Søgeresultater

Når vi arbejder med IT-sikkerhed og cybersikkerhed er det vigtigt at have nogle gode tjeklister. Et foranstaltningskatalog er netop dette - en tjekliste. D-mærket er en god tjekliste med de i alt 31 kriterier, Datatilsynets nye foranstaltningskatalog har 25 konkrete foranstaltninger med fokus på beskyttelse, ISO-27001 er en anden tjekliste, hvor Anneks A har 93 foranstaltninger. Det vigtigste er at man arbejder med passende foranstaltninger. Derfor er det nemt i Nem ISMS at arbejde med flere foranstaltningskataloger på samme tid eller efter hinanden. Det er vigtigt at forstå at IT-sikkerhed er et maraton og ikke en sprint. Man skal arbejde med IT-sikkerheden vedvarende. Nem ISMS understøtter allerede Datatilsynets foranstaltningskatalog. Er du nysgerrig så kan du selv dykke ned i Datatilsynets foranstaltningskatalog. Vil du opleve hvordan man kan arbejde struktureret med IT-sikkerheden så kontakt os og book en demo af Nem ISMS.

Virksomheder skal forholde sig til NIS2, og tiden løber. Der er nu mindre end et år tilbage. Men jf. rapporten IT i praksis® 2023-24, som Rambøll Management Consulting og Dansk IT står bag, har halvdelen af virksomhederne ikke de rette kompetencer inden for cybersikkerhed til at håndtere det nuværende risikoniveau. Det bekræfter at virksomhederne vil have en fordel i at komme i gang nu. Cybertruslerne er allerede nu meget høje og med de mange hackerangreb vi pt. ser kan hver dag være kostbar Alle foranstaltninger hjælper, så hvor man end starter, så vil det altid være bedre at komme i gang, end at vente Knapheden på kompetencer, vil betyde at jo nærmere vi kommer på deadline, jo mere pres vil der være på kompetente ressourcer ”Mangel på kvalificerede it-specialister er fortsat en generel udfordring for mange virksomheder, og problemet er særligt udtalt inden for cybersikkerhed. Det er stærkt bekymrende, at hver anden virksomhed mangler kompetencer til at bekæmpe cyberkriminalitet.” citat Steen Christensen, direktør i Rambøll Management Consulting. Vores app Nem ISMS hjælper, dels ved at gøre det nemt at anvende best-practise. Dels ved at spare tid. Dermed bliver det mere overkommeligt at implementere NIS2 og dokumentere tiltag og fremdrift, samt sikre den løbende opfølgning på IT-sikkerheden. Og vi stiller netop kompetente ressourcer og erfaring til rådighed for virksomhederne. Vi kan således støtte op hvor virksomheden er svagest. Vi kan agere din proaktive eksterne IT-sikkerhedsfunktion. Ræk allerede ud i dag, da selv vores ressourcer er begrænsede. Læs mere om rapportens konklusioner her.

Alle anbefalinger omkring IT-sikkerhed pointerer at træning af medarbejdere i IT-sikkerhed er en meget vigtig foranstaltning. Rigtig mange af de alvorlige hackerangreb vi ser i denne tid starter med en phishing-mail, der lokker brugeren til at klikke på et link eller åbne en fil, der indeholder skadelig kode. Et af D-mærkets kriterier siger således at virksomheden skal sørge for, at ansatte og brugere som arbejder med IT får træning i it-sikkerhed. Træningsprogrammet inkluderer, at de trænes i at kunne varetage deres it-relaterede ansvar og opgaver i overensstemmelse med relevante politikker, procedurer og aftaler. Da de fleste angreb starter med en phishing e-mail bør awareness træning tænkes bredt, da kæden som bekendt ikke er stærkere end det svageste led. Men det vil være yderst relevant at tilpasse træningen til brugernes roller (og rettigheder), så IT-medarbejdere og udviklere modtager mere omfattende træning end de almindelige brugere. Da awareness træning skal være en kontinuerlig proces er det vigtigt at man i virksomheden opbygger et awareness-program. Jeg anbefaler at man sammensætter et awareness-program som en del af sit IT-sikkerheds årshjul. IT-sikkerhedsgruppen som typisk mødes kvartalsvist, skal arbejde med awareness-træning og ledelsen kan med fordel uddelegere opgaven til denne gruppe. Man kan starte sin awareness-træning med at foretage en modenhedsanalyse, hertil kan HackerStop.dk med fordel anvendes. Platformen er gratis og den giver IT-sikkerhedsgruppen et grundlag for at prioritere deres indsats. Målingen bør gentages halvårligt, for at kunne dokumentere fremdrift. Det er en overvejelse værd om man skulle udarbejde en IT-sikkerhedshåndbog for medarbejdere, eller udvide den eksisterende personalehåndbog. Dette vil give den fordel at onboarding af nye medarbejdere sikrer en introduktion til virksomhedens fokus og politikker omkring IT-sikkerhed. Men det er vigtigt at netop nye medarbejdere får en god introduktion til awareness. Man kan kickstarte awareness-træningen med et morgenmøde eller gå-hjem møde for alle medarbejdere, eller et halvdagskursus for betroede medarbejdere. Glem ikke ledelsen og virksomhedens bestyrelse, de skal også trænes – minimum årligt. Når medarbejdere har fået træning, kan det være en god idé at fortsætte med test og træning af dem individuelt. Vi forhandler en automatisk løsning, som tilpasser et individuelt forløb til den enkelte medarbejder, der sker løbende test af medarbejderens awareness sammen med træning efter behov. På denne måde sikrer vi at medarbejderne løbende trænes, uden at der skal bruges kræfter på dette. Et godt awareness-program sikrer at der løbende er fokus på IT-sikkerheden og at der opbygges en kultur, hvor IT-sikkerheden er på dagsordenen, både hos ledelse og kolleger imellem. Awareness kan ikke stå alene, det er vigtigt, men det er blot én foranstaltning ud af en række. Ønsker du hjælp til at sammensætte et godt awareness-program i din virksomhed, så tag endelig fat i os.

Endnu en virksomhed udsat for hackerangreb og endnu en historie om lækkede personinformationer på tusindvis af kunder og tidligere kunder. Og igen de samme undskyldninger og beklagelser om at de jo er forpligtiget til at opbevare personoplysninger i 5-10 år. Men virksomhederne må altså snart forstå at denne forpligtigelse til at opbevare data IKKE er ensbetydende med at man blot kan have dem liggende. Vi kalder det datahygiejne og det betyder at der skal være en procedure for arkivering og sletning af persondata, når kunder skifter status eller at frister udløber. Det er simpelthen ikke acceptabelt at kriminelle kan slippe afsted med at stjæle 100.000 kunders data. Opbevarer du persondata og er i tvivl om I også er sårbare, så lad os få en dialog om datahygiejne. Hver dag tæller i denne tid, hvis ikke du ønsker at være den næste der skal beklage… https://nyheder.tv2.dk/krimi/2023-11-10-edc-er-blevet-hacket-knap-100000-cpr-numre-er-kompromitteret

En del virksomheder burde have en CISO - Chief Information Security Officer – en person der har fokus på virksomhedens informationssikkerhed. Men selv store virksomheder har måske svært ved at rekruttere og fastholde en CISO, ligesom der i perioder kan være vanskeligt at beskæftige CISO’en fuld tid. Når virksomheden står overfor større IT-sikkerhedsprojekter som fx ISO-27001 certificering, NIS2 eller ekstern audit, kræver det en større fokuseret indsats, men når projektet er gennemført, er det mere vedligeholdelse og opfølgning på årshjulets aktiviteter. Når du laver en aftale med en ekstern CISO er det netop muligt at skrue op og ned for indsatsen efter behov. Digital Fighters tilbyder en komplet løsning med en digital platform i form af vores Nem ISMS app og rådgivningstimer efter behov. På denne måde får du en effektiv og erfaren CISO tilknyttet, du opnår effekten fra dag 1. Ved at anvende en digital platform sikrer du at den opbyggede viden er tilgængelig for virksomheden – også efter et evt. afslutning af samarbejdet. Hvad enten vi skal håndtere hele opgaven eller blot understøtte dine egne interne ressourcer, det afgør du naturligvis. Har du brug for at få styr på IT-sikkerheden, så overvej at leje en CISO.

Når en virksomhed skal værdisættes, vil investorer altid kigge på en lang række parametre fx ejerkredsen, ledelsesteamet, nøgletal, udvikling, virksomhedens strategi, kundetilfredshed m.m. Men i disse tider vil seriøse investorer og bankforbindelser også kigge på virksomhedens arbejde med IT-sikkerhed. Dette skyldes den markant øgede trussel fra cyberkriminelle og de mange eksempler vi ser på virksomheder som lider store tab ved ransomwareangreb. Så når virksomheden kan dokumentere at der er styr på IT-sikkerheden, så giver det tryghed hos investorerne. Undersøgelser som fx Cyberbarometeret viser at det foruden tryghed også giver virksomhederne konkurrencefordele ved investering i cybersikkerhed. Cyberbarometeret er baseret på en årlig spørgeundersøgelse blandt danske små og mellemstore virksomheder. Interessant nok viser analysen at selv mindre IT-sikkerhedstiltag øger konkurrencekraften. Dette skyldes nok at forbedringen af IT-sikkerheden sætter fokus på andre områder af virksomhedens IT-anvendelse og herunder øger virksomhedens digitalisering og anvendelse af moderne værktøjer. Et andet aspekt er nok at medarbejdere der føler at ledelsen tager IT-sikkerheden alvorligt generelt og har fokus på IT-anvendelsen har en højere motivation og effektivitet. Så vil du have en mere værdifuld virksomhed med en stærkere konkurrencekraft, så er fokus på IT-sikkerheden et godt sted at starte. Hvis du ønsker dokumentation for din virksomheds IT-sikkerhed er der typisk 2 veje at gå. D-mærket, som er Danmarks mærkningsordning for it-sikkerhed og ansvarlig dataanvendelse ISO-27001 certificering, som er en certificering af virksomhedens ledelsessystem for informationssikkerhed (ISMS) Hvad enten du vælger det ene eller det andet er Digital Fighters din sparringspartner. Vi har både fokus på de forretningsmæssige mål med IT-sikkerheden og detaljerne i teknikken.

Microsoft har netop offentliggjort deres ”Microsoft Digital Defense Report 2023” og det er spændende læsning hvis man kan holde sig vågen igennem de 131 sider på engelsk. Hvor mange iagttagere har fokuseret på rapportens positive budskab om at 99% af cyberangreb kan afværges med 5 basale tekniske foranstaltninger, så er det måske interessant at hæfte sig ved hvorfor det ikke er 100%. Svaret er at de kriminelle hele tiden finder på nye måder at snyde os på. Og det er stadig os brugere der er det svage led. Når vi tester medarbejdere med simulerede phishing beskeder ligger procentandelen der klikker på de farlige links rimelig konstant på omkring 8%. Og medarbejderne som falder i og udfylder fx brugernavn, password og andre følsomme oplysninger ligger tilsvarende rimelig konstant på 2-3%. Når de kriminelle først har kompromitteret en enkelt brugers konto, har de en indgang til virksomheden og vil forsøge at bevæge sig videre herfra. Så vi må konstatere at: Tekniske foranstaltninger virker - men er ikke nok Medarbejderne er og bliver det svageste led Phishingangreb virker og er kommet for at blive Træning af awareness løser ikke problemet 100% Hvad er så løsningen? Teknisk sikkerhed og træning af medarbejdere skal vi fortsætte med, vi skal bare være bevidste om at truslen fortsætter med at være der og at træningen skal vedligeholdes. Men vi skal have øget fokus på de foranstaltninger der giver os IT-sikkerhed "i dybden", dvs. dem der minimerer skaden NÅR de kriminelle lykkes med deres angreb. Øget fokus på betroede medarbejdere. De medarbejdere der har privilegerede rettigheder skal der være ekstra fokus på. Yderligere træning, funktionsadskillelse. Adgangsrettigheder – øget fokus på at implementere mindst mulige rettigheder og just-in-time rettigheder for administrator opgaver. Beskyttelse af data. Det må ikke være muligt at kryptere og stjæle fortrolige og/eller følsomme data. Der skal bygges øget beskyttelse op omkring følsomme data (især personfølsomme data) så de ikke kan tilgås af brugere – med mindre at de har et begrundet behov for at kunne tilgå dem. Så den gamle metode med at alle har adgang til alt er ikke godt nok længere. Backup - og ikke bare backup, men backup der er uafhængig af virksomhedens primære leverandører og som er beskyttet imod sletning og kryptering. Så jo, teknisk sikkerhed og awareness træning virker - men der skal desværre mere til i disse tider...

Et ISMS er forkortelsen for Information Security Management System eller på dansk et ledelsessystem for informationssikkerhed - allerede her står de fleste af. Men sagt mere simpelt er et ISMS alle de aktiviteter, processer og dokumenter der udgør en virksomheds IT-sikkerhedssystem. Et godt ISMS sikrer at virksomheden har styr på IT-sikkerheden og har let ved løbende at holde IT-sikkerheden ved lige. Et ISMS er vigtig når man arbejder professionelt med IT-sikkerhed, dette hvad enten man læner sig op ad D-mærket, ISO-27001, NIST eller en helt 4. standard. Nem ISMS faciliterer IT-sikkerhedsarbejdet fra 0-100% Man starter typisk med en kortlægning af alle sine informationsaktiver og identificerer de kritiske aktiver. Informationsaktiver er ALT – data, applikationer, tjenester, servere, netværkskomponenter og enheder fx pc’er og mobile enheder. Alt som vi ønsker at beskytte. Når dette er gjort, forholder man sig typisk til antimalware og backup. Er alt omfattet? Er overblikket skabt laver man en risikovurdering, risikovurderingen skulle gerne afdække hvor vi er mest sårbare og hvor konsekvenserne vil være uacceptable. Løsningen er at iværksætte passende foranstaltninger. Nem ISMS faciliterer denne proces og leveres med relevante trussels- og foranstaltningskataloger. Når de værste trusler er identificeret, indeholder Nem ISMS endda forslag til relevante foranstaltninger. På denne måde indeholder Nem ISMS alle værktøjer og angiver en nem vej igennem arbejdet med IT-sikkerheden. Men ikke nok med det, det vigtigste og måske sværeste i arbejdet med IT-sikkerheden er at holde et ISMS ved lige og løbende forbedre IT-sikkerheden. Her hjælper Nem ISMS med opbygningen af et årshjul med periodiske opgaver, der kan uddelegeres i organisationen, ligesom de IT-sikkerhedshændelser der sker kan registreres, håndteres og dokumenteres. I det hele taget hjælper Nem ISMS med at sikre at det hele er dokumenteret. Som bonus kan du håndtere og dokumentere din awareness-træning, dine IT-sikkerhedsdokumenter, dit godkendte software, leverandører o.m.m. Alt i alt en komplet løsning til styring af din virksomheds eller institutions IT-sikkerhed – uanset ambitionsniveau. Skal du have en demo? Så hold dig ikke tilbage, 30 minutter via et Teams møde kan give dig et godt indtryk. Og prisen – den er forbavsende attraktiv.

Mange behandler i det daglige fortrolige og personfølsomme data. Og en del udveksler disse data med kolleger, kunder og samarbejdspartnere via e-mail. Dette kan måske gå, hvis der er tale om en enkeltstående hændelse, men hvis det sker dagligt eller ugentligt er e-mail absolut ikke den anbefalede metode. Der rejser sig nemlig en række problemstillinger ved anvendelse af e-mail. Vi kan komme til at vælge forkerte modtagere ved en fejl Når vi har trykket send mister vi kontrollen med data, det er modtageren der nu bestemmer hvad der sker med dem Hvad med sletning af mailen i begge ender? Hvad med overholdelse af datahygiejne? Og hvordan lagrer vi de filer vi sender og modtager sikkert? Er e-mail overhovedet et sikkert medie? Som du kan se er anvendelsen af e-mail slet ikke optimal. Arbejder man med mange data og har man behandlingsprocesser omkring disse data vil en sikker database nok være løsningen, men er dette ikke tilfældet er der andre gode værktøjer. En oplagt mulighed er at anvende private teams i Microsoft Teams til at lagre og dele fortrolige og personfølsomme data. Ved at anvende Teams opnår vi en lang række fordele. Ved at oprette private teams pr. kunde, pr. projekt eller pr. elev opnår vi at kun inviterede medlemmer kan se og tilgå filer. Og filer er lagret sikkert i skyen, beskyttet af 2-faktor login. Hvis vi tillader det kan vi invitere eksterne gæster og sågar stille krav til disses tilgang til data. Teams er bygget til høj sikkerhed. Og via de såkaldte “sensitivity labels” kan vi øge sikkerheden yderligere og styre politikker for de sikkerhedskrav vi ønsker at vores medarbejdere og eksterne gæster skal overholde. I stedet for at udveksle filer via usikre e-mail udveksles link til filer og evt. informationer om nye filer o.l. Dette er mere sikkert og du kan sågar implementere kryptering og logning, hvis du vurderer at dette er krævet. Versionsstyring er standard og du kan nemt implementere backup på fil-niveau. Teams er bygget til at håndtere følsomme oplysninger og man skelner mellem 3 niveauer af sikkerhed Baseline, Sensitive og Highly sensitive protection. Som du ser, er der gode argumenter for at anvende Microsoft Teams til at øge sikkerheden og digitalisere samarbejdet internt og eksternt samtidigt. Vi er eksperter i Teams og sikkerhedsfunktionerne i Teams. Lad os hjælpe dig med at få styr på IT-sikkerheden - fx ved at øge anvendelsen af Teams.

Rigtig mange virksomheder anvender Office 365 eller Microsoft 365 som det nye navn rettelig er. Men mange er ikke klar over at IT-sikkerheden i de forskellige versioner er meget forskellige. Det første du skal afgøre, er om du er til Enterprise eller Business? Enterprise er til virksomheder over 300 ansatte, så er du væsentlig under dette nummer bør du anvende Business. Set ud fra et sikkerhedsperspektiv er det ret afgørende hvilken version af Microsoft 365 du vælger. Som mindre virksomhed bør du vælge Microsoft 365 Business Premium, da dette er den eneste der indeholder de avancerede IT-sikkerhedsfunktioner. Business Premium indeholder Defender for Business og Defender for Office 365. Dette er en omfattende sikkerhedsudvidelse som reelt beskytter dine enheder og dine brugeres anvendelse af Office funktionerne som e-mail, Teams og SharePoint. Alt sammen vigtige værktøjer som dine brugere oftest betragter som de mest vigtige værktøjer i dagligdagen. Er du på Enterprise planen er den rigtige version minimum Microsoft 365 E3 som indeholder de basale sikkerhedsfunktioner, men også her vil det være en fordel at anvende Microsoft 365 E5, da det er denne version der indeholder de avancerede sikkerhedsfunktioner. Er du i tvivl om du har den rigtige pakke? Eller vil du høre mere om de forskellige sikkerhedsfunktioner i Microsoft 365 og Microsoft Defender? Så ræk ud og lad os få en snak om IT-sikkerhed og evt. et IT-sikkerhedstjek af din virksomhed.

Denne måned bør vi alle gøre en indsats for at højne IT-sikkerheden og dermed gøre det vanskeligere for de IT-kriminelle at få succes med deres kriminalitet. Og de kriminelle har medvind på cykelstien i denne tid, der går ikke en dag uden afsløring af store og små virksomheder og institutioner som er blevet lagt ned af de IT-kriminelle og historier om mistede og lækkede data. I Digital Fighters arbejder vi med at styrke IT-sikkerhed hver eneste dag, men vi vil også gerne slå et slag for cybersikkerhedsmåneden. Derfor kører vi i oktober måned traditionen tro kampagner på vores tilbud. Awareness-træning af medarbejdere Vi forhandler en innovativ og nem løsning til løbende test og træning af dine medarbejdere i IT-sikkerhed awareness. Det er en løsning hvor medarbejderne testes og tilsendes målrettet undervisning – direkte i deres indbakke – løsningen kører 100% automatisk og træningsforløbet tilpasses den enkelte medarbejders niveau. Løsningen er økonomisk attraktiv og nem at tage i brug. Bestillinger her i oktober måned opsætter vi uden beregning. Derudover kan du købe et indlæg/foredrag for dine medarbejdere (1,5 timer) omkring awareness. Køber du det sammen med vores modul er prisen 1.500,-, køber du indlægget alene er prisen 3.000,-. Dette er en nem og attraktiv løsning, da 82% af vellykkede cyberangreb starter med et forkert klik fra en medarbejder. Nem ISMS Nem ISMS er vores app til styring af IT-sikkerheden, hvad enten du blot vil have styr på IT-sikkerheden eller ønsker at arbejde med D-mærket, NIS2 eller ISO-27001. At forankre IT-sikkerhedsarbejdet i en brugervenlig app giver rigtig god mening. Nem ISMS er i forvejen prissat yderst attraktivt, så vores kampagne ved bestilling her i oktober er at vi installerer, onboarder og giver en gratis gennemgang for din IT-ansvarlige. D-mærket, NIS2 og ISO-27001 forløb På vores forløb, hvor vi hjælper virksomheder med at gennemgå IT-sikkerheden, kortlægge informationsaktiver, risikoanalysere og implementere foranstaltninger giver vi 10% rabat på timeprisen ved bestilling i oktober måned og igangsætning snarest efter. Trusselsbilledet er øget markant og du skal som virksomhedsejer/-leder gøre noget. Tag fat i os i dag og lad os sammen lægge en plan for at få styr på IT-sikkerheden i din virksomhed.

I disse dage modtager rigtig mange meddelelser i e-boks omkring datalæk der omfatter vores børn og/eller os selv som nuværende eller tidligere medarbejder på en af de berørte skoler. Jeg kan godt forstå, at man som forældre til et barn kan blive bekymret når følsomme data om ens barn muligvis er blevet stjålet af kriminelle og man ikke ved hvilke informationer de har taget og hvad de vil gøre med dem. Skaden er sket, dvs. at de kriminelle har informationerne og de bestemmer hvad de vil bruge dem til. Medmindre dit barn har været i specielle forløb ifm. skoleopholdet vil det primært være alm. personoplysninger de har taget. CPR-nummer, Navn, e-mail, telefon o.l. Disse data kan sælges til andre kriminelle som så kan anvende dem til at sende SMS'er og phishing-emails som forsøger at franarre dit barn yderligere informationer såsom bankkonti, MitID, passwords o.l. Tilsvarende informationer kan de muligvis have taget af jer forældre. Så i den kommende tid bør hele familien være ekstra opmærksom på mistænkelige e-mails, SMS'er o.l. Umiddelbart skal man nok ikke være så bekymret, de kriminelles primære formål var at få en løsesum af skolerne, denne ville de ikke betale. Jeg tror ikke som sådan at de stjålne data er så værdifulde for andre kriminelle. I værste fald kan de mest følsomme data blive anvendt til at true eller afpresse i forvejen sårbare personer direkte. Det er vigtigt her at melde dette til Politiet og undlade at gå i panik. Dataene er derude, så hvad kan de mere true med? Men det er en god anledning til lige at tænke sin egne IT-vaner og adfærd igennem og til at få en god snak i familien omkring persondata, databeskyttelse og gode digitale vaner. Rent privat er der følgende gode råd: Sørg for at have en nyere pc/mac dvs. gerne Windows 11 eller en nyere Macbook. Hold pc'er og telefoner opdateret med opdateringer Tag backup af jeres vigtige data (specielt familiebilleder og vigtige dokumenter) Overvej at bruge yderligere antivirus beskyttelse Brug IKKE det samme password på tværs af tjenester, brug en password manager (fx Nordpass) Slå to-faktor godkendelse på ALT, Mail, Facebook, Instagram, LinkedIn osv. er der tjenester der ikke understøtter to-faktor - så skift til nogle andre Tal med jeres børn om IT-sikkerhed og gode digitale vaner og hjælp dem med at aktivere 2-faktor o.l. Vær ikke så nærig, hardware, IT-sikkerhed og god software må gerne koste lidt penge. Der er naturligvis mange andre gode foranstaltninger, men de ovenstående er nok de vigtigste. Læs mere her: Borger (sikkerdigital.dk) Derudover er der en cybersikkerhedshotline på 33 37 00 37 (Cyberhotline (sikkerdigital.dk). Har man viden om at en ens persondata er stjålet kan man på Borger.dk oprette en såkaldt Kreditadvarsel, som hjælper til at beskytte imod oprettelse af lån i dit navn, ligeledes har mange igennem deres forsikringsselskab (indboforsikring) ofte en Cyberforsikring med ID-sikring. Tag en snak med dit forsikringsselskab. Hvis du vil checke din egen e-mail her og nu kan du anvende tjenesten https://haveibeenpwned.com/ her kontrolleres familiens e-mail adresser, hvis de har været omfattet af brud, bør passwords på tjenester ændres. Håber at disse informationer svarer på de fleste af dine spørgsmål.