Virksomheder skal forholde sig til NIS2, og tiden løber. Der er nu mindre end et år tilbage.

Men jf. rapporten IT i praksis® 2023-24, som Rambøll Management Consulting og Dansk IT står bag, har halvdelen af virksomhederne ikke de rette kompetencer inden for cybersikkerhed til at håndtere det nuværende risikoniveau.

Det bekræfter at virksomhederne vil have en fordel i at komme i gang nu.

• Cybertruslerne er allerede nu meget høje og med de mange hackerangreb vi pt. ser kan hver dag være kostbar

• Alle foranstaltninger hjælper, så hvor man end starter, så vil det altid være bedre at komme i gang, end at vente

• Knapheden på kompetencer, vil betyde at jo nærmere vi kommer på deadline, jo mere pres vil der være på kompetente ressourcer

Vores app Nem ISMS hjælper, dels ved at gøre det nemt at anvende best-practise. Dels ved at spare tid. Dermed bliver det mere overkommeligt at implementere NIS2 og dokumentere tiltag og fremdrift, samt sikre den løbende opfølgning på IT-sikkerheden.

Og vi stiller netop kompetente ressourcer og erfaring til rådighed for virksomhederne. Vi kan således støtte op hvor virksomheden er svagest. Vi kan agere din proaktive eksterne IT-sikkerhedsfunktion.

Ræk allerede ud i dag, da selv vores ressourcer er begrænsede.

Læs mere om rapportens konklusioner her.

Alle anbefalinger omkring IT-sikkerhed pointerer at træning af medarbejdere i IT-sikkerhed er en meget vigtig foranstaltning.

Et af D-mærkets kriterier siger således at virksomheden skal sørge for, at ansatte og brugere som arbejder med IT får træning i it-sikkerhed. Træningsprogrammet inkluderer, at de trænes i at kunne varetage deres it-relaterede ansvar og opgaver i overensstemmelse med relevante politikker, procedurer og aftaler.

Da de fleste angreb starter med en phishing e-mail bør awareness træning tænkes bredt, da kæden som bekendt ikke er stærkere end det svageste led.

Men det vil være yderst relevant at tilpasse træningen til brugernes roller (og rettigheder), så IT-medarbejdere og udviklere modtager mere omfattende træning end de almindelige brugere.

Da awareness træning skal være en kontinuerlig proces er det vigtigt at man i virksomheden opbygger et awareness-program.

Jeg anbefaler at man sammensætter et awareness-program som en del af sit IT-sikkerheds årshjul.

IT-sikkerhedsgruppen som typisk mødes kvartalsvist, skal arbejde med awareness-træning og ledelsen kan med fordel uddelegere opgaven til denne gruppe.

Man kan starte sin awareness-træning med at foretage en modenhedsanalyse, hertil kan HackerStop.dk med fordel anvendes. Platformen er gratis og den giver IT-sikkerhedsgruppen et grundlag for at prioritere deres indsats. Målingen bør gentages halvårligt, for at kunne dokumentere fremdrift.

Det er en overvejelse værd om man skulle udarbejde en IT-sikkerhedshåndbog for medarbejdere, eller udvide den eksisterende personalehåndbog. Dette vil give den fordel at onboarding af nye medarbejdere sikrer en introduktion til virksomhedens fokus og politikker omkring IT-sikkerhed. Men det er vigtigt at netop nye medarbejdere får en god introduktion til awareness.

Man kan kickstarte awareness-træningen med et morgenmøde eller gå-hjem møde for alle medarbejdere, eller et halvdagskursus for betroede medarbejdere.

Glem ikke ledelsen og virksomhedens bestyrelse, de skal også trænes – minimum årligt.

Når medarbejdere har fået træning, kan det være en god idé at fortsætte med test og træning af dem individuelt.

Vi forhandler en automatisk løsning, som tilpasser et individuelt forløb til den enkelte medarbejder, der sker løbende test af medarbejderens awareness sammen med træning efter behov. På denne måde sikrer vi at medarbejderne løbende trænes, uden at der skal bruges kræfter på dette.

Et godt awareness-program sikrer at der løbende er fokus på IT-sikkerheden og at der opbygges en kultur, hvor IT-sikkerheden er på dagsordenen, både hos ledelse og kolleger imellem.

Awareness kan ikke stå alene, det er vigtigt, men det er blot én foranstaltning ud af en række.

Ønsker du hjælp til at sammensætte et godt awareness-program i din virksomhed, så tag endelig fat i os.

Endnu en virksomhed udsat for hackerangreb og endnu en historie om lækkede personinformationer på tusindvis af kunder og tidligere kunder.

Og igen de samme undskyldninger og beklagelser om at de jo er forpligtiget til at opbevare personoplysninger i 5-10 år.

Men virksomhederne må altså snart forstå at denne forpligtigelse til at opbevare data IKKE er ensbetydende med at man blot kan have dem liggende.

Vi kalder det datahygiejne og det betyder at der skal være en procedure for arkivering og sletning af persondata, når kunder skifter status eller at frister udløber.

Det er simpelthen ikke acceptabelt at kriminelle kan slippe afsted med at stjæle 100.000 kunders data.

Opbevarer du persondata og er i tvivl om I også er sårbare, så lad os få en dialog om datahygiejne. Hver dag tæller i denne tid, hvis ikke du ønsker at være den næste der skal beklage…

https://nyheder.tv2.dk/krimi/2023-11-10-edc-er-blevet-hacket-knap-100000-cpr-numre-er-kompromitteret