SCM Agendaen – Cybersecurity Awareness
Cybersikkerhed drejer sig om at beskytte computere, servere, mobile enheder, elektroniske systemer, netværk og data mod ondsindede angreb. Denne podcast er på engelsk og handler om, hvad virksomheder kan gøre for at opnå et højere niveau af bevidsthed om cybersikkerhed.
"En af de mest værdifulde ting, virksomheder kan gøre, er at forsøge at fremme en sikkerhedskultur. Det vil sige, at alle medarbejdere forstår, at sikkerhed er en vigtig del af at holde virksomheden kørende, og at alle gør deres bedste for at holde virksomheden sikker", siger Peter Mayer (nummer to fra venstre). Foto: Horisont Gruppen
Podcastværterne Tina Højrup Kjær og Jan Stentoft har taget deres podcastudstyr med til Syddansk Universitet i Odense og produceret en podcast sammen med lektor Marco Peressotti og adjunkt Peter Mayer om emnet cybersikkerheds-bevidsthed. Podcasten er produceret som en del af et projekt finansieret af Industriens Fond og er engelsksproget.
De mest almindelige cyberangreb
Ifølge Marco Peressotti, lektor ved Institut for Matematik og Datalogi, Syddansk Universitet, er det mest almindelige cyberangreb i dag phishing, herunder kompromittering af forretnings-e-mails. Phishing betragtes ofte som den mest udbredte cybertrussel i verden, da den let og billigt kan skaleres. Barrieren for cyberkriminelle til at gå ind i phishing-arenaen er meget lav på grund af eksistensen af 'phishing-as-a-service'-operationer, hvor hackere kan få phishing-kits, der i bund og grund fungerer som enhver anden service, man kan få på internettet. Andre cyberangreb tager form af malware, ransomware og distribueret denial of service (DDoS).
Bevidsthed og adfærdsændring
Med det øgede niveau af cyberangreb i danske virksomheder er det afgørende, at medarbejdere øger deres bevidsthed om cybersikkerhed. En sådan proces kan også føre til et behov for at ændre adfærd. "En af de mest værdifulde ting, virksomheder kan gøre, er at forsøge at fremme en sikkerhedskultur. Det vil sige, at alle medarbejdere forstår, at sikkerhed er en vigtig del af at holde virksomheden kørende, og at alle gør deres bedste for at holde virksomheden sikker", siger Peter Mayer, adjunkt ved Institut for Matematik og Datalogi, Syddansk Universitet. En del af dette er også, at der ikke er et ’blame game’, hvis noget sker. Det vil sige at undgå fokus på, hvis skyld det er, men snarere en skyldfri evaluering af, hvad der gik galt, og hvordan det kan ændres, så det ikke går galt igen.
Vil du også sponsere en podcast på SCM.dk?
Podcasts gennemføres mod sponsorbetaling, hvor du spiller en central rolle. Invitér en kunde, en relevant kilde eller kollega til at deltage. Du kan deltage med 1-2 personer.
Jan Stentoft og Tina Højrup Kjær sørger for alt omkring produktionen: Hjælper med valg af tema, udarbejder drejebog, optager podcast med deltagerne på aftalt lokation, redigerer optagelsen og sørger for udgivelse gennem SCM.dk.
Alt afstemmes med dig som kunde, og den redigerede podcast kommer til godkendelse hos deltagerne inden udgivelse.
Alle podcasts udgives på SCM.dk og distribueres og markedsføres via ugentlige nyhedsbreve, magasinet og gennem Spotify, Apples Podcast App og Google Podcast mv.
Sikkerhed og antagelser
Det er vigtigt at bemærke, at begrebet sikkerhed kun eksisterer med udgangspunkt i antagelser. Hvis man antager, at ingen af e-mail-kontiene bliver kompromitteret, kan selv fortrolige oplysninger opbevares i indbakken. Man kunne også antage, at ingen af maskinerne i netværket bliver kompromitteret, og så kan en ressource bare være tilgængelig på det interne netværk.
”Derfor, kunne det være et interessant første skridt at gøre folk opmærksomme på, at de har gjort disse antagelser - måske ikke eksplicit, men implicit - og måske at nedskrive, hvad de antager ikke vil ske for dem", siger Peter Mayer.
Modenhed inden for cybersikkerhed
’The Cybersecurity Framework’ udviklet af det amerikanske National Institute for Standards and Technology (NIST) er et eksempel på et modenhedsrammeværk. Det fastsætter retningslinjer for afbødning af organisatoriske cybersikkerhedsrisici og er baseret på eksisterende standarder og bedste praksis. Rammen identificerer fire modenhedsniveauer:
- Partiel: Sikkerhedspraksis er ofte ad-hoc og spredt; virksomheder opererer hovedsageligt på reaktiv basis. Virksomheder på dette niveau har brug for at udvikle en struktureret risikostyringsproces for cybersikkerhed. De kan have brug for at øge deres evne til at identificere, vurdere og afbøde risici.
- Risikoinformeret: Virksomheder på dette niveau har vedtaget en risikoinformeret tilgang, hvilket betyder, at de har politikker, procedurer og praksisser på plads.
- Gentagelig: Virksomheder har etableret en standardiseret risikostyringsmetode. Cybersikkerhedsprocesserne er gentagelige, og der er et program inden for virksomheden til at holde dem opdaterede og kørende. Dette betyder også ’at være i stand til mere effektivt at opdage og reagere på cybersikkerhedshændelser’.
- Tilpasningsdygtig: Virksomheder har en proaktiv tilgang til cybersikkerhed. For at være på dette niveau skal virksomheden have et IT-team, der som en del af sine kernefunktioner løbende overvåger og forbedrer cybersikkerhedspraksisserne og tilpasser dem til nye risici.
"I 2020 gennemførte vi en undersøgelse af status for cybersikkerhed i danske små og mellemstore virksomheder, og et af resultaterne var, at de fleste virksomheder befandt sig på de første to niveauer," siger Marco Peressotti.
Deltagere i podcasten
- Lektor Marco Peressotti, Institut for Matematik og Datalogi, Syddansk Universitet
- Adjunkt Peter Mayer, Institut for Matematik og Datalogi, Syddansk Universitet
- Podcastværter: Professor Jan Stentoft, Institut for Erhverv og Bæredygtighed, Syddansk Universitet, og
- Freelancekommunikationskonsulent Tina Højrup Kjær.
Podcasten er frit tilgængelig for alle med en smartphone gennem podcast-apps som Apple Podcasts, Google Podcasts og Pocket Casts.
