Som VD eller ansvarig för en verksamhet kan det svara svårt att överblicka hoten som finns när det gäller cyberattacker. Ofta är det mycket enklare att förstå fysiska hot som inbrott i lokaler. Men förlust av data kan få minst lika stora konsekvenser och i vissa fall bli än mer allvarligt.
I takt med att vi har blivit mer digitala och efter pandemin även blivit mer rörliga så har även möjligheterna för angrepp ökat. Nedan går vi igenom några punkter som kan vara bra för dig som VD eller ansvarig för en verksamhet att ha koll på.
Försäkring
Se över vilken typ av försäkring ni har och vilka typ av avbrott som försäkringen täcker. Avbrottsförsäkring kan täcka förlust av inkomst vid avbrott men kanske inte förlust av information.
Idag finns det speciella Cybersäkerhetsförsäkringar som kan vara intressanta och som exempelvis kan täcka kostnaden för att anlita experthjälp vid en cyberattack. Den här typen av försäkring kan även täcka skadeståndskostnader om känslig information röjs.
Ansvar
Som ansvarig för en verksamhet går det inte att frånsäga sig ansvar när det gäller hantering av information. Sedan 2018 är personuppgifter hårdare reglerat och det kan bli rejäla skadestånd utifall en verksamhet har brister gällande hantering av personuppgifter.
Som VD går det inte att säga att det är vår IT-avdelning eller IT-leverantör som ansvarar för säkerheten utan det yttersta ansvaret ligger hos ledningen att säkerställa en god nivå för informationssäkerhet.
Sprid riskerna
Devisen att inte ha alla äggen i en korg är väldigt bra när det gäller cybersäkerhet. Idag är det enkelt att införskaffa olika typer av molntjänster och det blir även mer kostnadseffektivt att inte behöva ansvara för driften av olika system. Men det är väldigt viktigt att säkerställa så att leverantörerna av molntjänster har ett gediget säkerhetsarbete.
Det kan även vara klokt att inte använda en och samma leverantör till all IT-drift utan att sprida detta mellan olika leverantörer eller att ha vissa kritiska system i egen regi.
Avtal
Säkerställ att ni har rätt avtal och att avtalet täcker in de förväntningar som ni har på en leverantör av IT-tjänster.
Många leverantörer utgår från Molntjänster 2014 som är ett avtal framtaget av IT och telekomföretagens branschorganisation. Men i standardklausulen för kundens åtagande ligger ansvaret på kunden att tillgodose säkerhetskopiering av data. Det är något som många missar när man köper in en molntjänst och kanske förväntar sig att leverantören även ansvarar för säkerhetskopiering.
Avbrottsplan
Ofta går det att läsa att “vi tar fram papper och penna” när någon blir utsatt för en cyberattack. Men för många verksamheter är detta inte ett alternativt. Det är därför väldigt viktigt att ta fram en avbrottsplan ifall kritiska IT-system blir utslagna. Detta brukar oftast benämnas som kontinuitetsplan.
En kontinuitetsplan ska vara enkel och tydlig att använda, kommunicerad till berörd personal, övad av berörd personal och tillgänglig för alla som anses behöva den, oavsett vad som inträffat.
Personal
Många lyckade cyberattacker beror på den mänskliga faktorn och de som utför attackerna är väldigt förslagna i sina tillvägagångssätt.
Ofta används publik och öppen information för att kartlägga en organisation och vilka nyckelpersoner som finns. Det är därför väldigt viktigt att kontinuerligt utbilda personal kring vilka risker som finns då hoten ständigt förändras och teknikutvecklingen är snabb. Det är även viktigt att personalen verifierar information och att man inför vissa kontrollmekanismer som försvårar bedrägeri och cyberattacker.
Skyddad mot IT-attacker
Att skydda sig mot IT-attacker till 100% är omöjligt, men att arbeta proaktivt och vara riskmedveten kan minska risken för cyberattacker.
I vårt ramverk för cybersäkerhet har vi sammanfattat de mest kritiska hoten och kontrollpunkter enligt gällande lagkrav. Ladda ner ramverket kostnadsfritt här.
Författare Jörgen Aaröe,
VD på DirSys AB
Med över 20 års erfarenhet inom IT och säkerhetsbranschen och med lika lång erfarenhet som VD har Jörgen Aaröe sammanfattat sina bästa tips för proaktiv cybersäkerhet.
