Operationel risikostyring

Det er stort set umuligt at gardere sig fuldstændig imod cyberangreb, men vi vil anbefale, at alle virksomheder som udgangspunkt overvejer følgende tiltag:

  1. Analyse og anerkendelse af risici 
    Første skridt til effektiv cyberrisikostyring er, at du skal kende din virksomheds svagheder, og derfor er en analyse af virksomhedens egne systemer særdeles relevant. Efterfølgende skal alle i virksomheden forstå risikoen, og derfor bør du analysere virksomhedens risici og vurdere hvilke konsekvenser, et cyberangreb vil have for jeres virksomhed - blandt andet hvilket tab virksomheden vil lide for eksempel i form af et driftstab eller som et erstatningskrav fra tredjemand som følge af et eventuelt brud på data.

    I forbindelse med risikostyring i forhold til data bør man i enhver virksomhed overveje hvilken type data og fortroligt materiale, man er i besiddelse af, hvordan det bliver opbevaret, hvem der har adgang til det, og om dataene kan downloades til ukrypteret elektronisk udstyr (fx en smartphone eller et USB-stick).


  2. Udarbejdelse af it-politik og beredskabsplan
    Der bør udarbejdes en it-politik i virksomheden. Den skal udarbejdes i et samarbejde mellem ledelsen og de it-ansvarlige og være gennemarbejdet, fyldestgørende og let forståelig for alle medarbejdere.

    Desuden bør der udarbejdes en plan for, hvad der skal ske i tilfælde af en skade - en såkaldt beredskabsplan. Den bør indeholde detaljerede planer for, hvad der skal sættes igang i virksomheden i tilfælde af en skade, blandt andet hvilke personer, der skal kontaktes, og hvem der tager sig af kommunikationen – både internt og eksternt.


  3. Håndtering og implementering
    Risiciene skal håndteres i virksomheden, hvilket betyder, at virksomheden skal have sikkerhedsforanstaltninger som firewalls, anti-virusprogrammer og sikkerhedsprotokoller. Hvis virksomheden ikke har de tilstrækkelige ressourcer internt, er det en god ide at engagere eksterne it-specialiser, der kan assistere med at højne sikkerhedsniveauet. Desuden skal man sørge for implementering af it-politikken, så alle medarbejdere er bekendt med og følger den.


  4. Monitorerer
    Alle de nævnte sikkerhedsforanstaltninger skal overvåges og opdateres kontinuerligt. Desuden skal it-politikken og beredskabsplanen også opdateres, og din virksomhed skal sikre, at alle medarbejdere til enhver tid er bekendt med indholdet i dem.


  5. Forsikring
    Alle virksomheder bør overveje at tegne en forsikring, der dækker cyberrisici, og som kan give virksomheden en vis økonomisk sikkerhed, hvis den på trods af sikkerhedsforanstaltninger bliver udsat for et cyberangreb. Læs mere under menuen Forsikring.