39 procent af de små og mellemstore virksomheder (SMV’er) har et utilstrækkeligt sikkerhedsniveau i forhold til deres risikoprofil, og kun 42 procent foretager risikoanalyser af deres it, viser den nyeste analyse fra Erhvervsstyrelsen. Derfor har Erhvervsstyrelsen i samarbejde med Virksomhedsforum for Digital Sikkerhed lanceret et vurderingsværktøj, der skal hjælpe små og mellemstore virksomheder med at foretage en grundlæggende it-risikovurdering.
- Det er essentielt, at virksomheder er opmærksomme på hvilke data og systemer, der er centrale for virksomheden og den daglige drift. Med det nye it-risikovurderingsværktøj kan virksomheder få konkret hjælp til at identificere deres vigtigste systemer og vurdere udvalgte risikoscenarier, siger Formand for Rådet for Digital Sikkerhed og medlem af Virksomhedsforum for Digital Sikkerhed, Henning Mortensen i en pressemeddelelse fra Erhvervsstyrelsen om it-risikovurderingsværktøjet.
En fin tjekliste
PROSAs it-politiske rådgiver, Ole Tange, har gennemgået værktøjet, og giver det denne vurdering:
- Det er helt okay. Det er ikke noget, it-sikkerhedsfolk kan bruge. Men når din onkel, som har et autoophug, kommer og spørger dig til råds om it-sikkerhed, så kan han godt bruge et link til det her.
Værktøjet er også godt nok til, at du som PROSA-medlem med et andet it-speciale end it-sikkerhed kan få noget ud af at bruge det, fortsætter Ole Tange:
- Hvis du er webdesigner og ikke it-sikkerhedsspecialist, men måske den eneste it-ansatte i virksomheden, og it-sikkerhedsopgaven lander hos dig, så har du en fin tjekliste her. Især afslutningen af værktøjet er godt. Her er der en kolonne, der indeholder links til konsekvensen af dine valg i teksten. Så du kan læse om, hvad du kan gøre lige dér, hvor du har en øm tå, og ikke bruge tid på at læse en hel masse andet.
Kolonnen hedder ”kilder til håndtering”, og findes i den grundlæggende it-risikovurdering, der automatisk genereres i værktøjet, og som efterfølgende kan downloades.
Værktøjet holder sig inden for væggene
It-risikovurderingsværktøjet fokuserer på udfordringer som at holde udstyr opdateret med firewall og antivirus, holde styr på adgange til systemerne og at undgå uopmærksomme brugere. Den type risikovurdering, der ifølge Ole Tange holder sig ”inden for væggene”:
- Overvågningsaspektet er fraværende i risikovurderingsværktøjet. Det fokuserer inden for væggene, men ikke på hvis du for eksempel bruger webservices som cloud og skal håndtere følsomme oplysninger. Men det er måske heller ikke så afgørende i forhold til din onkels autoophug.
På baggrund af den genererede risikovurdering kan virksomheden vurdere behovet for yderligere sikringsforanstaltninger, og ledelsen kan tage stilling til, hvilke investeringer der er nødvendige i forhold til virksomhedens risikovillighed.
Prøv it-risikovurderingsværktøjet her.
Find flere redskaber og gode råd om it-sikkerhed her for virksomheder her.