Vær beredt med en IT-sikkerhedspolitik og beredskabsplan

Cybertrulsen mod danske virksomheder er meget høj. Derfor er det vigtigt, at I som virksomhed har taget stilling til, hvordan I arbejder med IT-sikkerhed og håndterer digitale angreb. Nedenfor har vi samlet en række råd og vejledninger, der hjælper dig til at danne et overblik over rollefordelinger, ansvar og opgaver med IT-sikkerhed både før, under og efter en IT-sikkerhedshændelse.

Lav en IT-sikkerhedspolitik

For at skabe klare retningslinjer om, hvad der forventes af både leder og medarbejder, når det gælder IT-sikkerhed, kan det være en god idé at lave en IT-sikkerhedspolitik for hele virksomheden. Omfanget af en IT-sikkerhedspolitik varierer alt efter behov. For nogle virksomheder vil det være tilstrækkeligt med en side eller to, som beskriver de overordnede linjer, mens større virksomheder med flere kritiske systemer vil have behov for mere udførlige dokumenter. 

I bør tage stilling til, hvordan I håndterer jeres IT-sikkerhed i virksomheden ved at lave en IT-sikkerhedspolitik, som både ledelsen og alle medarbejdere kender. Det er der flere grunde til:

  • Klare retningslinjer

En nedskrevet IT-sikkerhedspolitik giver både ledelse og medarbejder klare retningslinjer for, hvad der forventes i forhold til, at alle bidrager til at sikre IT-sikkerheden i virksomheden.

  • Minimer sårbarhed ved medarbejderudskiftning

Når de vigtigste retningslinjer er skrevet ned, fremtidssikrer I virksomheden. Så er det nemlig ikke blot kernemedarbejderen med ansvaret for IT-sikkerhed, som har styr på, hvordan I sikrer jeres digitale værdier, men alle medarbejdere i virksomheden.

Husk at oplære nye medarbejdere I jeres IT-sikkerhedspolitik. På den måde mindskes risikoen for, at nye medarbejdere kan være årsag til IT-sikkerhedsbrud.

  • Styrk virksomhedens omdømme

At have fokus på IT-sikkerhed styrker virksomhedens troværdighed og omdømme, både blandt jeres kunder og jeres samarbejdspartnere. Det er derfor vigtigt at kommunikere, at I har styr på sikkerheden.

Formålet med IT-sikkerhedspolitikken er at beskrive virksomhedens mål og holdning til IT-sikkerhed. Det er ikke givet, at I lever op til alle jeres mål i dag, men det er en god anledning til, at I sammen med medarbejderne. diskuterer hvilke mål virksomheden skal sætte for IT-sikkerheden. 

Få hjælp til hvordan du får nedskrevet en IT-sikkerhedspolitik:

Download vejledning og skabelon til en it-sikkerhedspolitik (zip-fil)

Lav en IT-beredskabsplan

Flere og flere virksomheder oplever brud på IT-sikkerheden. Med en IT-beredskabsplan sikrer I, at de IT-afhængige og forretningskritiske arbejdsprocesser i virksomheden, kan reetableres og er funktionelle efter en kritisk hændelse. Hvis der opstår en akut situation i jeres virksomhed, vil både medarbejdere og ledelse opleve et stort pres, samtidig med at I skal handle hurtigt og effektivt. Derfor er det vigtigt, at alle ved, hvordan de skal reagere, hvis uheldet er ude.

Med en IT-beredskabsplan har alle styr på, hvem der gør hvad i hver enkelt situation. Den sikrer, at jeres virksomhed reagerer hurtigt, målrettet og tilstrækkeligt, hvis I oplever en IT-sikkerhedshændelse. På den måde kan skaderne begrænses mest muligt. 

Få hjælp til at lave en beredskabsplan tilpasset til virksomhedens behov her:

Download skabelon til en beredskabsplan

Husk at orientere jer i planerne og procedurerne løbende

Det er vigtigt at IT-sikkerhedspolitikken og beredskabsplanen ikke bliver arkiveret og gemt væk i en skuffe, men løbende bliver taget frem og revideret. Det er en del af et kontinuerligt stykke arbejde, der tilpasses de forskellige medarbejdergrupper og virksomhedens data og IT-systemer. Når nye medarbejdere starter, bør det således være en fast del af oplæringen, at de orienteres i procedurerne for virksomhedens IT-sikkerheds praksis.

Er du leder for en større virksomhed eller overvejer I en ISO 27001 certificering?

Så kan du læse mere om beredskabsstyring nedenfor. Materialet er udviklet til myndigheder, men flere pointer er også relevante for større virksomheder, og virksomheder med kompleks IT-anvendelse og mange IT-systemer: 

Læs om beredskabsstyring i forhold til informationssikkerhed jf. kravene i ISO 27001

Se mere

Virksomhedscase

Det betaler sig at være godt forberedt på digitale angreb

Se hvordan tele- og energikoncernen Norlys arbejde med beredskabsplaner og IT-sikkerhed hjalp dem igennem et DDoS-angreb.

Virksomhedscase

IT-sikkerhed bør gennemsyre hele organisationen

Se hvordan pumpevirksomheden DESMI vendte et kritisk hackerangreb til en konkurrence fordel i form af dybdegående læring om krisehåndtering på IT-fronten

Virksomhedscase

Har vist overfor kunder, at de kan håndtere et angreb

Se hvordan et phishing-angreb fik advokatfirmaet Gangsted-Rasmussen til at fokusere på IT-sikkerhedspolitik og medarbejdersikkerhed.