IT-sikkerhed i ferien: Har I styr på det vigtigste?

Ferieperioden er ofte en sårbar tid for mange virksomheder. Færre medarbejdere er på arbejde, nøglepersoner er væk, og det kan gøre det sværere at reagere hurtigt på phishing, misbrug af adgange eller driftsforstyrrelser. Her er de vigtigste spørgsmål, ledelsen bør stille, før ferien begynder.

Når ferien nærmer sig, er der som regel meget, der skal falde på plads. Ferieplaner skal koordineres, opgaver fordeles, autosvar sættes på, og ansvaret for de vigtigste opgaver skal være tydeligt, mens kolleger og ledere holder fri.

IT-sikkerhed står sjældent øverst på listen. Men ferieperioder kan gøre virksomheden mere sårbar, og derfor er det et område, ledelsen bør forholde sig aktivt til. Det handler ikke kun om IT - det handler om ledelse, ansvar, overblik og om, hvorvidt virksomheden reelt ved, hvad der skal ske, hvis hverdagen pludselig ikke kører som normalt.

Hverdagen er for rigtig mange virksomheder bygget op omkring de mennesker, der “plejer at vide det”.

• Den medarbejder, der ved, hvem man ringer til, når systemet driller
• Den person, der har styr på adgange
• Den kollega, der altid opdager de mærkelige mails
• Den leder, der godkender betalinger
• Den eksterne IT-kontakt, som nogen har nummeret på et eller andet sted

Det fungerer fint, så længe alle er til stede. Men hvad sker der, når de ikke er det?

Ferien afslører, hvor meget der bygger på vaner, når det handler om IT-sikkerhed

I en travl hverdag opdager man ofte ikke de små tegn på ”svagheder”. Mailen virker, økonomisystemet kører fint, filerne ligger, hvor de plejer, medarbejderne kan logge ind og IT-leverandøren hjælper, når der er behov for det. Derfor kan det være nærliggende at tænke, at der er styr på tingene.

Men der er forskel på, om noget fungerer, fordi det er gennemtænkt - og om noget fungerer, fordi hverdagen plejer at få det til at hænge sammen. Det er ofte først, når normalbilledet ændrer sig, at man mærker forskellen. 

“Vi er jo bare en lille virksomhed”

Mange mindre virksomheder tænker, at IT-sikkerhed mest er noget for de større virksomheder. Vi hører jo alle om cyberangrebene, datalæk og store it-nedbrud, og er det er næsten altid de helt store organisationer, der fylder i medierne. Det kan give en oplevelse af, at mindre virksomheder ikke er interessante mål.

En mindre virksomhed kan være mindst lige så sårbar som en stor. Nogle gange mere, fordi der ofte er færre mennesker at trække på, færre interne ressourcer og mindre plads til længere afbrydelser. Hvis én konto bliver misbrugt, én vigtig fil forsvinder, én betaling ændres, eller ét system går ned eller adgangen til din kunde misbruges, kan konsekvensen være stor.

For en mindre virksomhed er IT-sikkerhed ikke et spørgsmål om at opbygge en stor sikkerhedsafdeling op eller investere i avancerede løsninger. Det handler først og fremmest om at have styr på det grundlæggende:

• Hvem har adgang?
• Hvad er kritisk for driften?
• Hvordan kommer vi videre, hvis noget går galt?
• Hvem må tage beslutninger?
• Og hvem kontakter vi, når der skal handles hurtigt?

Det er ikke nok, at “IT-manden har styr på det”. Ansvaret ligger hos ledelsen

Mange har en ekstern IT-leverandør. Det er både naturligt og fornuftigt. Men det kan også give en falsk tryghed, hvis ledelsen ikke selv har overblikket, eller hvis leverandøren ikke ved, at de skal gøre noget.

En IT-leverandør kan hjælpe med systemer, drift, opsætning og tekniske løsninger. Men kan ikke alene afgøre, hvad der er vigtigst for virksomheden. De ved ikke nødvendigvis, hvor længe I kan undvære jeres økonomisystem. Hvilke kunder, der skal kontaktes først, hvis der opstår problemer. Hvem der må godkende en ændret betalingsoplysning. Hvilke data, der er mest følsomme. Eller hvor stor en risiko virksomheden er villig til at acceptere. Det ansvar ligger hos ledelsen.

Derfor er IT-sikkerhed ikke kun en teknisk disciplin men er en del af den måde, virksomheden bliver drevet på. Det handler om at kunne tage ansvarlige beslutninger, også når noget ikke går efter planen. Og det handler om at sikre, at virksomheden ikke er afhængig af antagelser, tilfældigheder eller enkeltpersoner.

Når alt virker, er det let at overvurdere sikkerheden

Der er noget menneskeligt i at tro, at der er styr på tingene, når hverdagen fungerer. Hvis der ikke har været problemer, føles risikoen lav. Hvis systemerne kører, virker det unødvendigt at stille flere spørgsmål. Hvis ingen har klikket på noget forkert, virker mailsikkerheden måske fin. Hvis der aldrig har været brug for backup, antager man, at den nok virker.

Men IT-sikkerhed kan ikke vurderes ud fra, om man har været heldig indtil nu. Det relevante spørgsmål er ikke kun, om virksomheden har klaret sig godt hidtil. Det relevante spørgsmål er, om virksomheden er forberedt, hvis noget ændrer sig:

• Kan I genskabe data, hvis noget bliver slettet eller låst?
• Kan I hurtigt lukke en adgang, hvis en konto bliver misbrugt?
• Ved medarbejderne, hvordan de skal reagere på en mistænkelig mail?
• Er der styr på, hvem der stadig har adgang til systemerne?
• Har I afklaret, hvad jeres cyberforsikring kræver?
• Ved I, hvem der må træffe beslutninger, hvis en hændelse opstår i ferieperioden?

Hvis svarene ikke er klare, betyder det ikke nødvendigvis, at virksomheden står med et akut problem. Men det betyder, at der er noget, ledelsen bør få kigget på. Man behøver ikke være perfekt sikret for at være ansvarlig. Men man skal vide hvor man står.

Ferie handler også om at kunne give slip

De fleste ledere vil gerne kunne holde ferie med en god fornemmelse i maven. Men ro kommer ikke kun af, at kalenderen er ryddet, og autosvar er slået til. Det afhænger også af at vide, at virksomheden kan håndtere det vigtigste, selvom man ikke lige selv er tilgængelig.

Det kræver ikke store planer eller tunge dokumenter – men det kræver overblik. Hvad er vi afhængige af? Hvor er vi sårbare? Hvilke aftaler har vi med vores leverandører? Hvad skal medarbejderne gøre, hvis de er i tvivl? Og hvilke ting bør vi have styr på, før de bliver testet i praksis?

For mange virksomheder vil svarene nok være blandede.

• Noget er sikkert allerede på plads
• Noget fungerer måske fint, men er ikke dokumenteret
• Noget er placeret hos en leverandør, uden at ansvaret er helt tydeligt
• Og noget er måske bare aldrig blevet prioriteret, fordi hverdagen har haft mere presserende opgaver.

Det er meget normalt - men det er også derfor, at et tjek kan give værdi, så man som ledelse får et bedre grundlag for at beslutte, hvad der faktisk er vigtigt.

Et IT-sikkerhedstjek er ikke en teknisk øvelse - det er et ledelsesværktøj

Et IT-sikkerhedstjek bør ikke ses som en tung teknisk gennemgang, hvor man drukner i begreber, forkortelser og detaljer og ting, der skal gøres, men mere som et praktisk beslutningsgrundlag.

Formålet er, at man får et klart billede af, hvor man står. Hvad fungerer allerede godt? Hvor er der usikkerhed? Hvor er der afhængighed af enkeltpersoner? Hvilke risici bør håndteres først? Og hvilke forbedringer giver mest mening i forhold til virksomhedens størrelse, hverdag og behov?

For den mindre virksomhed kan værdien være særligt stor, fordi overblikket ofte er det, der mangler. Ikke viljen eller ansvarsfølelsen. Men tiden og strukturen til at få stillet de helt rigtige spørgsmål.

Et godt IT-sikkerhedstjek skal derfor ikke gøre sikkerhed mere kompliceret. Det skal gøre den mere overskuelig, og det skal hjælpe ledelsen med at skelne mellem det, der haster. Det, der kan vente, og det, der måske slet ikke er nødvendigt lige nu.