Hopp til hovedinnhold
11.6.2024
Stian Estil
IT-sikkerhet

Trinn-for-trinn-plan for IT-sikkerhet: Dette kan du som leder gjøre i bedriften din

God sikkerhetskultur kommer ikke av seg selv, men den kan etableres!

Hvordan kan du gjøre IT-sikkerhet til en naturlig del av hverdagen i bedriften? Det starter med å skape en positiv dialog og sørge for at tiltakene faktisk blir gjennomført. I denne guiden får du en trinn-for-trinn-plan med effektive tiltak som gjør det enklere å få hele organisasjonen med på laget. Planen gir deg konkrete trinn og nyttige tips som hjelper deg og teamet ditt med å beskytte bedriften effektivt – med alt fra totrinnspålogging til gode beredskapsrutiner.

Med enkle grep kan du bygge en sterk sikkerhetskultur og samtidig gjøre IT-sikkerhet forståelig og gjennomførbart for alle.

1. Sikre bedriften med totrinnspålogging

Passord alene er ikke lenger nok til å beskytte bedriftens systemer. Cyberkriminelle bruker stadig mer avanserte metoder for å knekke eller lure til seg passord, og hvis én ansatts innlogging blir kompromittert, kan hele virksomheten stå i fare.

For å redusere risikoen for dataangrep bør alle ansatte bruke totrinnspålogging (også kalt tofaktorautentisering eller 2FA). Dette innebærer at innlogging krever både noe du vet (passord) og noe du har (for eksempel en engangskode fra Google Authenticator eller en fysisk sikkerhetsnøkkel).

Ifølge tall fra Norsk Senter for Informasjonsikring (NorSIS) bruker bare halvparten av norske bedrifter totrinnspålogging. Det er altfor lavt med tanke på det stadig økende trusselbildet. Å innføre 2FA er en av de enkleste og mest effektive tiltakene du kan gjøre for å styrke IT-sikkerheten – og det bør være et krav, ikke et valg.

Slik får du flere ansatte til å ta i bruk 2FA:

  • Gjør det obligatorisk. Sett opp firmapolicy som krever 2FA på alle relevante systemer.
  • Bruk løsninger som er enkle i bruk. Mange systemer tilbyr sømløs integrasjon med 2FA-løsninger som Microsoft Authenticator eller sikkerhetsnøkler.
  • Tilby opplæring og støtte. Noen ansatte kan synes 2FA er upraktisk. Forklar hvorfor det er viktig, og vis hvor enkelt det er i praksis.
  • Gjør det til en del av sikkerhetskulturen. Tofaktorautentisering er ikke bare en teknisk løsning, men et viktig steg i å bygge en mer bevisst sikkerhetspraksis i bedriften.

Med riktig implementering blir 2FA en naturlig del av de ansattes digitale vaner – og et viktig sikkerhetsnett for hele virksomheten.

2. Bygg intern kunnskap om phishing-angrep

Kunnskap er makt. Med kunnskap kan dere unngå de klassiske fellene mange bedrifter går i.

En avsender som i utgangspunktet virker harmløs – og kanskje til og med utgir seg for å være en av kollegaene dine – kan være en hacker. Små feil i e-postadressen eller navnet kan avsløre svindelen. Men er du ikke bevisst på metodikken, er det fort gjort å gå fem på og trykke på lenker du ikke skulle ha trykket på. Hvis de ansatte svarer på denne typen e-post eller trykker på feil lenker, er det gjerne gjort. Da er hackernes plan i gang. 

Ved å gjøre de ansatte bevisst på metoder som brukes i slike sammenhenger, øker du kunnskapsnivået – og sikkerhetsnivået. Gode rutiner for varsling i slike tilfeller bidrar til å bevisstgjøre resten av bedriften og gjør at dere kan kartlegge hendelser som dette. 

Lær de ansatte å avsløre tvilsomme kilder ved å ta følgende enkle forholdsregler:

  • Hold pilen over URL-en uten å trykke på den for å se om den inneholder det henvendelsen gjelder, og om den stemmer overens med avsenderens opprinnelige URL til deres hjemmeside. Er adressen feilstavet og ender med .com der det burde vært .no, for eksempel?
  • Husk at også https-adresser nå enkelt kan manipuleres av svindlere! Det er ikke lenger en indikator på at URL-en er trygg.
  • Ikke glem at hverken politiet eller andre offentlige og seriøse aktører sender ut lenker knyttet til formelle prosesser.
  • Sjekk adressefeltet fra avsenderen – der kan man raskt se om det er en manipulert e-postadresse. Navnet virker kanskje kjent ved første øyekast, men ser man nærmere, har den ofte stavefeil eller noe annet der det skulle stått .no eller .com.
  • Språket kan avsløre om det er en seriøs henvendelse eller ikke. Flere av angrepene er godt formulert, men både stavefeil og mangel på flyt kan avsløre om det er en masseutsendelse.

De samme prinsippene gjelder for sosiale medier, tekstmeldinger og apper. Alle bør dobbeltsjekke informasjonen og ta en ekstra runde med seg selv: Ville denne avsenderen virkelig sendt meg dette, eller oppfordret meg til å gjøre det jeg blir bedt om her?

{{cta-1}}

3. Skap et bevisst forhold til databackup

Dataene er noe av det mest verdifulle bedriften har. Mister du dataene dine, risikerer bedriften at ansatte blir utestengt fra systemene – og dessuten nedetid og tap av verdifull kundeinformasjon. Konsekvensen kan være store økonomiske tap og skade på både omdømme og tillit. Å gjenopprette de tapte dataene er kostbart – og i verste fall umulig å få gjennomført.

Derfor er en solid backup-strategi avgjørende. Skybaserte forretningssystemer har innebygde sikkerhetsmekanismer som sikrer at data lagres trygt og kontinuerlig oppdateres. For å få en mest mulig robust løsning bør dere

  • velge en skybasert løsning som tar automatisk backup og lagrer data i sikre datasentre
  • sikre redundans ved at data replikeres til flere geografiske lokasjoner
  • teste gjenoppretting jevnlig for å verifisere at data faktisk kan gjenopprettes raskt
  • sørge for riktig tilgangsstyring, slik at kun autoriserte brukere har tilgang til kritiske data

Med en skybasert løsning håndteres backup og sikkerhet automatisk, slik at bedriften slipper bekymringer rundt datatap og driftsavbrudd. En god backup-rutine kan være forskjellen på en kort driftsstans og en katastrofal situasjon.

4. Etabler rutiner for informasjonssikkerhet, beredskapsplan og internkontroll

Et annet viktig punkt du bør ha kontroll på som leder, er rutiner for informasjonssikkerhet, beredskapsplan og internkontroll. Vi tenker da på rutiner som dette:

a) Kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd.

b) Ha en beredskapsplan for håndtering og rapportering av vesentlige feil, avvik eller sikkerhetsbrudd ved driftstjenesten, for eksempel brudd på konfidensialitet.

c) Testing av driftstjenesten, programvare og maskinvare som brukes i levering av tjenesten.

d) Sikring av konfidensialitet, tilgjengelighet og integritet for bedriftsopplysninger, oppdragsdokumentasjon og personopplysninger som lagres gjennom driftstjenesten.

e) Dokumentasjon av informasjonssikkerhet og sikkerhetstiltak.

f) Internkontroll for driftstjenesten og en årlig revisjon av både driftstjenesten og internkontrollen.

Er disse tingene på plass, har du allerede redusert skaden av et potensielt dataangrep betraktelig. 

Sørg for at du har god støtte på veien og finn en systemleverandør som bistår deg i flere av disse trinnene. 

IT-sikkerhet er mer enn bare risikohåndtering!

Å jobbe proaktivt med IT-sikkerhet handler ikke bare om å unngå trusler – det handler også om å styrke virksomhetens konkurranseevne. Med klare rutiner, solid beredskap og en sikkerhetskultur som forankres i hele organisasjonen, står du bedre rustet til å møte både dagens og fremtidens digitale utfordringer.

Sørg for at du har god støtte på veien, og finn en systemleverandør som kan bistå deg i flere av disse trinnene. Med en skybasert løsning som prioriterer sikkerhet, reduserer du risikoen og frigjør tid til det viktigste – å drive og utvikle virksomheten.

{{cta-2}}

Få gratis tilgang til guiden

Når du oppgir dine personopplysninger ovenfor, vil Visma behandle disse i samsvar med vår personvernerklæring.
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Løsninger
Økonomi og regnskapLogistikkLønn og HRRapportering og budsjetteringProsjektstyringAvansert dokumenthåndteringKlimarapporteringÅrsoppgjør og periodeavslutningVerktøy for regnskapsbyrå
Bransjer
HåndverkerEiendomVarehandelRegnskapsbyrå
Partner
Finn din partnerBli en partner
Ressurser
IntegrasjonerKundesenterLearning UniverseHjelpTrust CentreProduktarkWhistleblowingResponsible DisclosureIncident report
Fagstoff
GuiderArtiklerKundehistorierWebinar og seminarKurs og konferanserVideoerNyhetsbrev og podcast
Visma Software Nordic
Om ossJobb hos ossLedige stilinger

Hovedkontor
Karenslyst allé 56
0277 Oslo

© 
2000 
 Visma Software Nordic
PersonvernerlæringCookie policyRedegjørelse etter åpenhetsloven (PDF)
Velg produkt
Visma GroupKarriere i Visma