Innofactor Blogg

Omedvetna användarbeteenden hos din personal utsätter företaget för risk

Written by Ola Penneryd | 29.3.2021

Insiderrisker är inte bara hot som uppkommer uppsåtligen inne i en organisation, till exempel genom att en medarbetare stjäl känslig information. Numera inkluderar man också omedvetna användarbeteenden i definitionen. När anställda använder kommunikations- och samarbetsplattformar på sätt som inte uppfyller interna policys kan det i värsta fall kan leda till stora säkerhetsrisker för företaget.  

Många gånger handlar slarvig hantering av företagets data främst om att de anställda inte är medvetna om vilka konsekvenser deras handlande kan få för företaget i stort. Det är lätt att tro att cybersäkerhet enbart är en fråga som rör företagets säkerhetsavdelning.  

Hela verksamheten måste med  

I realiteten berör IT-säkerhet alla i en organisation. Det är viktigt att hela verksamhet är med på tåget, att chefer från olika avdelningar förstår vilka hot som finns och känner till hur de kan förebyggas.  

Verksamhetscheferna bör till exempel se till att de anställda känner till företagets IT-policys och att de förstår varför riktlinjerna är viktiga att följa. 

Smarta funktioner och mjukvara fixar inte allt 

Mycket går att fixa med hjälp av smarta funktioner och mjukvara, men förstås inte allt. De aspekter som handlar om hur de anställda bör bete sig i förhållande till företagets interna information behöver hanteras genom regler och policys samt genom utbildning kring dessa. 

Det bör finnas en nedskriven IT-policy med information om vad som gäller samt vilka beslut som fattats och varför. Grunden till en fungerande IT-strategi är att alla förstår vad den innebär, varför den är viktig att följa och vad som händer om man bryter mot den.  

Omedvetna risker 

Även om det finns personer som medvetet går in för att stjäla företagshemligheter eller annan känslig information så utgörs det största problemet av vad anställda gör omedvetet. Det kan vara sådant som att använda GoogleDrive för att dela dokument eller Slack för att kommunicera internt (om applikationerna inte sanktioneras av företaget).  

Just nu när vi uppmanas att jobba hemifrån blir frågan om IT-säkerhet mer aktuell än någonsin. Vad innebär det för IT-säkerheten när personalen jobbar utanför företagets nätverk? Vad kan göras för att förhindra läckor i detta läge? 

92% av alla anställda har någon form av riskabelt beteende 

Enligt en undersökning av Telenor och Sifo har hela 92 procent av anställda någon form av beteende som kan klassas som riskabelt ur IT-säkerhetssynpunkt.  

Det handlar till exempel om att använda tjänster som inte sanktioneras inom företagets IT-system, användning av svaga lösenord, att jobbdatorn kopplas upp på publika wifi:s eller att den lämnas obevakad på offentlig plats.  

Andra företeelser kan vara att det slarvas med att göra uppdateringar eller att medarbetare laddar ner osäker programvara. 

Åtgärder från IT-avdelningen 

Osäkra användarbeteenden kan som sagt leda till allvarliga incidenter som till exempel dataintrång vilket kan kosta företaget väldigt mycket tid och pengar. Ju större organisation desto större attackyta och desto större skäl att ta riskerna på allvar.  

Med hjälp av utbildning och tydliga rutiner kan du som chef bidra till att kontrollera (och minimera) riskerna. 

Det finns också en hel del som IT-avdelningen kan göra för att förebygga hot och minska riskerna. Här nedan listar vi några sådana åtgärder. 

1. Skapa balans mellan tillgänglighet/frihet och säkerhet 

Först och främst behöver IT-miljön möta användarnas krav på flexibilitet samtidigt som en hög säkerhetsnivå säkerställs. Ibland behövs övergripande lösningar för hela IT-miljön, andra gånger får IT skräddarsy upplägg för specifika behov. 

2. Hantering och övervakning vid incidenter

En viktig del i säkerhetsarbetet är såklart övervakning för att snabbt upptäcka incidenter.  

Med övervakning, som identifierar risker och avvikelser i er IT-miljö, kan ni hantera incidenter och vidta åtgärder som exempelvis spärrning och återställning av innehåll. 

3. Genom att vara förberedd kan risker minimeras 

System och datorer bör sättas upp så att utrustningen är förberedd för att minimera risk och skada. Det kan till exempel handla om att se till att en enhet kan spärras om den blir stulen och att innehållet kan återskapas på en ny enhet.  

Slutligen… 

Det är förstås mycket att tänka på när det kommer till säkerhetsfrågor. Inte minst idag när vi jobbar hemifrån i första hand.  

Som ett första steg är det bra att vara medveten om att omedvetna användarbeteenden hos din personal medför säkerhetsrisker. 

Många missar nämligen hur stor betydelse medarbetarna har för företagets IT-säkerhet. Genom att utbilda personalen i säker användning, samt vilka konsekvenser motsatsen kan få, så kan ni undvika en hel del onödiga risker.