Dette innlegget er fortsettelsen fra forrige ukes artikkel Beste praksis for internopplæring om informasjonssikkerhet. Her kan du lese videre om beste praksis ved internopplæring i IT-sikkerhet.
Alle bedrifter skal ha sine policyer for IT-sikkerhet på plass. Disse bør etableres før noen tiltak og regler blir presentert for de ansatte. På den måten sikrer du at alle praktiske grep er forankret i en policy som allerede er vedtatt som gjeldende. Vi anbefaler at policyene inngår som en del av den interne opplæringen, med et mål om å vise de ansatte at disse dokumentene fungerer både som beskyttelse for de ansatte og for bedriften. Alle policyer skal være tilgjengelige for alle ansatte, og bør digitaliseres, slik at det ikke blir et tiltak å hente dem frem ved behov.
Et IT-sikkerhetsselskap kan bistå både med opplæring i å implementere slike policyer, så vel som å utarbeide dem. Disse tekstene er styringsdokumenter, og må tilfredsstille de ulike kravene som finnes i den aktuelle bransjen. Enkelte bedrifter blir også revidert eksternt på policyene sine, og da er det helt avgjørende å ha rutiner og metoder for å sikre at man etterlever de policyene en selv har laget.
I tillegg til alle tiltak som er nevnt her, er det å ha en plan for alle slags scenarier helt avgjørende for å lykkes. Regelen er å anta at noe kommer til å gå galt, og at bedriften bør rigge seg til for å være best rustet mot de angrepene vi vet er rett rundt hjørnet.
Alle ansatte må vite hva de skal gjøre dersom de opplever noe mistenkelig. Foruten tydelige angrepsforsøk som en e-post der noen utgir seg for å være sjefen som ber ansatte logge seg inn i nettbanken for å sende ham midler til innkjøp av nye kontorpulter, kan det være vanskelig å oppdage at man selv har blitt (forsøkt) lurt.
Av erfaring ser vi at det lønner seg å oppfordre ansatte til å melde fra så fort de får en følelse av at noe er muffens. Som regel går ikke skjermen i sort eller gir lignende tydelige visuelle tegn på at noe er galt ved et angrep. Noen forteller om små, merkelige ting, som at kommandolinjen dukker opp i tre sekunder før den plutselig forsvinner igjen. Uansett hvor subtile indikasjoner en ansatt får på at noe er galt, er det viktig å ha lav terskel for å melde fra.
En ideell interkultur er en som oppfordrer ansatte til å melde fra så fort de får en fornemmelse av at noe er galt eller merkelig, og at det aldri skal være flaut å si fra om noe mistenkelig, selv når det viser seg at det ikke var noe å bekymre seg for. Man må kunne være trygg på at man kan si fra hvis en selv har gjort en feil, uten å bli hengt ut for det. Her må også helpdesken spille på lag, slik at ansatte blir møtt på en skikkelig måte.
En moderne bedrift må ha fokus på IT-sikkerhet for å overleve. Det er likevel viktig at man ikke ser seg blind på teknikk og rutiner når man skal håndtere dette. Hvis man gjør sikkerhetsmessige grep som blir oppfattet som meningsløse eller tungvinte, får man fort en situasjon der de ansatte enten ignorerer eller motarbeider de tiltakene som er valgt. Jobb heller med å skape en sikkerhetskultur i selskapet, der de ansatte forstår viktigheten av IT-sikkerhet, og har et aktivt forhold til hvordan de selv ivaretar bedriftens sikkerhet.
Kombinert med gode tekniske løsninger vil man da være godt rustet for den digitale hverdagen i årene fremover.