Teknik er vigtigt, men adfærd har den største betydning

Medarbejdere udgør den største trussel for jeres it-sikkerhed.

I forhold til at styrke organisationens cyber- og informationssikkerhed kan medarbejdernes rolle næsten ikke overvurderes. Uanset hvilken undersøgelse man finder om emnet, vil man se, at de største angivne trusler er nært sammenhængende med adfærden hos uopmærksomme, uforsigtige eller decideret uvidende medarbejdere.

På nedenstående top 5 over de trusler, der anses som størst, ligger phishing og malware klart i spidsen. Undersøgelsen er EY’s egen, og man kan se, at besvarelser fra nordiske respondenter ikke adskiller sig meget fra det globale input.

• I phishing mails/sms forsøger cyberkriminelle at få medarbejderen til at udlevere deres brugernavn og password under dække af fx at udgive sig for at komme fra HR eller bogholderiet.
• Malware er en samlebetegnelse for ondsindet kode, som cyberkriminelle ofte forsøger at få aktiveret ved at lokke medarbejdere til at trykke på et link i en e-mail.

Diagrammet nedenfor viser de 5 største trusler, der kan true organisationens cyber- og informations­sikkerhed.

Diagrammet ovenfor viser, at uopmærksomme eller uvidende medarbejdere samt forældede kontroller eller it-arkitektur anses som de største sårbarheder i Norden.

Awareness-træning

Det er organisationens ansvar at sikre, at medarbejderens viden om cyber-og it-sikkerhed er tilstrækkelig, herunder sikre kendskab til organisationens specifikke politikker og procedurer. Det bør ske i forbindelse med onboarding af nye medarbejdere og med minimum en årlig genopfriskning. Træning af medarbejdere vægter også tungt i fx regeringens nationale strategi om cyber- og informationssikkerhed, ligesom persondataforordningen (GDPR) stiller krav om, at organisationen kan dokumentere at have informeret herom.

Der er forskellige måder at træne medarbejdere på alt efter organisationens størrelse, fysisk placering af medarbejdere, sprog og kultur og tilsvarende faktorer.

En velkendt og meget anvendt metode er e-læring, hvor medarbejderen på egen hånd skal gennemføre en række moduler. Ved brug af en god læringsportal kan organisationen sikre overblik over gennemførsels­niveau og styre, hvordan og hvornår kurser skal genopfriskes.

Moduler i e-læring kan fx omhandle:

• Forståelse af cyber- og it-sikkerhed generelt
• Hvordan man bedst beskytter sin brugerprofil
• Brug af to-faktorgodkendelse
• Forståelse af Social Engineering
• Phishing og CEO fraud
• Ransomware
• Sikker adfærd på internet og sociale medier
• Sikker e-mailbrug og klassificering af data
• Håndtering af elektroniske og fysiske dokumenter
• God adfærd i det offentlige rum og brug af trådløse netværk
• Brug af mobile devices/enheder

Kontakt os
Hvis du har kommentarer til eller lyst til at drøfte, hvordan man kan komme i gang med awareness-træning i en uforpligtende samtale, er du velkommen til at kontakte os.

Henriette Brandstrup, tlf. 2529 3543