3. post-pandemisk
empowerment-program
For at sikre følsomme data mod de mange risici på arbejdspladsen i dag, bliver cybersikkerhed mere og
mere afgørende.
Afhængigt af hvordan de arbejder på stedet eller virtuelt, er det vigtigt at uddanne personalet i
cybersikkerhed. Ledere kan sørge for, at deres medarbejdere er godt rustet til at identificere og
forebygge trusler, der kan bringe alles sikkerhed i fare. Det afgørende er at sikre processer effektivt for
at beskytte mod sådanne risici, samt at give medarbejderne den rette træning i, hvordan man
genkender og rapporterer mistænkelig aktivitet eller mulige sikkerhedsproblemer.
For at sikre enhver virksomheds overlevelse og rentabilitet på lang sigt er det nødvendigt at fremme en
kultur med viden om cybersikkerhed og ansvarlighed på arbejdspladsen.
Introduktion
7. post-pandemisk
empowerment-program
Et af de vigtigste begreber at forstå i forbindelse med cybersikkerhed
er, at vedligeholdelse er et konstant job. Nye angreb udvikles hver
måned, hvis ikke dagligt, og din tilgang til at beskytte dig mod dem
kan ikke begrænses til årlig træning.
Du skal sikre dig, at dine medarbejdere kender virksomhedens
cybersikkerhedspolitik og føler sig trygge nok ved deres rettigheder
og pligter som medarbejdere. Medarbejderne skal vide, at hvis de er
vidne til eller finder noget mistænkeligt, skal de rapportere det med
det samme.
1. Øge medarbejdernes bevidsthed
Uddannelse af
medarbejdere
8. post-pandemisk
empowerment-program
Når det kommer til uddannelse af medarbejdere, er første prioritet at sikre, at de er bevidste om deres
rolle i opretholdelsen af sikkerheden for virksomhedens data. Det er afgørende, at de har den rette
sikkerhedssoftware og de rette værktøjer på deres computere, at de forstår, hvordan det fungerer, og at
de gør den nødvendige indsats.
Virksomhedsejere skal fastlægge deres officielle politikker og uddele dem til alle medarbejdere. Men det er
ikke nok bare at uddele materialet og regne med, at medarbejderne læser det fra ende til anden og
tager al informationen til sig. Det er en god idé at tale med medarbejderne om politikkerne både i løbet
af oplæringsprocessen, og mens de stadig er ansat.
1. Øge medarbejdernes bevidsthed
Uddannelse af
medarbejdere
9. post-pandemisk
empowerment-program
● Lav et træningsprogram: Udarbejd et uddannelsesprogram, der omfatter virksomhedens regler, krav
til compliance og best practices for cybersikkerhed. Træningsprogrammet bør tilpasses, så det
opfylder virksomhedens og personalets unikke krav.
● Gør uddannelse obligatorisk: Træning i cybersikkerhed skal være obligatorisk for alle medarbejdere.
For at sikre, at medarbejderne har kendskab til de seneste farer og regler, kan det gøres både under
onboarding og løbende.
● Brug interaktive træningsteknikker: Engager personalet i deltagende træningsteknikker, herunder
rollespil, simulationer og quizzer for at understrege vigtige ideer.
● Sørg for regelmæssige opdateringer: Sørg for regelmæssige opdateringer om ændringer i
virksomhedens politikker og cybersikkerhedstrusler for at sikre, at medarbejderne er opmærksomme
på eventuelle ændringer, der kan påvirke deres arbejde.
● Overvåg træningens effektivitet: Brug evalueringer, afstemninger eller andre former for feedback til
at spore og evaluere træningsprogrammets effektivitet. Det kan hjælpe med at lokalisere
problemområder og garantere, at medarbejderne husker materialet.
● Brug eksempler fra det virkelige liv: Brug eksempler fra den virkelige verden for at understrege
betydningen af cybersikkerhed og overholdelse af regler. Medarbejderne kan blive inspireret til at
udvise sikker og lovlig adfærd ved at se, hvilke konsekvenser deres aktiviteter har for virksomheden.
1. Uddannelse af medarbejdere i eksisterende politikker
Interne uddannelsespolitikker
10. post-pandemisk
empowerment-program
● Den generelle forordning om databeskyttelse (GDPR) kræver, at SMV'er beskytter brugerdata mod
tyveri, uautoriseret adgang og andre sikkerhedstrusler.
● Direktivet om net- og informationssikkerhed (NIS-direktivet) kræver, at virksomheder opretholder
sikkerheden i deres datanetværk og rapporterer alle væsentlige problemer til de relevante
myndigheder.
● Cybersecurity Act skaber en ramme for certificering af IKT-processer, -tjenester og -varer for at sikre,
at de lever op til forudbestemte cybersikkerhedskriterier.
● Programmer som Horizon Europe og European Cyber Security Organization giver EU finansiering og
støtte til SMV'er, så de kan forbedre deres cybersikkerhed (ECSO).
● EU giver vejledning og værktøjer til at hjælpe SMV'er med at udvikle deres cybersikkerhedspraksis
gennem initiativer som Den Europæiske Unions Agentur for Cybersikkerhed (ENISA) og den
europæiske cybersikkerhedsmåned.
● Manglende overholdelse af disse krav kan medføre bøder og konsekvenser for SMV'ernes omdømme.
1. Uddannelse af medarbejdere i eksisterende politikker
Europæiske politikker
12. post-pandemisk
empowerment-program
Medarbejderne skal forstå, at de data, de skaber og/eller håndterer, tilhører virksomheden, og at disse
data skal opbevares sikkert. Hvis det er relevant, skal du sørge for, at medarbejderne ved, hvordan man
tager backup af data ved hjælp af metoder, der er beskrevet i dine politikker.
Computere eller andet elektronisk udstyr, der er udleveret af virksomheden, må kun bruges af
medarbejdere, der er autoriseret til at bruge det pågældende udstyr. Understreg også vigtigheden af at
indhente tilladelse til at bruge alle enheder.
Når medarbejdere arbejder eksternt, har datasikkerheds- og it-folk mindre kontrol over og kapacitet til at
overvåge datalagring og -bevægelse. Fjernmedarbejdere kan bruge en kompromitteret
internetforbindelse, forældet software eller udstyr, der ikke fungerer korrekt. Da eksterne medarbejdere
er ansvarlige for at vedligeholde deres udstyr, er det op til dem at foretage opgraderinger, installere
sikkerhedssoftware og følge bedste praksis, når de tilgår data uden hjælp fra IT på stedet.
2. Lagring af data, konti og adgangskoder, VPN, beskyttelse af
personlige data
Beskyttelse af data
13. post-pandemisk
empowerment-program
Heldigvis er der ret nemme løsninger, der kan bruges til at sikre og beskytte data for medarbejdere, der
arbejder eksternt. Nogle af disse løsninger indebærer, at man søger vejledning eller tjenester fra IT-
eller databeskyttelsesspecialister, mens andre kan implementeres af fjernarbejderne selv.
Det, der kunne være værdifuldt for virksomheder, er, at de kunne dele en omfattende liste over
foranstaltninger, der involverer både deres ledelsesteam og fjernmedarbejdere, uanset om de
arbejder fuldtid eller deltid fra en fjernplacering.
Det vil hjælpe med at informere alle medarbejdere om de skridt, der kan tages for at sikre
virksomhedens data, og samarbejde om at implementere dem.
2. Lagring af data, konti og adgangskoder, VPN, beskyttelse af
personlige data
14. post-pandemisk
empowerment-program
2. Lagring af data, konti og adgangskoder, VPN, beskyttelse af
personlige data
Sikring af databeskyttelse
● To-faktor-autentificering (2FA): Ved at kræve en anden form for bekræftelse ud over en
adgangskode, såsom en kode sendt til en smartphone eller biometrisk godkendelse, giver 2FA
et ekstra lag af beskyttelse til loginoplysninger. (Microsoft)
● Software til beskyttelse af slutpunkter: Denne software beskytter fjerntliggende enheder mod
malware og virusangreb ved at identificere og stoppe dem. (Trellix, McAfee)
● Sikkerhedskopiering af data og gendannelsesprocesser: I tilfælde af en katastrofe eller et brud
på datasikkerheden garanterer hyppige backups af virksomhedens data, at vigtige oplysninger
ikke går tabt. (Acronis, Google Drev)
● Firewalls og intrusion detection systems (IDS): Disse instrumenter holder øje med uønsket
adgang til virksomhedens netværk og data og forhindrer den. (CISCO, SonicWall)
● Regelmæssige opdateringer af software og operativsystemer: Faren for hacks og databrud
mindskes ved at opdatere operativsystemer og software for at adressere og rette eventuelle
sikkerhedsbrister.
15. post-pandemisk
empowerment-program
Cybersikkerhed er en nødvendighed, især hvis ledere rekrutterer medarbejdere, der arbejder hjemmefra,
og giver dem uundgåelig adgang via en VPN eller krypteringstjeneste for at sikre, at ingen vitale
oplysninger om virksomheden kommer i deres besiddelse.
Den mest populære autentificeringsmetode til at bekræfte en brugers identitet og give adgang til digitale
ressourcer, herunder computere og onlinekonti, er en adgangskode.
En svag adgangskode eller en, der ofte bruges på flere virksomhedskonti, kan gøre det nemt for hackere at
få adgang til fortroligt materiale, og stærke adgangskoder kan hjælpe med at forhindre uønsket adgang
til disse ressourcer.
For at give en ekstra grad af beskyttelse kan adgangskoder også bruges sammen med andre
autentificeringsteknikker som biometri eller multifaktorgodkendelse.
2. Lagring af data, konti og adgangskoder, VPN, beskyttelse af
personlige data
Adgangskoder
16. post-pandemisk
empowerment-program
2. Lagring af data, konti og adgangskoder, VPN, beskyttelse af
personlige data
- Den er
lang nok
- Den
bruger flere
tegnsæt
- Den
bruger ikke
hele ord
- Det bliver
ændret
regelmæssi
gt
- Den deles
ikke på
tværs af
konti
En stærk adgangskode har disse egenskaber:
17. post-pandemisk
empowerment-program
Det er ikke nok at holde en medarbejder sikker og tryg. Hele virksomheden skal være sikret. Før du opretter en
VPN eller en krypteringsløsning på arbejdspladsen, skal du fastslå hele arbejdsstyrkens
cybermodstandsdygtighed. Du skal have en fast sikkerhedspolitik, som omfatter træning og sikring af, at
medarbejderne er bevidste om vigtigheden af deres cybersikkerhed.
Selv om fordelene ved hybridarbejde inkluderer muligheden for fleksibilitet, kommer det med sikkerhedsrisici.
Virksomheder er nødt til at bruge effektive værktøjer til at beskytte deres netværk mod cybertrusler ved at
bruge en sikkerhedsløsning med flere lag, der giver beskyttelse på flere fronter.
2. Lagring af data, konti og adgangskoder, VPN, beskyttelse af
personlige data
VPN og kryptering
18. post-pandemisk
empowerment-program
2. Lagring af data, konti og adgangskoder, VPN, beskyttelse af
personlige data
Brugere kan få fjernadgang til et privat netværk takket være et virtuelt privat netværk (VPN), en software, der
etablerer en sikker og stabil forbindelse mellem enheder over internettet.
VPN'er er nyttige til:
1) Beskyttelse af personlige og økonomiske data ved at kryptere kommunikationen mellem brugeren og
virksomheden.
2) Sikre, uafbrudt adgang til eksterne medarbejdere, så de kan oprette forbindelse til virksomhedens netværk, som
om de var på kontoret.
3) Skjuler enhedens IP-adresse og placering for at omgå internetregulering og geografiske begrænsninger.
4) Beskytter digitalt indhold og giver sikker interaktion mellem medarbejdere og virksomhedens netværk.
Det er vigtigt at tage højde for aspekter som krypteringsstyrke, logningspraksis og serverplaceringer, når du vælger en
VPN-udbyder.
VPN'er kan sættes op til at begrænse adgangen til bestemte apps eller ressourcer, hvilket tilføjer endnu en grad af
beskyttelse.
Ved at kryptere information under transmission kan VPN'er hjælpe med at undgå tredjepartsangreb og overvågning.
19. post-pandemisk
empowerment-program
2. Lagring af data, konti og adgangskoder, VPN, beskyttelse af
personlige data
Overførte data krypteres ved at konvertere dem til en kodet besked for at forhindre uautoriseret adgang.
For at sikre, at kun personer med de rette dekrypteringsnøgler kan få adgang til dataene, bliver de kodet
og oversat ved hjælp af algoritmer og legitimationsoplysninger. Det bruges i en lang række teknologier
såsom sikker e-mail, VPN'er, krypterede lagerenheder og sikre chatprogrammer.
Det kan bruges til at beskytte privat kommunikation mellem enkeltpersoner eller grupper af mennesker
sammen med kommercielle, finansielle og personlige data.
Kryptering findes i to hovedtyper: symmetrisk og asymmetrisk. Mens symmetrisk bruger en enkelt nøgle til
både kryptering og dekryptering, kræver asymmetrisk kryptering et par offentlige og private nøgler.
End-to-end-kryptering (E2EE) er en form for kryptografi, der bruges i telekommunikation. Kun modtageren
og afsenderen har adgang til det dekrypterede materiale.
21. post-pandemisk
empowerment-program
De mest almindelige cybertrusler mod SMV'er omfatter:
● Phishing: Mistænkelige beskeder, der lokker medarbejdere til at udlevere følsomme oplysninger eller
downloade malware. SMV'er bør sørge for multifaktor-autentificering og bruge e-mail-filtrering.
● Ransomware: Software, der har til formål at skade eller give uautoriseret adgang til et system via
downloads, ondsindede hjemmesider og vedhæftede filer. SMV'er bør tage backup af data og
implementere endpoint-beskyttelse.
● Malware: Software designet til at skade eller få uautoriseret adgang til computersystemer gennem
vedhæftede filer, downloads og ondsindede hjemmesider. SMV'er bør bruge endpoint-
beskyttelsessoftware, opdatere deres software og implementere e-mail- og filtreringsværktøjer.
(fortsætter på næste slide)
3. Undgå cybertrusler
Typiske trusler
22. post-pandemisk
empowerment-program
● Insidertrusler: Ansvar fra nuværende eller tidligere medarbejdere, uafhængige entreprenører eller
leverandører, der har adgang til systemer og data med tilladelse. SMV'er bør implementere
adgangskontrol, baggrundstjek af medarbejdere og overvåge brugeraktivitet.
● Brud på tredjepartsrettigheder: Et angreb, der kompromitterer følsomme data mod en
partnervirksomhed eller leverandør. SMV'er bør overvåge leverandøraktivitet, udvikle
datadelingsaftaler og sikkerhedsforanstaltninger og foretage due diligence på leverandører.
3. Undgå cybertrusler
23. post-pandemisk
empowerment-program
● Simulerede phishing-værktøjer: De giver ledere mulighed for at skabe falske phishing-angreb for at
teste deres medarbejderes opmærksomhed og reaktion på phishing-forsøg. Det kan hjælpe med at
identificere områder, hvor der er behov for yderligere træning. (PhishMe, KnowBe4, GoPhish,
IronScales, Barracuda)
● Værktøjer til scanning af sårbarheder: De kan bruges til at scanne et netværk eller system for
sårbarheder, hvilket kan hjælpe ledere med at identificere potentielle sikkerhedssvagheder og
foretage korrigerende handlinger. (Nessus, Qualys, OpenVAS, Rapid7 Nexpose, Acunetix)
● Platforme til træning i sikkerhedsbevidsthed: Disse platforme tilbyder interaktive og engagerende
træningsmoduler, der fokuserer på specifikke områder inden for cybersikkerhed, såsom phishing,
passwordsikkerhed og social engineering. (KnowBe4, SANS Security Awareness, Infosec IQ, Wombat
Security, PhishMe)
● Skabeloner til sikkerhedspolitik: Disse skabeloner giver en ramme for at skabe omfattende
sikkerhedspolitikker, der dækker forskellige områder af digital sikkerhed, herunder adgangskontrol,
databeskyttelse og reaktion på hændelser. (SANS Institute, NIST)
● Planlægningsværktøjer til hændelsesrespons: Disse værktøjer kan hjælpe ledere med at udvikle og
implementere en omfattende beredskabsplan, som skitserer de skridt, der skal tages i tilfælde af et
sikkerhedsbrud eller en anden hændelse.
3. Undgå cybertrusler
Værktøjer til ledere
24. post-pandemisk
empowerment-program
Fordele
1) Identifikation af farlig adfærd;
2) Registrering af netværkstrafik i realtid;
3) Genkendelse af sandsynlige svindelnumre,
social engineering-angreb og phishing-angreb;
4) Filtrering og detektering af spam-beskeder;
5) Automatisering af procedurer.
3. Undgå cybertrusler
Ulemper
1) Udvikling af kraftfulde AI-genererede
teknikker;
2) Ineffektivitet af kompatible metoder til
detektion;
3) Kommunikationsudfordringer i form af
vildledende og falske alarmer.
Den stadigt stigende brug af AI-værktøjer har vist, at der er behov for at sikre forretningssikkerheden.
AI-værktøjer
25. post-pandemisk
empowerment-program
3. Undgå cybertrusler
Nøgleforanstaltninger for SMV'er
1) Udvikling af systemer til detektering af
indtrængen, såsom firewalls og
antivirussoftware;
2) Tilstrækkelig uddannelse af personalet;
3) Etablering af sikkerhedstaktikker med hjælp fra
cybersikkerhedseksperter;
4) Regelmæssige opdateringer af software.
26. post-pandemisk
empowerment-program
Fordele
1) Tilgængelighed af ekspertise:
Trusselsregistrering og -respons håndteres af
specialister
2) Omkostningsbesparelser: Virksomheder kan
undgå at investere i nye medarbejdere og nyt
udstyr;
3) Eskalering: Tjenesterne kan justeres afhængigt
af virksomhedens behov;
4) Konstant overvågning: Tilvejebringelse af
kontinuerlig sikkerhed;
5) Reduceret risiko: Ekspertise-ressourcer er
outsourcet.
3. Undgå cybertrusler
Ulemper
1) Tab af kontrol: Virksomheden er afhængig af
leverandøren;
2) Kommunikationsmæssige udfordringer:
Misforståelser vedrørende processer;
3) Afhængighed: Der kan opstå en potentiel risiko
i tilfælde af et sikkerhedskompromis;
4) Udfordringer med integration: Tredjeparter og
eksisterende teams skal koordineres;
5) Compliance-risici: Misforståelser af
compliance-standarder kan resultere i farer.
Outsourcing kræver, at man hyrer en ekstern cybersikkerhedsvirksomhed til at administrere
virksomhedens sikkerhedsbehov. Det giver ubegrænset adgang til ekspertise og højteknologi. Men det
kan også indebære risici, der har at gøre med databeskyttelse og leverandørstyring.
Outsourcing
27. post-pandemisk
empowerment-program
Fejlfinding på systemet
Fejlfinding er en systematisk tilgang til
problemløsning, som ofte bruges til at finde og
rette problemer med komplekse maskiner,
elektronik, computere og softwaresystemer.
Fejlfindingsmetoder forsøger normalt at isolere
et problem, så det kan undersøges.
Eksempel
Når en bærbar computer ikke vil starte op, er det
oplagt først at tjekke, om strømkablet virker. Når
almindelige problemer er udelukket, skal
fejlfinderen gennemgå en tjekliste over
komponenter for at identificere, hvor fejlen
opstår.
God praksis og eksempler
Fejlfindingstrin
1) Indsaml oplysninger;
2) Beskriv problemet;
3) Find den mest
sandsynlige årsag;
4) Lav en handlingsplan, og
test en løsning;
5) Implementer løsningen;
6) Analyser resultaterne;
7) Dokumentér processen.
28. post-pandemisk
empowerment-program
● Phishing-angreb var den mest almindelige type hændelse, som SMV'er oplevede, efterfulgt af
malware-infektioner og ransomware-angreb (ENISA,2021).
● 60% af de små virksomheder i EU oplevede mindst én cyberhændelse i 2020 (ENISA, 2021).
● 26% af de britiske SMV'er har ingen cybersikkerhedsforanstaltninger på plads, og kun 16% har en
plan for håndtering af cybersikkerhedshændelser (UK's National Cyber Security Centre, 2020).
● 43% af europæiske SMV'er har oplevet en cyberhændelse inden for det seneste år, og 67% af
disse hændelser resulterede i en væsentlig indvirkning på virksomheden (EY,2021).
● 49 % af de europæiske SMV'er mener, at cybersikkerhed er en prioritet, men kun 37 % har en
plan for reaktion på hændelser (EY, 2021).
Fakta og tal
29. post-pandemisk
empowerment-program
● Foretage risikovurderinger?
● Implementere cybersikkerhedspolitikker?
● Brug sikre adgangskoder og multifaktor-autentificering?
● Regelmæssig opdatering af software og sikkerhedsopdateringer?
● Tilbyde regelmæssig træning i cybersikkerhed?
● Bruge kryptering?
● Sikkerhedskopierer du regelmæssigt dine data?
● Implementere adgangskontrol?
● Overvåge systemer og netværk?
Ved at indføre disse gode praksisser kan SMV'er forbedre deres cybersikkerhed betydeligt og reducere
risikoen for cyberangreb.
Tjekliste: I din SMV, gør du...?
30. post-pandemisk
empowerment-program
Cybersikkerhed er den nye verdensorden
for virksomheder, og det har stor
betydning for eksterne medarbejdere i
dag. Arbejdsgivere er nødt til at sikre, at
medarbejderne er opmærksomme på og
uddannet i virksomhedens
cybersikkerhedspolitik. Vigtige aspekter
af disse politikker bør være lagring af
data, konti og adgangskoder, VPN og
beskyttelse af personlige data.
Arbejdsgivere og medarbejdere bør
være i stand til at undgå de mest
almindelige cybertrusler.
RESUMÉ AF ENHED 5
31. post-pandemisk
empowerment-program
At øge medarbejdernes bevidsthed
og overholde EU's politikker er
afgørende for cybersikkerheden.
Arbejdsgivere skal uddanne deres
medarbejdere i, hvordan de
genkender og undgår
cybertrusler. Ved at tilbyde
træning mindsker organisationer
risikoen for databrud, som
resulterer i økonomisk og
omdømmemæssig skade.
Uddannelse af medarbejderne er
afgørende for at opretholde en
stærk cybersikkerhed.
Resumé af enheden