Säkerhetstips för en bekymmersfri julledighet
Publicerad: 2022-12-07
Senast ändrad: 2024-10-07
Julledigheterna närmar sig för de flesta och snart är det dags att aktivera autosvaret och checka ut för i år. Men cyberkriminella tar inte semester – tvärtom passar de ofta på när vi är lediga. Vi ger dig tips på hur du skyddar företaget under ledigheten.
Dataintrång, it-attacker, fysiska inbrott, vd-bedrägerier och bolagskapningar – farorna är många för företag. Se därför till att tillsammans med kollegorna gå igenom vilka rutiner, processer och regler som gäller hos just er innan ni skiljs åt och går på ledighet. Nedan går vi igenom de vanligaste farorna och hur du kan skydda företaget från att drabbas.
Se över nycklar, behörigheter och enheter
I det hybrida arbetslivet är det lätt att tappa kontrollen över såväl fysiska nycklar som digitala behörigheter till system och företagets enheter. Inför semestrarna rekommenderar vi på SSF att ni går igenom:
- Vilka nycklar, fysiska såväl som digitala passerkort, finns till era lokaler? Vilka anställda, samarbetspartners eller leverantörer ska ges tillgång? Säkerställ att ni har en övergripande lista på vilka de här personerna är, vilken roll de har och varför de har tillgång till företagets lokaler.
- Exitrutiner: Anställda som slutat, konsultavtal som löpt ut? Se till att återkalla digitala accesser och inloggningar till företagsspecifika programvaror och verktyg. Stäng omgående mejlkonton till anställda som slutat för att minska risken för missbruk. Kräv tillbaka nycklar, mobila enheter och datorer.
- Låt inte stöldbegärligt gods som dyra datorer, surfplattor, mobiler eller skärmar bli stående utan tillsyn på kontoret av hänsyn till stöldrisken.
Antivirus och tvåstegsverifiering
De flesta kriser börjar inifrån företaget. Det beror på att den mänskliga faktorn tyvärr är svår att skydda sig emot. Trots tydliga regler, riktlinjer och policys måste företag räkna med att undantag sker samt att anställda använder företagets enheter även till privata ärenden, vilket medför risker.
- Om ni inte redan gjort det, se till att omgående installera och kontinuerligt uppdatera antivirusprogram på alla företagets datorer.
- Kommunicera en tydlig policy gentemot anställda att inga inloggningar mot företagets konton och tjänster får ske på enheter som saknar antivirusprogram.
- Tänk på att vi alla har olika kunskapsnivåer och intresse för säkerhetsfrågorna. En del kanske helt enkelt låtit bli att koppla på ytterligare säkerhetslager av rädsla för att göra fel. Hjälp därför anställda att aktivera tvåstegsverifiering på sina konton, inloggningar och programtjänster.
Nätfiske och falska mejl
Phishing, ett annat ord för nätfiske, är ett av de vanligaste bedrägerierna mot företag idag. De flesta anställda vet att om de får ett mejl med en uppmaning att på att klicka på en länk bör de se upp, men det kan aldrig skada att informera en extra gång inför ledigheterna.
Tyvärr blir bedrägerierna mot företag allt mer sofistikerade. I vissa fall utger sig bedragare för att vara en högt uppsatt chef inom företaget från en mejladress som ser ut att komma från rätt person. I mejlet luras den anställda att lämna ifrån sig känslig information eller göra en stor överföring pengar.
Ofta uppger avsändaren att det är bråttom och att överföringen ska ske till ett annat konto än i vanliga fall. Bedragaren har ofta registrerat en snarlik domänadress som personen den försöker imitera, samt kartlagt vilka personer på företaget som är mest benägna att bli lurade för att ha störst chans att lyckas.
- Se till att alla medarbetare har kunskap för att kunna identifiera falska mejl och nätfiske. Var uppmärksam på att domänen stämmer överens med avsändarens mejladress: .se eller .com. Det förekommer att bedragare stavat namnet rätt, men att domänen är fel. På mobila enheter är det inte lika lätt att identifiera, ta för vana att bygga in ett extra kontrollager och kontrollera på dator.
- Ha tydliga rutiner och riktlinjer för vad som gäller för företagets utbetalningar och transaktioner, framför allt om de ska ske till utlandet.
- Vid misstanke om att något är fel: kontrollring till vd och finanschef innan någon utbetalning sker
- Upprätta rutiner som innebär möjlighet att nå beslutsfattare för extra verifiering vid betalningar över ett visst belopp. Exempelvis att betalningar över 100 000 kronor alltid ska verifieras av både finanschef och vd, alternativt en i förväg överenskommen kontaktlista.
- Ha rutiner för att kontrollera ändrade betalningsuppgifter för samarbetspartners och leverantörer. Får ni mejl om att en leverantör bytt kontonummer, kontrollring via företagets växel eller till en betrodd kontakt och verifiera uppgifterna innan ni svarar på mejlet eller registrerar de nya betalningsuppgifterna.
Ha en färdig krisplan
Oavsett om det är ett phishing-försök eller fysiskt inbrott som inträffar måste alla anställda veta hur de ska göra när krisen är ett faktum. Vem ringer era anställda till om de misstänker att datorn är kapad, om de av misstag klickat upp en länk på mobilen eller noterat en obehörig i anslutning till kontoret?
Ett angrepp på företaget påverkar inte bara it – ni behöver även legala, finansiella och kommunikativa resurser för att hantera krisen. En välfungerande krisplan ska inte vara längre än max två sidor, allra helst bara en. Av krisplanen bör framgå hur ni ska agera, när, var vem och vilka som agerar och varför de behövs. Om ni har etablerade krispartners, exempelvis inom säkerhet, fysiskt skydd eller kommunikation, ska kontaktuppgifterna till dem också finnas med.
Vem som helst kan ha otur en stressig dag och göra fel. Säkerställ att företagets anställda vågar informera om missöden och incidenter så bygger ni en kultur som minskar risken för säkerhetsincidenter.