De fleste sikkerhedshændelser i mindre virksomheder skyldes ikke sofistikerede hackerangreb — de skyldes, at en medarbejder gjorde noget forkert, fordi ingen nogensinde fortalte dem, hvad der var rigtigt. En IT-sikkerhedspolitik er det dokument, der lukker det hul.

Det behøver ikke være en 40-siders juridisk afhandling. Det skal være et levende dokument, som dine medarbejdere rent faktisk læser og forstår. Her er, hvordan du kommer i gang.

Hvad er en IT-sikkerhedspolitik egentlig?

En IT-sikkerhedspolitik er et sæt skriftlige regler for, hvordan medarbejdere må og skal bruge virksomhedens IT-systemer, data og udstyr. Den svarer på spørgsmål som: Må jeg bruge min private telefon til at tjekke arbejdsmails? Hvad gør jeg, hvis jeg klikker på et mærkeligt link? Hvem ringer jeg til, hvis min bærbare forsvinder?

Uden en politik er svaret på alle disse spørgsmål det samme: ingen ved det. Det er en risiko, du kan fjerne for næsten ingen penge.

Husk: Hvis I behandler persondata — og det gør næsten alle virksomheder — kræver GDPR faktisk, at I har dokumenterede regler for, hvordan data håndteres. En IT-sikkerhedspolitik er en naturlig del af det.

Hvad skal politikken indeholde?

En god IT-sikkerhedspolitik for en SMV behøver ikke dække alt på én gang. Start med de fem områder, der giver størst effekt:

1. Acceptabel brug

Hvad må medarbejdere bruge virksomhedens udstyr og netværk til? Må de streame film på pauserne? Installere egne programmer? Bruge arbejdslaptopen privat? Sæt klare rammer — ikke for at overvåge nogen, men fordi det forebygger misforståelser og sikkerhedsrisici som uønsket software.

2. Adgangskoder og login

Beskriv minimumskrav: Mindst 12 tegn, ingen genbrugning af kodeord på tværs af systemer, og to-faktor-godkendelse (MFA) på alle vigtige konti. Overvej at anbefale en adgangskodemanager — det gør det nemt at have stærke, unikke kodeord uden at skulle huske dem alle.

3. Datahåndtering

Hvor gemmes filer? Er det tilladt at sende kundedata på privatmail? Må medarbejdere bruge Dropbox eller Google Drive til arbejdsdokumenter? Stil spørgsmålene op og giv klare svar. Mange databrud skyldes ikke angreb, men at data ender et forkert sted.

4. Hændelsesrapportering

Hvad gør en medarbejder, hvis de mistænker, de har klikket på phishing, mistet en enhed eller opdaget noget mærkeligt? Angiv et konkret telefonnummer eller en e-mailadresse og gør det klart, at det altid er bedre at melde det — også hvis man er usikker. Mange angreb eskalerer, fordi medarbejdere er bange for at sige det.

5. BYOD — private enheder på arbejde

BYOD står for "Bring Your Own Device" og beskriver situationen, hvor medarbejdere bruger egne telefoner eller computere til arbejde. Det er praktisk, men det åbner for risici: hvad sker der med virksomhedens data, hvis den private telefon bliver hacket eller solgt? Tag stilling til, om I tillader det, og på hvilke betingelser.

Sådan gør du den læselig

Den klassiske fejl er at kopiere et langt dokument fra internettet og sende det til alle. Det læser ingen. Gør det i stedet kort og konkret:

  • Brug overskrifter og punktlister — ikke lange afsnit.
  • Skriv som du taler: "Du må ikke sende kundelister på privatmail" er bedre end "Det er medarbejdernes ansvar at sikre, at følsomme personoplysninger ikke transmitteres via ukrypterede kanaler".
  • Hold dokumentet under 5 sider. Kan du ikke det, er det for detaljeret.
  • Lav en one-pager med de vigtigste regler, som kan hænges op eller sendes som reminder.

Hvordan får du folk til at følge den?

En politik i en skuffe er ingen politik. Tre ting øger chancen for, at den faktisk bruges:

Introducer den aktivt. Gennemgå politikken på et personalemøde. Svar på spørgsmål. Lad det ikke bare være et dokument folk skal "læse og kvittere for".

Gennemfør en kort test. Ikke for at stresse nogen, men for at sikre at budskabet er landet. Tre-fem spørgsmål på fem minutter er nok. Det giver også dig en fornemmelse af, hvad medarbejderne faktisk forstod.

Opdater den regelmæssigt. IT-trusler ændrer sig. En politik fra 2021, der ikke nævner AI-genereret phishing eller cloud-storage, er allerede forældet. Sæt en kalendernotits til at gennemgå den en gang om året.

Praktisk tip: Brug onboarding som naturligt tidspunkt. Nye medarbejdere læser politikken som del af introduktionen — og det signalerer, at IT-sikkerhed er taget seriøst fra dag ét.

Kom i gang i dag

Du behøver ikke starte med et perfekt dokument. Start med de fem afsnit beskrevet ovenfor, hold det enkelt, og get det ud til medarbejderne. Et ufuldstændigt dokument, der faktisk bruges, er langt bedre end et perfekt dokument, der aldrig bliver skrevet.

Har du brug for hjælp til at få strukturen på plads, eller vil du have en sparringspartner til indholdet? Det er præcis den slags opgaver, vi hjælper med til daglig.