Den här webbplatsen använder cookies för att ge dig bästa möjliga användarupplevelsen.
Du kan läsa mer om hur vi använder cookies i vår personuppgiftshantering. Genom att godkänna och använda webbplatsen accepterar du vår användning av cookies.

×
IT-säkerhet

Säkerhet i molnet – ett ledaransvar

Säkerhet i molnet – ett ansvar för chefen

Digital säkerhet är något som är viktigt för alla företag, både stora och små. Även om säkerhet inte kan garanteras om inte alla bidrar till den, är det till syvende och sist chefens ansvar att se till att det finns adekvat IT-säkerhet.

Men vad innebär ansvar för IT-säkerhet i molnet, hur ska du som chef planlägga för en god säkerhetskultur och säkra en heltäckande utbildning? I denna artikel får du några tips.

En god säkerhetskultur bygger grunden

Säkerhet i molnet börjar med en allmänt god säkerhetskultur i företaget. Som ledare är du ansvarig för att samtliga anställda tar säkerhet på allvar och visar en sund misstänksamhet när dokument och annan intern information ska delas med externa kontakter. I tillägg måste det upprättas en kultur där det är ett naturligt steg att rapportera och meddela om det finns misstankar om säkerhetsbrott eller oönskade avvikelser.

Anmäl dig här till vår kostnadsfria säkerhetsworkshop 

En vital och god säkerhetskultur kan inte existera utan något informationsflöde som säkerställer att alla anställda, mellanchefer och chefer är på “samma nivå”. De måste med andra ord ha en gemensam kunskapsgrund som de kan basera sina beslut och värderingar på. Säkerhetskulturen är också beroende av goda rutiner och processer för hur de anställda ska varna och vem de ska kontakta om de behöver mer information eller utbildning.

Sätt upp rutiner för heltäckande internutbildning

Säkerhetskulturen är en grundläggande del av hela verksamheten och bör spela in på alla beslut som fattas, oavsett nivå och avdelningstillhörighet. I detta hänseende är det viktigt att understryka att det är chefens ansvar att de anställda får en heltäckande upplärning (länk).

Siffror från norska Nasjonal sikkerhetsmyndighet (NSM) visar att 80–90 % av alla IT-attacker kan undvikas genom några få, enkla grepp. De fyra mest effektiva stegen som du som chef kan genomföra är att säkerställa att alla anställda

  • har uppdaterad hård- och mjukvara
  • har installerat de senaste säkerhetsuppdateringarna
  • har blockerat icke-auktoriserade program
  • inte har adminrättigheter om de inte behöver dem

Om dina anställda har tillräcklig förståelse för vilka åtgärder som är vitala, varför de är viktiga och hur de kan varna om något inte stämmer, kommer säkerheten i ditt företag att öka betydligt.

Därför är internutbildning en kritiskt, viktig åtgärd för att uppnå säkerhet i molnet. Dessutom är det fördelaktigt om de anställda har en viss förståelse för vilka attacker de i synnerhet och företaget som helhet kan bli utsatta för (länk).

Men hur säkerställer du adekvat personalutbildning? Det är först och främst viktigt att detta är förankrat i företagets övergripande IT-strategi (länk). Här bör det definieras vilken avdelning som ska vara ansvarig för utbildningen samt hur detta ska göras, dessutom måste det beviljas tillräckligt med resurser och medel.

Riktlinjer för informationsdelning

I tillägg till en god säkerhetskultur och tillfredsställande internutbildning måste du som ledare se till att det finns etablerade och tydliga governance-modeller, riktlinjer och ramverk för hur information ska delas internt i företaget och externt. Om alla i verksamheten håller med riktlinjerna, höjs sannolikheten att de kommer att förhålla sig till dem och tidigt meddela om några avvikelser inträffar.

Detta gäller också åtkomst och möjligheterna som varje anställd har för redigering, delning och hantering av interndata. Genom att begränsa varje användares förmåga att dela information ökar du ditt företags säkerhet. Du kan begränsa detta till dokumentnivå.

Säkerhetsåtgärderna gäller också småföretag

Utöver att företaget bör ha en god säkerhetskultur så att anställda känner att det blir naturligt att rapportera om de upptäcker avvikelser, behöver du som chef också se till att det finns bra rutiner för att rapportera om händelser samt sätta upp goda kontrollrutiner för att säkerställa att detta undviks. Detta gäller även mindre företag med upp till tio anställda. Företag i denna storlek har vanligtvis inte så detaljerade rutiner och processer som större företag, eftersom det antas att verksamheten är så transparent att det inte finns behov av dokumenterade rutiner. Av olika skäl ser vi dessutom att det inte läggs lika stora resurser på utbildning i småföretag.

Det är viktigt att betona att säkerhet är lika viktig i småföretag som i stora. Data är lika mottaglig för attacker, oavsett företagets storlek. Dessutom kan sannolikheten för att mindre företag attackeras öka just för att angriparen vet att företag av den storleken vanligtvis inte har goda kontrollrutiner.

Hur man säkerställer säkerhet i molnet

Säkerhet i molnet är med andra ord ett kontinuerligt arbete. Varje gång det kommer en nyanställd, varje gång det läggs en ny IT-strategi och varje gång ni uppdaterar IT-miljön, måste säkerhetslösningen gås igenom. Dessutom är det viktigt att det definieras en tydlig ansvarsfördelning, så att alla vet sin roll och kan förvalta den.

Om du upptäcker att du inte har tillräcklig säkerhet i ditt företags molntjänst, eller om du vill förbättra den så ska jag här nedan ge dig några specifika förslag om hur du kommer igång med arbetet.

  1. Gå igenom allas åtkomst
  2. Uppdatera och begränsa administrativa rättigheter
  3. Se till att bädda in säkerhet i nästa års IT-strategi
  4. Skapa tydliga riktlinjer och processer
  5. Skapa en plan för intern utbildning för alla anställda
  6. Sprid information och skapa en bra säkerhetskultur

Regeringens nationella strategi för samhällets informations- och cybersäkerhet slår fast att informations- och cybersäkerhet angår hela samhället och alla behöver ta sitt ansvar, både privatpersoner och företag. Därför är det viktigt att du som chef är medveten om ditt ansvar och tar det på allvar, genom att införa några av de rutiner som har nämnts i den här artikeln. Om hjälp behövs är det också möjligt att involvera experter i detta arbete.

New call-to-action