktørsvindel)

CEO-fraud er falske mails eller SMS’er, der ser ud som om, de er sendt fra en direktør eller leder. Fænomenet kaldes også direktørsvindel eller BEC (Business Email Compromise).

DDoS-angreb

Gennem et såkaldt overbelastningsangreb på fx jeres website, kan IT-kriminelle forårsage nedbrud af jeres hjemmeside, mailserver, firewall eller router, så kunder og partnere ikke har adgang.

Cyberspionage

Målet er typisk at stjæle forretningshemmeligheder, forskningsresultater eller andre følsomme oplysninger, og det kan blive dyrt både økonomisk og konkurrencemæssigt.

Bevidste insidere

Uanset om årsagen er økonomisk vinding eller måske hævn findes der desværre medarbejdere, der helt bevidst går efter at misbruge deres adgang til virksomhedens systemer eller data.

Hvordan kan du sikre dig mod disse trusler?

Heldigvis er der en række forholdsregler, du kan tage for at sikre dig mod ovenstående trusler. Nogle handler om teknik, mens andre handler om adfærd. Uanset hvad er du godt hjulpet, hvis du forholder dig til følgende 7 punkter.

1. Kortlæg centrale IT-systemer

Første trin handler om at få et overblik over, hvad der reelt er at beskytte – og hvad status er. Det betyder, at I skal vide, hvilke IT-systemer og ikke mindst apps, I bruger i virksomheden. Både de helt centrale, men også gerne de mere lokale, som fx Canva i marketing. For alle digitale værktøjer kan være mulige indfaldsveje for IT-kriminelle. I skal først og fremmest have kortlagt de mest essentielle systemer:

  • Økonomi- og ERP-systemer som fx Navision, Axapta, C5 og e-conomic
  • CRM-systemer som fx Hubspot, MS CRM, Salesforce eller SuperOffice
  • Dokumenthåndteringssystemer som fx MS Project, DocuNote eller Lotus Notes
  • Lønsystemer som fx Danløn, Proløn eller Bluegarden
  • E-mail systemer som fx MS Outlook, Apple Mail eller Gmail
  • Filarkiver som MS Onedrive, Google Drive eller Dropbox

Specielt systemer og data, der er centrale for den daglige drift, er interessante for IT-kriminelle, og det er derfor her, I skal starte. Disse kan også omfatte HR-, kommunikations- og projektstyrings-systemer som fx Dinero, Skype eller Gemini samt data og IT-systemer, som er afgørende for at holde produktionen i gang.

En stor del af øvelsen handler helt basalt om at blive bevidste om, hvilke systemer, I har, og hvad de indeholder. Derfor er det en god idé at starte med at tale med dem, der kender systemerne. Det kan fx være de enkelte systemejere og IT-ansvarlige. Tag fx stilling til, hvad I er mest bekymrede omkring ift. jeres IT-systemer og data. Find dernæst ud af, om I gør nok for at beskytte disse. Inddrag evt. eksterne partnere, hvis det giver mening.

2. Vær altid opdateret

De IT-kriminelle er ofte et eller flere skridt foran. Systemudbyderne halser af den grund ofte efter, når det handler om at lukke sikkerhedshuller. Derfor er det desto vigtigere altid at opdatere specielt styresystemer og kritiske programmer så hurtigt som muligt, når der kommer opdateringer.

Vær dog opmærksom på, at softwareopdateringer ikke sikrer jer mod sikkerhedshuller forårsaget af forkert opsætning, dårlige password og tilsvarende fejl. Til gengæld kan det være en god idé at indføre rutiner for opdateringer. Så risikerer I ikke at glemme en kritisk opdatering.

Hvem er ansvarlig?

Udpeg en intern person til at være ansvarlig for, at alle systemer altid er opdateret. Bruger I en ekstern IT-leverandør, skal I sikre jer, at deres processer for opdatering matcher jeres krav.

Er alle programmer opdateret?

Når systemudbyderen frigiver nye opdateringer, skal I få opdateret jeres version. Vær opmærksom på, om I har software, der ikke længere opdateres. I så fald skal I overveje at skifte til noget nyt.

Er automatisk sikkerhedsopdatering slået til?

Slå automatisk opdatering til for alle de programmer og apps, hvor det kan lade sig gøre. Husk dog regelmæssigt at teste, at funktionen virker.

3. Brug antivirus og firewall

Et antivirusprogram og en firewall er to basale og nødvendige sikkerhedsforanstaltninger til at sikre virksomhedens IT-systemer og data mod angreb.

Antivirusprogrammet analyserer al indkommende datatrafik fra e-mails til fremmede websites. Programmet sikrer mod filer med ødelæggende indhold, der både kan skade din lokale computer, men som også kan få adgang til forretningskritiske systemer og data i hele virksomheden.

En firewall filtrerer al trafik over jeres netværk for at forhindre IT-kriminelle i at trænge ind. Er virksomheden eller jeres netværk meget store og/eller komplekse kan det være en fordel at investere i egen firewall.

4. Husk backup

Når IT-kriminelle slår til, risikerer du at miste adgang til centrale data. Enten fordi de nu er krypteret, eller fordi de er slettet. Derfor er det altid vigtigt at have en backup af centrale data.

Desværre er manglende eller slet ingen backup en af de hyppigste årsager til, at virksomheder mister deres data. Derfor er det en god idé at sikre rutiner for backup for at sikre jer mod tab af værdifulde og forretningskritiske data.

Hvem er ansvarlig?

Udpeg en medarbejder, der skal være overordnet ansvarlig for backup af jeres data. Det vil typisk være den IT-ansvarlige, en person fra IT-afdelingen eller i en smv måske virksomhedsejeren selv.

Hvad skal sikkerhedskopieres?

Hvilke typer af data er det vigtigst at have en backup af? Forretningskritiske data som fx kundeinformationer, leverandørdata, forretningshemmeligheder, patenter og finansielle oplysninger er selvfølgelig oplagte.

Overvej dog også, hvor tidskrævende det vil være at skulle genskabe mindre kritiske data som e-mails, mødereferater, handlingsplaner og andet, der ikke i sig selv er kritisk, men som det vil kræve mange kræfter at reetablere.

Hvor ofte skal I sikkerhedskopiere?

Tag backup så ofte som det kræves – gerne ugentligt eller dagligt. Frekvensen afhænger af, hvor ofte de centrale data opdateres, og hvor mange data I kan tåle at miste.

Vær dog opmærksom på, at nogle IT-kriminelle kan have planlagt deres angreb i god tid. Det betyder, at de også kan have inficeret jeres backup, der så kan aktiveres næste gang, jeres backup er online. Derfor bør I overveje, om I skal tage forskellige backups. Tag fx både en daglig backup af kundedata, men samtidig også en ugentlig eller månedlig backup af de samme data, som I så gemmer offline.

Hvor skal sikkerhedskopien opbevares?

Overvej, hvor jeres backup ligger mest sikkert. Er det i skyen eller på et eksternt drev? Overvej også at placere jeres backup et fysisk andet sted end i selve virksomheden. Det kan sikre jer bedre ved fx tyveri, brand eller vandskade.

Overvej endvidere om jeres data skal krypteres, så uønskede personer ikke kan aflæse dem. Ikke mindst hvis I behandler følsomme personoplysninger. Sørg desuden for både at have jeres backup liggende online og fysisk. Så kan den ene erstatte den anden afhængigt af, hvad problemet er.

Virker virksomhedens backup?

Det er ikke en naturlov, at en backup altid virker. Desværre opdager mange først for sent, at den ikke gør. Derfor skal I jævnligt sikre, at den faktisk fungerer. Det kan I fx gøre ved at indlæse den til et alternativt system, hvor I kan tjekke, at alt fungerer, som det skal.

5. Lær at spotte phisingmails

En meget almindelig og desværre også ret succesfuld metode til at svindle virksomheder er de såkaldte phishingmails. Her udgiver afsender sig ud for at være en anden (og kendt) person eller virksomhed. Heldigvis er det noget, man som virksomhed kan gøre meget for at sikre sig imod.

Det handler om at være god til at spotte dem.

Phisingmails kommer ofte fra en troværdig organisation eller virksomhed, som fx en bank eller offentlig myndighed. De kan også komme fra en kendt samarbejdspartner eller kollega, og målet er at få adgang til jeres interne IT-systemer. Typisk hvis en medarbejder klikker på et ondsindet link, downloader et dokument inficeret med virus eller overfører penge til en ukendt afsender.

Sådan spotter du dem.

Bør du modtage denne mail?

Vær skeptisk overfor mails, der fx beder dig udlevere oplysninger eller som har mistænkelige links. Vær ekstra påpasselig, hvis teksten ikke virker naturlig, eller indeholder mange stavefejl.

Send aldrig fortrolige oplysninger

Ingen virksomheder eller myndigheder anmoder om betalingskortoplysninger, NemID eller andre log-in-informationer via e-mail eller sms. Lad derfor være med at sende sådanne oplysninger.

Klik aldrig på links i mistænkelige mails

Phisingmails indeholder typisk links eller vedhæftninger, der aktiverer en kritisk handling som fx at snige virus eller malware ind i jeres IT-systemer. Så ved den mindste mistanke, undgå at klikke.

Tjek afsenderens mailadresse

Tjek altid mailadressen fra afsenderen – specielt hvis en person eller virksomhed beder dig sende fortrolige data eller overføre penge. Vær dog opmærksom på, at mailadresser også kan kopieres.

Ring, hvis du er i tvivl

Hvis du er i tvivl, om en mail er ægte eller falsk, kan du ringe til afsenderen og få en bekræftelse. Brug gerne et andet nummer end det nummer, der er angivet i mailen, da det kan være forfalsket.

6. Brug stærke adgangskoder og to-faktor login

Stærke adgangskoder (passwords) er centrale for IT-sikkerheden, og er derfor i høj kurs hos IT-kriminelle, der har forskellige værktøjer til at knække dem. Derfor er det helt afgørende, at alle i virksomheden bruger stærke adgangskoder.

Adgangskoden skal være unik og kun bruges ét sted

Mange genbruger den samme adgangskode til forskellige tjenester. Det indebærer dog en meget stor risiko for, at en IT-kriminel får adgang til ikke blot ét men flere systemer.

Brug minimum 15 tegn

Jo flere tegn i adgangskoden, jo bedre. Derfor anbefales det, at adgangskoden minimum har en længde på 15 tegn – og meget gerne flere. Husk at mixe store og små bogstaver, tal og tegn.

Brug to-faktor login

To-faktor login, hvor du indtaster adgangskoden på computeren, og derefter godkender login på din smartphone eller via sms, øger sikkerheden markant, og bør derfor være obligatorisk.

Det er en god idé at bruge en passwordmanager, der kan hjælpe med at sikre stærke passwords. Du kan også finde tips & tricks til adgangskoder i Center for Cybersikkerheds vejledning lige her. Vil du tjekke, om dit password har været lækket, kan du klikke her: Haveibeenpwned.com

7. Stil krav til jeres eksterne IT-leverandør

Hvis I ikke selv står for jeres IT, men har en ekstern leverandør til at stå for det, er det vigtigt, at I stiller de rigtige spørgsmål og krav til vedkommende. For det er jeres ansvar, at IT-sikkerheden er i orden. Så jo mere jeres forretning er baseret på outsourcede IT-løsninger, desto vigtigere er det at have en kvalificeret dialog med IT-leverandøren om sikkerheden i løsningen. Spørg fx om:

  • Hvad gør I for at for at sikre os mod uønsket adgang?
  • Hvad gør I for at sikre tilgængelighed og høj oppetid?
  • Hvad gør I for at dokumentere sikkerheden?
  • Hvad gør I for at passe på persondata (GDPR)?
  • Hvad er opgavefordelingen mellem jer som kunde og IT-leverandøren?

Sikker Digital har udviklet en Leverandørpakke, som kan hjælpe med at afdække, om jeres leverandør har tilstrækkelig fokus på IT-sikkerhed. Den finder du her.

Vær beredt!

Ved at følge ovenstående råd, kan I relativt enkelt sikre jeg mod de mest gængse former for IT-kriminalitet: Husk dog at de IT-kriminelle bliver hele tiden bedre til at finde nye metoder, så vær generelt bare varsom!

Del dette indlæg

Har du spørgsmål?

Har du spørgsmål omkring GDPR, vores løsning eller andet, kan du booke et møde med Martin eller Daniel. Book 15 min., 30 min. eller en time

Book møde

Andre artikler
GDPR

Overvågning – hvad må du?

Mange virksomheder anvender overvågning som et værktøj til at beskytte deres ejendom, styrke produktiviteten og dokumentere vigtige samtaler. Teknologien har gjort

Læs mere
GDPR

GDPR i sundhedssektoren

Arbejder du i sundhedssektoren, ved du, hvor mange fortrolige og følsomme persondata, der dagligt registreres, gemmes, behandles og sendes. Disse data

Læs mere

Ja tak – send mig jeres nyhedsbrev

Tilmeld

Vi hjælper dig hele vejen

Vi er en dansk virksomhed, der hjælper små og mellemstore virksomheder med at dokumentere GDPR – korrekt, brugervenligt, uvildigt og enkelt.

logo_white1_12@0.5x

Lexoforms er D-mærket

Lanceret i 2021 er D-mærket det første mærke i verden, der samler ansvarlig dataanvendelse, dataetik og it-sikkerhed i ét og samme mærke.

Horizontal - Right - White
CIPP-E_200x100px
+45 78 700 800

info@lexoforms.com

Tilmeld dig vores nyhedsbrev

Lexoforms A/S
Vejlsøvej 51, Bygning O
DK-8600 Silkeborg

Handels- og abonnementsbetingelser

Privatlivspolitik

Cookies

Vil du vide mere?

Lexoforms® A/S · CVR 38510746 · © 2017-2025 · All rights reserved

MH9230_frit_300x240px

Vil du vide mere?

Book et møde , når det passer dig – eller bliv ringet op.

Book møde
Ring mig op