Ett nytt år ger nya krafter att satsa på företagets informationssäkerhet. Vi reder ut hur du bäst utnyttjar årets IT-budget och vad som vore bra att lyfta upp i användarutbildning om informationssäkerhet. I synnerhet nu när molnteknologierna har tagit över, är ett heltäckande dataskydd A och O, och ansvaret för det ligger på både IT-ledningen och varje medarbetare.
Börja 2022 med att säkra grunderna för informationssäkerheten
Även i år är det viktigaste i fråga om informationssäkerheten att se till att grunderna verkligen är i skick. Det lönar sig att uppdatera virusskyddet, lösenorden och organisationens informationssäkerhetsutbildning till en bra nivå innan man tar i bruk mer avancerade lösningar.
Använd alltså början av året till att verkligen få fason på de enklaste och snabbaste förbättringarna av informationssäkerheten. När du har stadig grund att stå på, kan du gå vidare till nästa svårighetsnivå.
Det finns mycket som är bekant bland hoten på informationssäkerhetsfronten. De största informationssäkerhetsriskerna för företag är fortfarande att användare utsätts för nätfiske och låter sig luras att lämna ut sina inloggningsuppgifter. Det är fortfarande ytterst viktigt att skydda sig mot det här. Man ska inte invagga sig i den falska tryggheten att man någon gång tidigare förberett sig för riskerna.
Det är få företag som utsätts för direkta attacker, utan försöken att attackera är i regel opportunistiska. Attacker utförs lite överallt genom att man testar om till exempel en tjänst eller enhet är försedd med ett standardlösenord (eller i värsta fall inget lösenord alls) och hoppas att någon går i fällan och lämnar ut sitt lösenord. Det är ditt jobb att se till att inloggningsuppgifterna och lösenorden i ditt företag är skyddade, särskilt från de enklaste rånförsöken. Som du förmodligen kommer ihåg, räcker det numera inte att bara skydda enheterna, utan det är mycket viktigt att också skydda tjänster och data som finns på nätet.
När det gäller de här hoten, känner du troligen till riskfaktorerna: användarnas lösenord är ofta inte tillräckligt starka eller människor identifierar inte nätfiskemeddelanden som bedrägerier. Bluffmeddelandena blir hela tiden alltmer trovärdiga, så alla behöver vara noggranna och kritiska. Du kan förbereda dig för de här riskerna genom att utbilda och informera personalen – hur självklart det än kan tyckas.
Med rätt verktyg är det varken besvärligt eller hänger på någons minne att minimera hoten mot informationssäkerheten. Det finns verktyg för identitetshantering, till exempel Active Directory, Azure AD och Google IAM – särskilt när de konfigurerats korrekt, hjälper de exempelvis till att säkerställa tillräckligt starka lösenord. Med till exempel Microsoft Defender for Office får du effektiva filtreringsfunktioner mot nätfiskeförsök.
Principen om minsta möjliga behörighet – begränsa användarnas behörigheter, minska riskerna |
System och behändiga lösningar hjälper också användarna att arbeta på ett informationssäkert sätt
Satsa på att informera personalen om varför informationssäkerhetsrutiner förnyas och utvecklas. Om ni exempelvis går över till zero trust-modellen (som du kan läsa mer om till exempel här), kom ihåg att förklara den bakomliggande orsaken. Den bottnar inte i någon egentlig misstro mot de anställda, och framför allt är inte avsikten att göra det svårare för någon att utföra sitt jobb. Genom att begränsa behörigheter säkras all data, inklusive de anställdas personuppgifter.
Håll instruktionerna om informationssäkerheten uppdaterade, utbilda personalen regelbundet och se till att egenkontrollen fungerar. Kom också ihåg att konkretisera, vad till exempel tvåfaktorsautentisering innebär för personalen och hur ofta de måste genomföra den.
Företagets IT ska minska risken för användarfel. Informationssäkerhet är aldrig bara användarnas problem, utan svagheterna ska först och främst lösas i företaget med hjälp av korrekt konfigurerade system.
En anmärkningsvärd sak med informationssäkerhetslösningar är att mycket ofta hänger användbarhet och smidighet ihop med lösningens pris. Om du väljer en billig version, kan slutresultatet vara att den gör användarna irriterade och får dem bara att kringgå eventuella begränsningar, inte följa dem. Så ta mod till dig och använd IT-budgeten till sådana informationssäkerhetsprodukter som verkligen är lätta att använda för alla slutanvändare.
Informationssäkerhet är en kontinuerlig process – kan vi hjälpa dig?
Säkerheten och riktigheten hos ett företags data är inte bara ett projekt som man kan slutföra med en gång. Informationssäkerheten är en kontinuerlig process. Därför måste du utveckla den systematiskt, inte i separata insatser. Det kan rentav vara viktigare att spendera budgeten på en grundläggande rutin än att en gång om året slå till med en stor IT-förnyelse.