IT-Sikkerhed – mere relevant end mange erkender

Juni 2025

 

I en tid hvor cyberangreb og datalæk er blevet hverdagshistorier, er det vigtigere end nogensinde at forstå, hvad god IT-sikkerhed egentlig handler om. Sandheden er, at mennesker og ledelse spiller en mindst lige så stor rolle som tekniske løsninger. To nøglebegreber i den sammenhæng er awareness og governance.

Beierholm-cyberkriminelle-leder-efter-åbne-vinduer.jpg

 

Vi starter med en lille fortælling…

Det er en ganske almindelig søndag aften i et gennemsnitligt dansk parcelhuskvarter. En mørkklædt figur går vej op og vej ned og tager i håndtaget til hoveddøren til alle husene, men de er alle låste. Så går han turen igen. Tager i håndtaget og kigger under måtten, om der ligger en nøgle, men alle døre er låste, og ingen nøgle er gemt under måtten. Så går han turen igen. Tager i håndtaget, kigger under måtten og kigger, om vinduerne er lukke-de hele vejen rundt. Alle døre er låste, ingen nøgler under måtten, men … fire huse har vinduet på klem…

To af de fire huse er mærket med alarm på ruderne, og fra det tredje hus lyder der høje gøen fra en hund. Så den mørkklædte figur brækker vinduet op på det fjerde og sidste hus og kravler uhindret ind.

Forestil jer, at denne ene person kan tage i døren, lede efter nøglen, kigge vinduer, tjekke for alarmer og vagthund på 2 sekunder… flere gange om dagen… og i 100 villakvarterer på én gang! Så får man et billede af, hvor få ressourcer, det kræver at skyde med spredehagl som cyberkriminel.

Derfor er vigtigt, at man ikke ser sig selv som uinteressant for cyberkriminelle, fordi man måske er en mindre organisation eller ikke har så stor omsætning. For målestokken for den cyberkriminelle behøver ikke at blive målt på ”en enkelt stor fisk”, hvis der ryger nok små fisk i nettet.
 

Beierholm medarbejder lytter til musik.jpg

 

God IT-sikkerhed starter med mennesker – ikke maskiner

I en tid hvor cyberangreb og datalæk er blevet hverdagshistorier, er det vigtigere end nogensinde at forstå, hvad god IT-sikkerhed egentlig handler om. Mange tror, at det primært drejer sig om tekniske løsninger som antivirusprogrammer og firewalls, så den perfekte sikkerhed kan anskaffes, hvis bare budgettet er stort nok. Begge dele er desværre forkert – både tanken om den perfekte sikkerhed, men i særdeleshed tanken om, at det er størrelsen på budgettet, der sætter dagsordenen for organisationens sikkerhed. For sandheden er, at mennesker og ledelse spiller en mindst lige så stor rolle. To nøglebegreber i den sammenhæng er awareness og governance.

Hvad er awareness?

Awareness – eller bevidsthed – handler om at gøre medarbejdere opmærksomme på de risici, der findes, og hvordan de bedst beskytter sig selv og virksomhedens data. Det kan være så simpelt som at:

  • Genkende en mistænkelig e-mail (phishing)
  • Bruge stærke adgangskoder
  • Undgå at dele følsomme oplysninger over telefon eller e-mail.

Mange sikkerhedsbrud sker ikke på grund af avancerede hackerangreb, men fordi en medarbejder klikker på et forkert link eller deler information med de forkerte. Derfor er uddannelse og løbende træning afgørende. Awareness-programmer bør være en fast del af virksomhedens kultur – ikke bare en årlig præsentation. For modsat billedet af hackere i populærkulturen, er det i virkeligheden i højere grad selve mennesket, der ”hackes”, end det er de tekniske sikkerhedsforanstaltninger. Det sker ofte ved at lokke oplysninger ud af medarbejderen i stressede situationer eller ved at få kritisk viden om den enkelte via sociale medier, som kan udnyttes. Så jo mere viden og træning medarbejderen har på rygraden, jo større er sandsynligheden for, at der handles korrekt i farten, så organisationens IT-sikkerhed opretholdes.

Beierholm-IT-governance.jpg

Hvad er governance?

Governance – eller styring – handler om at have klare retningslinjer og strukturer for, hvordan IT-sikkerhed håndteres i organisationen. Det inkluderer:

  • Politikker for adgang til data
  • Roller og ansvar for sikkerhed
  • Planer for håndtering af sikkerhedshændelser.

God governance sikrer, at alle ved, hvad de må og ikke må, og hvem der har ansvaret, hvis noget går galt. Det skaber tryghed og forudsigelighed – både for medarbejdere og ledelse.

Derudover er det vigtigt, at politikker og procedurer opdateres i takt med ændringer i organisationen og det trusselsbillede, man ledelsesmæssigt har besluttet at forholde sig til. Så et godt værktøj til at understøtte god governance er et detaljeret årshjul, der sikrer, at dokumenter revideres og godkendes af ledelsen årligt samt at sikre, at alle de gode IT-sikkerhedstiltag evalueres og afrapporteres til ledelsen, så beslutninger vedrørende IT-sikkerheden kan træffes på et oplyst grundlag. Derudover skal governance også danne rammerne for awareness, så læringen herfra er relevant i forhold til aktuelle trusler.

Beierholm-IT-ledelse.jpg

Hvorfor hænger awareness og governance sammen?

Forestil dig governance som virksomhedens sikkerhedspolitik – reglerne og rammerne. Awareness er den måde, medarbejderne lærer og forstår disse regler på. Uden awareness bliver governance bare dokumenter, der samler støv. Og uden governance bliver awareness til løs snak uden retning.

 

 

Sådan kommer I i gang

  1. Start med ledelsen – sikkerhed skal prioriteres fra toppen
  2. Lav en simpel sikkerhedspolitik – den skal være forståelig og relevant
  3. Træn medarbejderne løbende – brug realistiske scenarier og gentag budskaberne
  4. Evaluer og forbedr – lær af fejl og opdater politikker og træning regelmæssigt.

God IT-sikkerhed er derfor ikke kun et spørgsmål om teknik – det er en fælles opgave, hvor både ledelse og medarbejdere spiller en vigtig rolle. Med stærk governance og høj awareness står man langt bedre rustet mod de trusler, der findes i den digitale verden.

Det er altid en god idé at evaluere og tilpasse sin IT-sikkerhed løbende og sikre, at ledelsen kan træffe beslutninger for området på et oplyst grundlag – især hvis man er omfattet af særlig lovgivning som f.eks. NIS2. Dette inkluderer f.eks. at gennemgå og opdatere sikkerhedspolitikker og -procedurer, udføre risikovurderinger, sikre korrekt hændelseshåndtering og implementere nødvendige tekniske og organisatoriske foranstaltninger.

Hos Beierholm står vores specialister i IT-revision & ERP-systemer klar til at assistere med bl.a.:

  • Vurdering af nuværende IT-sikkerhed inkl. anbefalinger til optimering
  • ISAE 3000/3402-rapporter, så I kan vise jeres kunder, hvordan jeres generelle IT-sikkerhed, GDPR og databehandleraftaler efterleves
  • Compliance-forløb ift. f.eks. NIS2, ISO27001, GDPR
  • Opbygning af governance, så I får opbygget en tilpasset og relevant sikkerhedspolitik med tilhørende procedurer og kontrolmiljø. Enten ved at starte fra nul eller ved at tilpasse det arbejde, I allerede har lavet.

Husk, at ferieperioderne er højsæson for cyberkriminelle! De udnytter, at organisationen ikke er fuldt bemandet, og at nogle medarbejdere måske dækker funktioner, de ikke sidder med til dagligt samtidigt med, at ledelsen kan være fraværende.
 

Forfatter: Per Højbjerg Jensen, IT-revision & ERP-rådgivning