Er du IT-sikker?

05-03-2008

Det er nødvendigt at styre IT-anvendelsen

I stort set alle virksomheder indgår IT-systemer som en del af dagligdagen, og som oftest fungerer de uden større sikkerhedsmæssige problemer for virksomheden. Ofte får begrebet "IT-sikkerhed" derfor heller ikke nogen større fokus fra virksomhedens ledelse.

Trusler mod virksomhedens IT-systemer kan imidlertid lure lige om hjørnet. Truslerne kan komme fra omverdenen eller internt via medarbejdernes anvendelse af IT-systemerne. Anvendelse af IT bør altid give anledning til overvejelser om, hvorvidt IT-sikkerheden er passende efter virksomhedens forhold.

IT-sikkerheden omfatter de tiltag, virksomheden iværksætter for at forebygge eller forhindre tab eller misbrug af data, brud på datafortrolighed eller datatyveri. Tiltagene afhænger af omfanget af IT-anvendelsen. Har virksomheden for eksempel adgang til e-mail og internet, må virksomheden indføre foranstaltninger til at imødegå udefrakommende trusler.

IT-sikkerhed er en løbende proces, idet der til stadighed opdages nye sikkerhedsbrister i såvel styresystemer som programmer. Man bør således sikre sig, at IT-systemerne er opdateret med de seneste sikkerhedsrettelser fra udbyderne og producenterne af systemerne.

Et eksempel herpå er, at Microsoft månedligt udsender sikkerhedsrettelser til det vel nok mest udbredte styresystem, nemlig Windows XP. Det anbefales, at man sætter styresystemerne op til automatisk at hente og installere de nyeste sikkerhedsrettelser via internettet.

Virus

En af de største trusler mod et velfungerende IT-system er computervirus. Effekten af en virus kan være lige fra "uskyldige" beskeder på skærmen til ødelæggelse af programmer og data.

Den største kilde til computervirus i dag er internettet, hvor virus kan inficere brugernes pc'ere via e-mail eller andet materiale, der hentes på internettet. Virus spredes lynhurtigt fra pc til pc i virksomhedens netværk, og det bedste værn mod virus er et antivirusprogram.

Der bør være installeret antivirusprogram på såvel pc'ere som servere. Programmet er aktivt hele tiden og overvåger og bremser virus i for eksempel e-mail. De fleste antivirus-programmer henter selv opdateringer via internettet, så virksomheden er bedst muligt sikret mod selv de seneste vira.

Fornuftig og forsigtig omgang med internettet og e-mail er med til at forebygge virus. Man bør således have en IT-politik, der blandt andet forbyder medarbejderne at surfe på mindre seriøse eller suspekte internetsider, ligesom de ikke må åbne e-mail og vedhæftede filer fra ukendte afsendere.

Ligeledes bør download af ikke-arbejdsrelateret materiale være forbudt. Virksomheden bør dog være opmærksom på, at en politik ikke nødvendigvis efterleves og ikke kan erstatte et egentligt antivirusprogram.

 

Spam, spyware og phishing

Er man bruger af e-mail og internettet, er spam et velkendt fænomen. Spam er uønskede reklamer i form af e-mail eller reklamer, der popper op, når man bruger internettet.

Bagmændene kan let udsende millioner af reklamer over hele verden. E-mailadresserne køber de, eller de finder dem ved at scanne hjemmesider og nyhedsgrupper med videre på internettet for e-mailadresser.

Spam er i sig selv ikke ødelæggende, men en stor tid- og ressourcerøver, idet den fylder i indbakken og bruger båndbredde på internettet.

Et mere alvorligt problem er "phishing-" og "spyware-programmer", som er små programmer, der installeres på internetbrugerens pc uden dennes vidende.

Programmerne installeres sammen med andre programmer, som hentes fra internettet – typisk gratis programmer. Spywaren kan herefter indsamle oplysninger om brugerens færden på internettet og sende disse oplysninger tilbage til udvikleren.

Mere alvorligt er det, når der er tale om "phishing", hvor programmet opsnapper koder fra brugerens pc – for eksempel koder til netbank-systemer. Det er herefter muligt for udvikleren at overføre penge fra brugerens netbank eller misbruge dankort-/betalingskortoplysninger, hvis brugeren har anvendt et sådant til at betale for varer eller ydelser på internettet. Misbruget er stærkt stigende, og kun et fåtal af tilfældene kommer frem i offentligheden.

Sikring mod spam, spyware og phishing sker ved at have en god firewall mod internettet og installere særlige antispam-/antispyware-programmer.

Et eksempel på sidstnævnte er Windows Defender, som kan hentes gratis på www.microsoft.dk. En korrekt opsat og opdateret firewall er et "must", når man har forbindelse til internettet.

En IT-politik kan endvidere medvirke til at øge brugernes bevidsthed om truslerne, ligesom den bør indeholde bestemmelser om brug af internettet.

Sikkerhedskopiering

Et stadig aktuelt problem i virksomhederne er sikkerhedskopiering. Tyveri, fejl på IT-udstyret og deciderede brugerfejl kan betyde, at vigtige data ødelægges. Der er derfor behov for, at man sikrer sig mod disse risici ved regelmæssig sikkerhedskopiering af data.

Sikkerhedskopiering bør foretages dagligt og i flere generationer (versioner). Opbevaring af sikkerhedskopierne skal ske forsvarligt, og nyeste sikkerhedskopi bør altid opbevares uden for virksomheden.

Sikkerhedskopieringen kan ske til bånd, cd, dvd eller en ekstern harddisk – eventuelt til en anden server. Man bør periodisk undersøge sikkerhedskopien for at sikre, at denne nu også indeholder de forventede data. IT-leverandøren kan være behjælpelig med en sådan kontrol.

Virksomheden kan også vælge at outsource sin IT-drift eller blot opbevaringen af dataene. Dataene ligger så hos et hostingcenter eller transmitteres hertil om natten. Hostingcenteret overtager herefter ansvaret for sikkerhedskopiering og opbevaring.

At genetablere data, som er tabt på grund af manglende eller mangelfuld sikkerhedskopiering, kan være meget ressource- og omkostningskrævende og måske helt umuligt. For virksomheden kan konsekvensen være betydelige økonomiske – og i sjældne tilfælde livstruende – vanskeligheder.

Er man usikker på, om IT-sikkerheden er tilstrækkelig, anbefales det at drøfte emnet med sin revisor eller IT-leverandør. Her er der også hjælp at hente til udarbejdelse af en hensigtsmæssig IT-politik.