I juni 2021 publicerade Europeiska unionens cybersäkerhetsbyrå (ENISA) en rapport med detaljerade rekommendationer till små och medelstora företag om hur de kan lösa gemensamma utmaningar. Omkring 45% av de små och medelstora företagen rapporterade att de implementerat ny teknik som svar på pandemin, men mindre än 10% av dem inkluderade nya säkerhetsåtgärder. Som ett resultat av detta är små och medelstora företag mycket sårbara för säkerhetsöverträdelser.
I det här blogginlägget listar vi de viktigaste slutsatserna från rapporten för att hjälpa dig att förbättra din cybersäkerhet.
Hur säkerhetsöverträdelser påverkar ditt företag
Att klicka på en misstänkt länk, besöka skumma webbplatser eller använda förinstallerade antivirusprogram kan verka som små incidenter, men de kan få allvarliga konsekvenser för dig och din organisation. Enligt ENISA 2021-rapporten skulle 80 % av de små och medelstora företagen drabbas av allvarliga negativa konsekvenser om de utsattes för en cyberattack eller ett säkerhetsintrång, varav 57 % skulle gå i konkurs eller lägga ned sin verksamhet. Även om konsekvenserna inte blir så allvarliga är det ett onödigt slöseri med resurser att hantera dataförluster, rättsliga följder eller skadade enheter.
Varför ska små företag bry sig om cybersäkerhet?
De mest populära onlinetjänsterna är distansarbete, banktransaktioner, e-post och informationssökning - chansen är stor att ditt företag i hög grad är beroende av internet. Trots fördelarna med att använda onlinetjänster gör internetåtkomsten ditt nätverk sårbart för nätfiske, webbaserade attacker, allmän skadlig kod samt andra säkerhetsöverträdelser. Det här problemet påverkar företag av alla storlekar, men alla företag är inte lika väl skyddade.
ENISA fann att 85% av de större företagen anser att cybersäkerhet är en viktig fråga. I små och medelstora företag prioriteras dock cybersäkerhet ofta inte. Antingen anses det inte vara relevant eller så ignoreras det på grund av brist på personal eller ekonomi. Detta är lite missvisande eftersom cybersäkerhet är avgörande och inte behöver vara alltför dyrt. Du bör först identifiera områden som behöver förbättras och sedan genomföra lämpliga åtgärder! Tre områden som ENISA rekommenderar att man förbättrar är:
-
Människor
-
processer
-
Teknik
1. Utbilda ditt team
Det är en vanlig uppfattning att cybersäkerhet är begränsat till IT-avdelningen, men så är inte fallet. Varje enskild medlem i en organisation spelar en avgörande roll för att hålla nätverket säkert, och därför bör de vara medvetna om eventuella hot och veta hur de ska hantera dem. Eftersom 84% av cyberattackerna bygger på någon form av social ingenjörskonst bör organisationsmedlemmarna också ta till sig goda IT-säkerhetsvanor .
Det här är de vanligaste orsakerna till säkerhetsincidenter:
-
56% - Svaga lösenord (2020)
-
44% - Olåsta enheter (2020)
-
28% - Utpressningsprogram (2018)
-
Användning av privata enheter
-
Bristande säkerhetspolicy
Dessa problem gör hela verksamheten och de personuppgifter den hanterar sårbara. ENISA rekommenderar att anställda deltar i någon typ av utbildning för att öka medvetenheten. I en sådan utbildning kan de lära sig att skapa starka lösenord, surfa säkert på internet, behandla personuppgifter på ettlagligt sätt och mycket mer. Medvetandeutbildning bör inte vara en engångskurs utan snarare ett kontinuerligt arbete för att förbättra cybersäkerheten.
2. Omstrukturera dina säkerhetsprocesser
Implementera en egen IT-säkerhetspolicy
Förutom att ha kunniga medarbetare måste du också fastställa tydliga riktlinjer för IT-säkerheten. Dessa specifika riktlinjer anger för medarbetarna hur de förväntas bete sig när de använder företagets nätverk, utrustning och tjänster. Om du vill veta hur du skapar din egen IT-säkerhetspolicy kan du använda vår steg-för-steg-guide och mall.
Genomför cybersäkerhetsrevisioner
Det kan vara svårt att övervaka trafiken och aktiviteterna på varje enskild enhet eller nätverk, även för ett mindre företag. Som ett resultat kan du riskera att ett kritiskt problem, en sårbarhet eller ett hot förblir oupptäckt. Därför rekommenderas att man regelbundet genomför cybersäkerhetsrevisioner och -utvärderingar. På så sätt kan du identifiera eventuella svaga punkter innan ett intrång sker och se till att ditt företags ramverk för cybersäkerhet upprätthålls.
Incidentplanering och respons
Om ett säkerhetsbrott inträffar måste företaget ha ett protokoll på plats som beskriver hur man ska gå tillväga och hantera situationen på rätt sätt. Ett formaliserat svar gör det inte bara möjligt för dig att agera snabbt, utan det förhindrar också att du eventuellt avslöjar konfidentiell information eller påverkar din organisations offentliga image negativt.
Kanske kan ett dataskyddsombud hjälpa till
Att genomföra cybersäkerhetsgranskningar och -bedömningar, utarbeta IT-säkerhetspolicyer och planera incidenthantering kan vara tidskrävande och ibland kräva expertis; du kan överväga att ha ett dataskyddsombud. De kan hjälpa till med sådana uppgifter, se till att GDPR efterlevs och följa andra regler. Kanske kan din organisation dra nytta av att ha ett dataskyddsombud.
3. Uppdatera dina tekniska inställningar
För att alla andra insatser ska ge resultat behöver du ett starkt tekniskt ramverk. Enligt rapporten förlitar sig över 70 % av små och medelstora företag enbart på förinstallerad eller grundläggande programvara för att skydda sig mot säkerhetsöverträdelser. Detta är dock mycket otillförlitligt. Här är några ytterligare åtgärder som kan stärka din IT-säkerhet:
Nätverks- och tillgångssäkerhet
En av de enklaste sakerna att implementera är en brandvägg. Dess grundläggande funktion är att filtrera och övervaka trafik som skickas eller tas emot, baserat på regler som du ställer in för ditt nätverk. Det finns många ytterligare tjänster som en brandvägg kan tillhandahålla, t.ex. filtrering av e-posttrafik, blockering av åtkomst till skadliga webbplatser eller varning för potentiella attacker. Det är viktigt att ha en brandvägg, men du kan välja ytterligare funktioner som passar din organisations behov.
En ytterligare åtgärd är att installera antivirusprogram. Även om de flesta redan använder sådana program för att skydda sig mot skadlig kod bör du se till att de används effektivt; se till att du alltid har den senaste versionen installerad på alla enheter, även medarbetarnas surfplattor och smartphones. Du bör också kunna hantera antivirusprogrammet centralt för att se till att det är uppdaterat.
Övervakning av säkerheten
När du har implementerat alla nödvändiga program och system måste du se till att de fungerar effektivt. Vi föreslår att du börjar med IT asset management. Det är ett system som övervakar alla företagets enheter och tillgångar för att förhindra användning av skadliga eller obehöriga program.
Så vad gör vi nu?
Jag hoppas att du förstår varför mindre företag bör prioritera cybersäkerhet lika mycket som större organisationer. Vi uppmuntrar dig och din organisation att följa rekommendationerna i ENISA's rapport från 2021, eftersom det kan öka cybersäkerheten och förhindra de konsekvenser som ett intrång kan orsaka.
Vår viktigaste slutsats från ENISA:s rapport är att en organisations medarbetare är dess viktigaste tillgång. Därför är det bästa sättet att komma igång att öka medvetenheten om cybersäkerhet. Vi rekommenderar att du låter dina anställda delta i en utbildning där de får lära sig att identifiera och hantera hot samt hur de ska agera på ett korrekt sätt online.
