Center for Cybersikkerhed vurderer lige nu, at cybertruslen mod Danmark er meget høj. Det gælder både cyberkriminalitet rettet mod myndigheder, virksomheder og borgere. Dertil kommer, at Erhvervsstyrelsen i sin årlige analyse vurderede, at ca. 40 procent af de danske små og mellemstore virksomheder har et utilstrækkeligt digitalt sikkerhedsniveau, hvilket gør dem til oplagte ofte for cyberkriminalitet.
Der er med andre ord flere gode grunde til at udarbejde og opdatere sine it-beredskabsplaner, så man er forberedt, hvis uheldet rammer. Spørgsmålet er selvfølgelig, hvad skal man være opmærksom på, når man etablerer og vedligeholder et it-sikkerhedsberedskab.
Her får du 5 gode råd:
1. Hvem er I, og hvad beskytter I?
Før der bliver nedfældet et eneste ord i en handleplan, skal I kigge på, hvem I er, og hvad I beskytter. Lidt populært sagt er der forskel på at være en tømrervirksomhed, et reklamebureau og en medicinalvirksomhed.
I den ene virksomhed er mobilitet og fleksibilitet nøgleord, i den anden skal der være frihed til at dele data på kryds og tværs hele tiden, og i den tredje er hovedfokus på at beskytte den intellektuelle ejendom. Tre vidt forskellige risikoprofiler, som er med til at definere, hvilke indsatser der skal være beskrevet i it-beredskabsplanen, og hvordan de skal prioriteres i forhold til hinanden.
2. Handleplaner skal være praktiske og i øjenhøjde
Det er sikkert ikke første gang, du hører om vigtigheden af at udarbejde beredskabsplaner. Punktet er altid med i lister, hvor sikkerhedseksperter peger på de vigtigste sikkerhedsdiscipliner. Gennem årene er der blevet lavet mange it-beredskabsplaner, som primært er lavet for at kunne sætte et flueben bagefter. Arbejdet er blevet gjort, men kun proforma og ofte af personer, der organisatorisk er langt fra den praktiske virkelighed.
Gode handleplaner er nemme at omsætte til handlinger helt ude i yderste led af virksomheden. Og de er skrevet i et sprog, så alle forstår deres opgave, og hvorfor de udfører den.
3. Rollefordelingen – hvem gør hvad?
Prøv at lege med tanken om, at alle jeres kritiske forretningssystemer går ned lige… nu! Ville alle i organisationen vide, hvad de skulle gøre? Hvad der var deres specifikke opgave, og hvordan den opgave passede ind i et større puslespil, der både involverede interne og eksterne parter?
Når man bliver ramt af et cyberangreb, hersker der stor forvirring, og det er svært at vide, hvad der er vigtigst, og hvem der gør hvad. Det er lige præcis derfor, rollefordelingen skal være klar og entydig, så de ansvarlige mennesker fokuserer på deres hovedopgave og ikke alt muligt andet.
4. Et tværgående samarbejde
Et cyberangreb har en åbenlys teknisk dimension. Men selvom angrebet er teknisk, involverer jeres respons på angrebet mange flere fagligheder end medarbejderne i it-afdelingen.
Afhængigt af hvilken virksomhed, der er tale om, kan et angreb rejse en masse spørgsmål vedrørende jura, kommunikation, økonomi, logistik, produktion osv. Det vil sige, at jeres it-beredskab skal tage højde for, at fagligheder på tværs af virksomheden arbejder effektivt sammen, så I hurtigst muligt kan vende tilbage til en tilstand, hvor hele forretningen kan køre videre.
5. Test og find sårbarhederne
Et beredskab er ikke et beredskab, før I har testet, hvordan det virker. Derfor er I nødt til – som en brandøvelse – at afsætte ressourcer og afholde testdage, hvor I simulerer et angreb, der lægger hele eller dele af virksomheden ned. Udelukkende for at se hvordan I reagerer under pres, og om beredskabsplanerne er fyldestgørende.
Når I har fundet ud af det, vil det højst sandsynligt stå klart, hvor I skal justere beredskabsplanen, så den er opdateret og klar til brug, når det virkelig gælder.
Kilder: centerforcybersikkerhed.dk, erhvervsstyrelsen.dk
Tag fat i os, hvis I har brug for hjælp til at udarbejde jeres it-beredskab.