Det er ikke kun store virksomheder og koncerner, der bliver udsat for spektakulære it-angreb. De cyberkriminelle har for længst fået øjnene op for de små og mellemstore virksomheder, hvor hele 40 procent ifølge Erhvervsstyrelsen har et utilstrækkeligt it-sikkerhedsniveau.
SMV'er drives af mennesker, der brænder for deres forretning, og i en travl hverdag kan det være sin sag at finde tid til it-sikkerhed. Den gode nyhed: En god it-beredskabsplan kan gøre forskellen på kontrol eller kaos, og den behøver ikke at tage lang tid at stable på benene.
Her er 5 gode råd:
1. Hvem er I? Hvad beskytter I?
Første trin er at definere forretningen, og hvad der skal beskyttes. Der er forskel på en tømrervirksomhed, et reklamebureau og en medicinalvirksomhed. Den første kræver mobilitet, fleksibilitet og ordrestyring. For den anden er kommunikation og deling af data på kryds og tværs afgørende. Og for den tredje er det intellektuel ejendom.
Jeres virksomhed har sandsynligvis en helt fjerde risikoprofil, og det er vigtigt at have for øje, når beredskabsplanen skal fastlægge, hvem der gør hvad, og hvilke data der skal prioriteres. Hvad er vigtigst for jer, når forretningen skal beskyttes og genetableres?
2. Praksis i stedet for luftig teori
En it-beredskabsplan skal I ikke lave for planenes egen skyld. Den skal tværtimod være tilpasset forretningen og tage højde for, hvad der rent praktisk kan lade sig gøre. Det er ikke et succeskriterium at sætte en række flueben i et skema, men at have en realistisk plan i øjenhøjde med medarbejdere og forretning.
En god handleplan skal formuleres, så alle ved, hvad de skal gøre, og den skal dække hele virksomheden, ud i alle hjørner. Inddrag gerne medarbejderne undervejs, så planen bygger på, hvad der er praktisk muligt og ikke på, hvad der teoretisk kan lade sig gøre.
3. Rollefordelingen – hvem gør hvad?
Rollefordeling er et nøgleord i en it-beredskabsplan. Bliver I ramt af et it-angreb vil der typisk herske stor forvirring, og alle vil være lidt bagude på point fra starten på grund af overraskelsesmomentet. Her er det afgørende, at de ansvarlige fokuserer på deres hovedopgave og ikke andet.
Hånden på hjertet: Hvis I blev ramt lige nu, ville alle så vide, hvad der skal ske? Her kan en plan lægge skinnerne for, hvad hver enkelt skal gøre som det første. Hvem kontakter netudbyderen? Hvem indkalder den eksterne it-ekspert? Hvem tjekker backup af kundedata? Der kan være mange specifikke opgaver afhængigt af jeres forretning og risikoprofil. Hvis rollerne er fordelt på forhånd, står I stærkere.
4. Et tværgående samarbejde
Hvad enten I har en intern it-afdeling, en ekstern it-ekspert eller måske et samarbejde med en større it-virksomhed, så har ethvert cyberangreb en teknisk dimension. Det er vigtigt at få inddæmmet den akutte trussel, computere skal frakobles, netværksadgang lukkes ned, og recovery skal igangsættes.
Derudover er det ofte aktuelt at inddrage andre afdelinger i beredskabsplanen. Lager, logistik, produktion, administration, marketing, jura ... alle bruger data og kan derfor have en rolle i at afværge følgeskader og genetablere normal forretningsdrift.
Det gælder også i den efterfølgende kortlægning og dokumentation af, hvad der rent faktisk er sket. Af hensyn til både forretningsdrift, forsikringsspørgsmål og valg af den fremtidige sikkerhedsplatform er det afgørende at vide, hvad der er sket, og hvordan I kan undgå, at det sker igen.
5. Test – og find sårbarhederne
Når I har defineret, hvad der skal beskyttes, fordelt rollerne og fået afdelingerne til at samarbejde, skal it-beredskabet stå sin prøve. I skal afsætte tid til en 'brandøvelse', hvor I gennemspiller scenariet, simulerer et angreb, og tester beredskabsplanen trin for trin.
Hvordan reagerer I under pres? Er rollerne fordelt optimalt, og er der svage punkter, der skal korrigeres? En velfungerende it-beredskabsplan skal opdateres fra tid til anden, når der bliver gennemført en test, eller når der bliver tilknyttet nye arbejdsområder eller nye afdelinger. Det kan gøre forskellen på kontrol og kaos, når det virkelig gælder.
Kilder: centerforcybersikkerhed.dk, erhvervsstyrelsen.dk