Alle anbefalinger omkring IT-sikkerhed pointerer at træning af medarbejdere i IT-sikkerhed er en meget vigtig foranstaltning.

Et af D-mærkets kriterier siger således at virksomheden skal sørge for, at ansatte og brugere som arbejder med IT får træning i it-sikkerhed. Træningsprogrammet inkluderer, at de trænes i at kunne varetage deres it-relaterede ansvar og opgaver i overensstemmelse med relevante politikker, procedurer og aftaler.

Da de fleste angreb starter med en phishing e-mail bør awareness træning tænkes bredt, da kæden som bekendt ikke er stærkere end det svageste led.

Men det vil være yderst relevant at tilpasse træningen til brugernes roller (og rettigheder), så IT-medarbejdere og udviklere modtager mere omfattende træning end de almindelige brugere.

Da awareness træning skal være en kontinuerlig proces er det vigtigt at man i virksomheden opbygger et awareness-program.

Jeg anbefaler at man sammensætter et awareness-program som en del af sit IT-sikkerheds årshjul.

IT-sikkerhedsgruppen som typisk mødes kvartalsvist, skal arbejde med awareness-træning og ledelsen kan med fordel uddelegere opgaven til denne gruppe.

Man kan starte sin awareness-træning med at foretage en modenhedsanalyse, hertil kan HackerStop.dk med fordel anvendes. Platformen er gratis og den giver IT-sikkerhedsgruppen et grundlag for at prioritere deres indsats. Målingen bør gentages halvårligt, for at kunne dokumentere fremdrift.

Det er en overvejelse værd om man skulle udarbejde en IT-sikkerhedshåndbog for medarbejdere, eller udvide den eksisterende personalehåndbog. Dette vil give den fordel at onboarding af nye medarbejdere sikrer en introduktion til virksomhedens fokus og politikker omkring IT-sikkerhed. Men det er vigtigt at netop nye medarbejdere får en god introduktion til awareness.

Man kan kickstarte awareness-træningen med et morgenmøde eller gå-hjem møde for alle medarbejdere, eller et halvdagskursus for betroede medarbejdere.

Glem ikke ledelsen og virksomhedens bestyrelse, de skal også trænes – minimum årligt.

Når medarbejdere har fået træning, kan det være en god idé at fortsætte med test og træning af dem individuelt.

Vi forhandler en automatisk løsning, som tilpasser et individuelt forløb til den enkelte medarbejder, der sker løbende test af medarbejderens awareness sammen med træning efter behov. På denne måde sikrer vi at medarbejderne løbende trænes, uden at der skal bruges kræfter på dette.

Et godt awareness-program sikrer at der løbende er fokus på IT-sikkerheden og at der opbygges en kultur, hvor IT-sikkerheden er på dagsordenen, både hos ledelse og kolleger imellem.

Awareness kan ikke stå alene, det er vigtigt, men det er blot én foranstaltning ud af en række.

Ønsker du hjælp til at sammensætte et godt awareness-program i din virksomhed, så tag endelig fat i os.

Endnu en virksomhed udsat for hackerangreb og endnu en historie om lækkede personinformationer på tusindvis af kunder og tidligere kunder.

Og igen de samme undskyldninger og beklagelser om at de jo er forpligtiget til at opbevare personoplysninger i 5-10 år.

Men virksomhederne må altså snart forstå at denne forpligtigelse til at opbevare data IKKE er ensbetydende med at man blot kan have dem liggende.

Vi kalder det datahygiejne og det betyder at der skal være en procedure for arkivering og sletning af persondata, når kunder skifter status eller at frister udløber.

Det er simpelthen ikke acceptabelt at kriminelle kan slippe afsted med at stjæle 100.000 kunders data.

Opbevarer du persondata og er i tvivl om I også er sårbare, så lad os få en dialog om datahygiejne. Hver dag tæller i denne tid, hvis ikke du ønsker at være den næste der skal beklage…

https://nyheder.tv2.dk/krimi/2023-11-10-edc-er-blevet-hacket-knap-100000-cpr-numre-er-kompromitteret

En del virksomheder burde have en CISO - Chief Information Security Officer – en person der har fokus på virksomhedens informationssikkerhed.

Men selv store virksomheder har måske svært ved at rekruttere og fastholde en CISO, ligesom der i perioder kan være vanskeligt at beskæftige CISO’en fuld tid.

Når virksomheden står overfor større IT-sikkerhedsprojekter som fx ISO-27001 certificering, NIS2 eller ekstern audit, kræver det en større fokuseret indsats, men når projektet er gennemført, er det mere vedligeholdelse og opfølgning på årshjulets aktiviteter.

Når du laver en aftale med en ekstern CISO er det netop muligt at skrue op og ned for indsatsen efter behov.

Digital Fighters tilbyder en komplet løsning med en digital platform i form af vores Nem ISMS app og rådgivningstimer efter behov.

På denne måde får du en effektiv og erfaren CISO tilknyttet, du opnår effekten fra dag 1. Ved at anvende en digital platform sikrer du at den opbyggede viden er tilgængelig for virksomheden – også efter et evt. afslutning af samarbejdet.

Hvad enten vi skal håndtere hele opgaven eller blot understøtte dine egne interne ressourcer, det afgør du naturligvis.

Har du brug for at få styr på IT-sikkerheden, så overvej at leje en CISO.