De fleste bedrifter mangler sikkerhetsrutiner for hjemmekontor

Norske bedrifter angripes daglig av fiendtlige stater og organiserte kriminelle. Likevel melder NorSIS at kun 1 av 3 bedrifter har sikkerhetsrutiner for arbeid utenfor arbeidsplassen. Vi har snakket med sikkerhetsekspert, Dan Ove Skaalerud, i Junglemap, som gir tre råd til hvordan ledere kan sikre at ansatte alltid jobber trygt hjemmefra.

Se videointervjuet med Dan Ove Skaalerud her:

Usynlige fiender

Jeg er en av mange hundre tusen nordmenn som har hatt eller fortsatt har hjemmekontor etter at tidenes pandemi rammet oss.

Mens vi har gjemt oss for den usynlige fienden, koronaviruset, lurer jeg på hvor bevisst vi har vært på en annen usynlig fiende, som også kan sette oss ut av spill – cyberkriminalitet.

NorSIS-undersøkelsen fra 2019 viser at de fleste dessverre ikke tar dette på alvor. Om det har bedret seg vesentlig de siste månedene, vet jeg ikke, men timingen for å sette inn tiltak har aldri vært bedre.

Cyberkriminelle ble ikke permittert under koronakrisen

Nettkriminalitet har eksplodert og viser sitt stygge ansikt i form av spam fra ondsinnede domener for å utføre nettfisking av passord og PIN-koder (phishing) eller til å spre skadevare (malware).

Noen virksomheter, spesielt kritiske funksjoner som sykehus, finner seg selv som offer for løsepengevirus (ransomware), som blokkerer tilgang til viktig programvare inntil løsepengene er betalt.

Se også vår samleside med utstyr til det perfekte hjemmekontoret.

Tre råd til ledere

Når de kriminelle høyner innsatsen, må vi høyne beredskapen. Vi tok derfor en prat med Dan Ove Skaalerud, som er gründer og administrerende direktør i Junglemap. De leverer «nanolæring», en form for systematisk bevisstgjøring av ansatte, som tar i bruk korte leksjoner og kurs gjennom hele året, for å bevare fokus og kompetanse på it-sikkerhet. Siden 2006 har over fem millioner i 140 land nanolært via deres plattform.

Skaalerud har tre råd til ledere som ønsker å ta informasjonssikkerhet på alvor:

1. Lær opp de ansatte: Etabler et opplærings- og bevisstgjøringsprogram som gir medarbeiderne kunnskap og årvåkenhet rundt informasjonssikkerhet og personvern, og legg til rette for dialog rundt disse problemstillingene. Men unngå at det blir en skippertaksløsning, dette må gjøres over tid. Du kan ikke drikke en liter tran en gang i året og håpe å få varig helseeffekt av det. Slik er det også med kurs og opplæring. Man trenger en liten dose daglig eller ukentlig, over tid, for å være på alerten.

2. Lag retningslinjer for håndtering av personinformasjon: Sørg for at ansatte vet hvordan de skal håndtere personinformasjon i samsvar med GDPR. Et eksempel på en slik retningslinje er at personinformasjon ikke skal lagres utenfor virksomhetens domene. Brudd på GDPR kan være uheldig for selskapets renomme og i verste fall svært kostbart.

3. Sett opp KPI-er for informasjonssikkerhetsarbeidet: Alle ledere burde ha KPI-er eller mål for informasjonssikkerhetsarbeidet, slik at det alltid er i fokus. Hvis det ikke er på dashbordet, så er det heller ikke i ledernes bevissthet.