Risici for medarbejderne: Sådan styrker du sikker it-adfærd

Alle ansatte, fra fuldtidsansatte kontoransatte til dem, der transporterer varer til og fra et anlæg, bør informeres om risikoniveauet. For eksempel kan malware infiltrere dit forretningssystem for at lukke driften ned – og medarbejderne ved måske ikke, at download af ekstern software kan give cyberkriminelle en vej ind. 

Medarbejdere og virksomhedsledere bør vide, hvordan man identificerer phishing-angreb. Hvis en medarbejder modtager en pludselig presserende anmodning om personlige oplysninger eller instruktioner om at kontakte afsenderen via telefonopkald eller onlinemeddelelse, skal dette straks vække mistanke. Virksomheder bør regelmæssigt uddanne medarbejderne i, hvordan de identificerer og reagerer på disse hændelser. Herunder hvordan man analyserer afsenderens adresse eller nummer og automatisk registrerer det hos it-afdelinger. Uddannelsesprocedurer bør også omfatte phishing- og malwaresimuleringstest, som viser, hvor let en medarbejder kan målrettes, og hvor sårbare de er over for et angreb. 

Ud over phishing-angreb bør sikkerhedstræning udforske emner som smishing-angreb (vildledende tekstbeskeder), social engineering-angreb, brug af sociale medier, sikker fildeling og sikker webbrowsing

Det er værd at bemærke, at omkring 74% af databrud involverer menneskelige fejl. Og af de CIO'er, vi undersøgte, er en tredjedel (30%) nu mere bekymrede over sikkerhedsrisici på grund af hybridarbejde. Det er derfor vigtigere end nogensinde at gennemføre robuste cyberpolitikker med fast og gennemsigtig top-down-kommunikation. 

Dette omfatter at sikre, at medarbejderne ved, hvordan man bruger virksomhedens enheder og systemer korrekt. Det er bekymrende, at vores forskning viser, at tre fjerdedele (76%) af SMB-sikkerhedstræning ikke involverer printer- eller scannerbrug,  på trods af vigtigheden af at uddanne medarbejderne i, hvordan man bruger disse enheder sikkert.

Retningslinjer for cybersikkerhed bør også indeholde klare instruktioner om brug af offentlig wi-fi. Dette skyldes, at usikre forbindelser kan føre til ondsindede malwareangreb, og selv en medarbejder, der logger ind for at sende et par hurtige e-mails, kan ved et uheld forårsage skade. 

Derudover bør din politik opfordre medarbejderne til at bruge virksomhedens VPN og konfigurere multifaktorautentificering (MFA) for et ekstra lag af identifikation under login. Derudover bør den advare mod at få adgang til arbejdsrelaterede platforme via personlige enheder og minde medarbejderne om aldrig at dele adgangskoder.

Intet af ovenstående kan implementeres effektivt, hvis beslutningstagere og it-afdelinger ikke selv er velinformerede om de nyeste risici. Selvfølgelig er trusler som nyansatte eller dem, der forlader virksomheden, konstant relevante. Det er dog vigtigt at holde sig informeret om nye trusler, såsom at arbejde med nye konsulenter eller medarbejdernes brug af uregulerede tredjepartsapps. 

Samtidig bør ledere fremme et arbejdsmiljø, hvor it-medarbejdere kan modtage cybersikkerhedstræning. Medarbejdere bør også opfordres til at stille spørgsmål eller rapportere eventuelle sikkerhedsproblemer. Dette er vigtigt, fordi det kan hjælpe med at sprede offentlighedens bevidsthed om de typer trusler, du skal passe på.