TeamIT blog

HVAD ER IT-SIKKERHED, OG HVORDAN FUNGERER DET I PRAKSIS?

Det fortæller Allan Mogensen – Partner og Senior Consultant i TeamIT meget mere om her. Hvad er det vigtigste i forhold til IT-sikkerhed? Det er faktisk ikke altid så nemt at svare på. Modsat hvad mange tror er det vigtigste ikke at få styr på klienter, netværk, servere osv.

Det er ofte der det kniber, men vent nu med at kaste kærlighed og penge over dette, og læs videre herunder.

Inden man hælder en masse penge ned i et “sort” hul, skal man få afdækket sin risiko. Det at have styr på sin risiko, gør også at man ved hvor man er sårbar, og hvor man skal gøre det “bedre” og evt. investerer penge og tid i at forbedre IT- sikkerheden, og ligeledes ved man hvor man ikke skal investere, fordi man enten kender risikoen (og/eller acceptere denne risiko), eller fordi det ikke er nødvendigt at gøre noget.

Dit firma’s risikoprofil – hvad er det?

Det at afdække firmaets risikoprofil er noget som man bør ligge ind i et årshjul og genbesøge mindst 1 gang hver år, man kan ikke sammenligne 2 firmaer, som laver præcis det samme, og derved udlede at de har samme risiko, det er individuelt fra det ene firma til det andet. Denne risikostyring er et ledelsesværktøj, som gør at man ved at man har styr på “butikken”, i hvert fald for IT, og derfor bør det også være forankret i ledelsen. Der findes forskellige værktøjer til dette, og man kan også få hjælp at firmaer til at få styr på dette, søg altid rådgivning. Der findes også en række puljemidler, hvor man kan få tilskud. Her under SMV:Digital som er et samlet program, der løbende uddeler puljer til bl.a. digital sikkerhed og ansvarlig dataanvendelse, hvor TeamIT er rådgiver.

“Investering bør altid starte med en risikoprofil

Undgå at hackere får adgang til kritiske systemer og data

Når nu du har læst ovenstående, så tænker du – ja ja, det er ikke noget for mit firma – jo, du skal brug tid på at kende din risiko – alligevel vil jeg herunder beskrive en række ting som typisk dukker op i en risiko analyse af IT-sikkerheden.


Få etableret en backupplan – nej ikke en plan for at tage backup af dine data, men en plan for hvad der skal ske, hvis du mister adgang til dine data og systemer – en plan “B”.

Tag backup af dine data, og gerne en backup som ligger et andet fysisk sted end dit firma – også tit kaldet en “remote backup“.

Brug altid 2 faktor godkendelse (2FA) – det er lidt som MitID / NemID, noget du ved (dit kodeord) og noget du har (NemID/MidtlD app / nøglekort) – det forhindre at hvis din konto/password bliver kompromitteret (kendt) på Internet, at andre kan udnytte det.

Adskil firma og private konti, specielt e-mail konti – det vil altid være en risiko at blande privat e- mail og firma e-mail, og i øvrigt sender dette også et lidt uklart signal til modtageren.

Brug ikke samme password, til alle firmaet adgange (e-mail, online systemer osv.) – det er for nemt for en hacker at gætte sig til at få adgang, hvis først dit password er kendt fra 1 sted, og sørg for at skifte det – brug gerne et “stærkt” password, bestående af både store, små bogstaver, tal og et special tegn (!#%& osv.) – undgå at anvende danske tegn (æøå). Man kan anvende en kodeord husker, der findes en række produkter på markedet, som kan hjælpe med at huske alle dine. password, og som i øvrigt hjælper med at logge ind når den genkender en side hvor du skal logge ind med et brugernavn og password.

Brug aldrig samme password til firma konti og private konti

Specielt med sociale medie konti, gælder det at man skal adskille det private / firma, brug aldrig de private konti til at styre firmaet sociale konti, sørg for at have en ekstra administrator konti tilknyttet til kontoen, så man ikke bliver låst ude fra det sociale medie, hvis den primære konto bliver kompromitteret. Der er mange firmaer som i dag anvender et socialt medie som deres webplatform / salgsplatform – tænk over at du kan miste adgangen til denne, og i øvrigt overlader indholdet til hackerne.

Har man produktion som er afhængig af IT, bør man – nej… skal man sørge for at adskille det fra det almindelige administrative IT – f.eks. skal en bogholder eller en sælger ikke have adgang til produktionsmiljøet – ofte er det præcis klienter (PC’ere) som er den største risiko i IT-landskabet. Man kan betragte produktionsmiljøet som “guld ægget” i firmaet, det som man lever af, det som er firmaet eksistensberettigelse – det skal man naturligvis værne om, og beskytte.

Anvend de tekniske foranstaltninger der findes, for at sikre e-mails, både dem du modtager, men også at andre ikke kan sende falske e-mails i dit eller firmaets navn.

Sørg for at opdatere programmer løbende (f.eks. Adobe Acrobat) og styresystemer (f.eks. Windows).

Hvis noget er for godt til at det er sandt, så er det helt sikkert det – brug altid din sunde fornuft- og lær dine medarbejdere det samme.

”En hacker med adgang til en administrators id og password kan gøre stor skade!

Indholdsfortegnelse