Blogginnlegg -
Slik etablerer du gode varslingsrutiner for IT-sikkerhet
Melder dine ansatte fra om merkelige e-poster? Har du et system for å avsløre slue e-poster og telefoner? Vet dine ansatte i det hele tatt når de blir forsøkt lurt? Vet de hva de skal gjøre hvis de tror de kan ha blitt lurt? Dette er spørsmål du bør stille deg dersom du ønsker å ta det digitale trusselbildet på alvor i din organisasjon.
PST la nylig frem sin rapport Nasjonal trusselvurdering 2022. Her slår de fast at «nye nettverksoperasjoner vil ramme norske mål i året som kommer. Virksomheter knyttet til forsvar, beredskap, politikkutforming eller teknologi hvor Norge er langt fremme, vil være særlig utsatt.»
Samlet er samfunnets sårbarhet for digitale trusler stadig økende. Dessverre er mange organisasjoner fortsatt er naive, og tror dataangrep ikke vil ramme dem.
Skap en sikkerhetskultur internt
– For å få det digitale trusselbildet opp på agendaen må det en kulturendring til, sier prosjektleder Trude Gjeldnes i F24 Nordics.
Hvis ansatte ikke melder fra om ting som dukker opp, er det vanskelig å oppdage og bekjempe denne type trusler. Det er en tiltagende trend at kriminelle retter aktiviteten mot medarbeidere heller enn kun mot teknologien. Derfor kan det sies at den enkelte medarbeider er den viktigste beskyttelsen mot digitale trusler.
– Etabler en organisasjonskultur der ansatte heller spør en gang for mye enn en gang for lite, og vær tydelig på hvilke tegn som bør få alarmklokkene til å ringe, sier Gjeldnes.
Dette kan for eksempel være:
- E-poster der det anmodes om overføring av penger
- E-poster som inneholder lenker med rare navn
- Mistenkelige e-postadresser
- E-post med en uvanlig avsender
- Skrivefeil og dårlig språk som tyder på bruk av Google Translate
– Det gjelder å stille spørsmål ved tilsynelatende uskyldige forhold, og være litt bevisst. Som enkeltmennesker er vi lette ofre for falske e-poster som gjerne spiller på frykt, fristelser eller tillit.
– Pleier du å få e-poster fra administrerende direktører? Er det vanlig at en toppleder fra en eller annen organisasjon henvender seg til deg? Hvis svaret er nei, bør du i alle fall sjekke det ut med interne ressurser, sier Gjeldnes.
Etabler gode sikkerhetsrutiner i organisasjonen
People hacking eller sosial manipulering er en av de vanligste måtene å skaffe informasjon på. Hvis flere personer blir manipulert til å oppgi biter av informasjon som hver for seg ikke gir mening, kan disse bli svært verdifulle når de sammenstilles. For å redusere denne risikoen er det viktig med øvelser.
– Øvelse gjør mester, også når det gjelder datasikkerhet! Avtal med de ansatte at innenfor et gitt tidsrom vil de kunne motta e-poster, SMSer eller telefonsamtaler de kanskje bør reagere på. Da øver man rett og slett på at bjella skal ringe og får testet interne prosedyrer.
Det å sikre digital trygghet handler ikke om enkeltmennesket alene. Det er viktig at bevisstheten rundt dette blir et prioritert satsningsområde i organisasjonen. Det innebærer at informasjon og problemstillinger rundt datasikkerhet blir tatt opp på både avdelingsmøter og allmøter internt i bedriften.
– I alle virksomheter bør datasikkerhet være både et fast punkt på avdelingsmøter og på allmøter. Etabler gjerne en egen rutine som «kvalitets- og sikkerhetstimen». Her kan den kvalitets- eller sikkerhetsansvarlige gå gjennom viktige punkter, gi viktig informasjon og bidrar til å opprettholde en god sikkerhetskultur internt.
– En god sikkerhetskultur kombinert med gode verktøy som brannmurer, DNS filtrering og verifikasjonssystemer for e-post, gjør din organisasjon bedre rustet til å møte det digitale trusselbildet. Hvis du mistenker at du har blitt forsøkt utsatt for kriminelle forhold, husk å varsle politiet.
Gratis e-bøker
Synes du det er vanskelig å komme i gang med ROS-analyse og beredskapsplanlegging, eller har du behov for å vite mer om hvordan du skal sikre god beredskapsvarsling og krisekommunikasjon?
Våre gratis e-bøker gir deg en rekke gode råd og tips. Last ned gratis e-bøker her
