Menneskelige fejl er involveret i op til 13 procent af alle databrud. Hvordan beskytter du dig bedst mod disse trusler? Vi har samlet fem gode råd til dig.
Det er menneskeligt at fejle, som man siger. Det gælder i høj grad også for it-sikkerhed. Her er menneskelige fejl en hyppig synder, når der sker brud på en virksomheds datasikkerhed.
Det menneskelige element er involveret i hele 82 procent af alle sikkerhedsbrud. Uanset, om der er tale om brug af stjålne legitimationsoplysninger, phishing, misbrug eller blot en fejl, spiller mennesker en meget stor rolle i sikkerhedshændelser og databrud. Ifølge Verizons Data Breach Investigations Report 2022 er menneskelige fejl fortsat en dominerende tendens og er ansvarlig for 13 procent af bruddene.
Det bør være en bekymring for de fleste organisationer - og medarbejdernes fejlbarlighed bør ikke ignoreres.
Menneskelige fejl har store konsekvenser under GDPR
Menneskelige fejl omfatter en række handlinger - f.eks. dårlige passwordvaner, klik på phishing-link eller at sende oplysninger til den forkerte modtager. Det er udbredte problemer, og de udgør alle risici, som skaber udfordringer for enhver organisations datasikkerhed.
Og datasikkerhed er kun blevet vigtigere, siden EU's databeskyttelsesforordning trådte i kraft i maj 2018. Nu kan manglende datasikkerhed resultere i betydelige bøder.
Som organisation kan du træffe de rigtige tekniske foranstaltninger og implementere og strømline de rigtige processer, men du kommer sjældent ret langt, hvis medarbejderne ikke er involveret og ikke forstår, hvordan deres handlinger samlet set bidrager til organisationens GDPR-compliance.
Selv når udefrakommende angriber en organisation, skyldes deres succes oftest, at de kan udnytte interne strukturer og svagheder, der burde have været behandlet tidligere.
5 tips til at forhindre menneskelige fejl
Derfor er det afgørende at tage sine forholdsregler imod menneskelige fejl. Fejl kommer til at ske, og når de sker, er det bedst at være forberedt. Men hvad er det vigtigste, du skal gøre, for at beskytte din organisation? Vi har samlet 5 gode råd til dig.
- Uddan dit personale
Mange fejl kan undgås - med den rette træning. Sørg for, at organisationens medarbejdere er opmærksomme på eventuelle sikkerhedstrusler. Truslerne udvikler sig konstant, så sørg for løbende at holde organisationen opdateret. Det er vigtigt at undervise personalet i gældende love og regler, der er relevante for datasikkerhed og arbejdsgangene.
- Skab en sikkerhedsorienteret kultur
Sørg for at kommunikere alle sikkerhedspolitikker i hele organisationen, så medarbejderne er klar over, at de findes (og over, hvad der kan ske, hvis de ikke følges). En god sikkerhedskultur skabes ved at etablere de rette vaner og arbejdsgange blandt medarbejderne – og ikke mindst ved at fremme et arbejdsmiljø, der tolererer fejl. På denne måde kan du i langt højere grad stole på, at medarbejderne vil rapportere eventuelle fejl, så der kan blive rettet op på dem.
- Implementer adgangskontrol
God sikkerhed starter med solid adgangskontrol. Hvis medarbejderne har kopier af hinandens rettigheder, eller hvis mange ganske enkelt har adgang til for meget data, står det slemt til. Det er afgørende at håndhæve en adgangspolitik baseret på et "need-to-have"-princip. Det betyder, at kun de medarbejdere, der udtrykkeligt har brug for adgang til følsomme oplysninger, får adgang. Denne form for adgangskontrol er ofte det, der udgør forskellen mellem et solidt sikkerhedsniveau og et datalæk.
- Vær opmærksom på interne trusler
De fleste sikkerhedsbrud begås af kriminelle og hackere. Uden tvivl. Det betyder dog ikke, at din organisation kan tillade sig at undervurdere de trusler, som insidere udgør. Der kan være tale om ondsindede medarbejdere, der udnytter deres stilling, f.eks. med henblik på at snyde virksomheden, men truslen kan i høj grad også udgøres af medarbejdere, der ubevidst begår fejl og ikke er opmærksomme på de gældende sikkerhedspolitikker. Det er netop derfor, at adgangskontrol og håndhævelse af adgangspolitikken er så afgørende.
- Tildel så få rettigheder som muligt
Dette råd er tæt forbundet med råd nr. 3: Hold styr på dem, som har fået privilegeret adgang. Når hackere har fået fodfæste i et system, vil deres første mål ofte være at opnå privilegerede rettigheder på et niveau svarende til systemadministratorens. Derfor er det en god idé at begrænse antallet af brugere, der har privilegerede rettigheder i systemerne. Ud over at gøre livet sværere for potentielle hackere vil det også være betydeligt lettere at få overblik over, hvem i organisationen, der har adgang til hvad.
Implementer Zero Trust i din strategi for Identity and Access Management
Ovennævnte foranstaltninger skaber et godt grundlag for at beskytte organisationen mod menneskelige fejl. Hvis du vil tage din sikkerhedsindsats til det næste niveau, er en Zero Trust-sikkerhedsmodel det bedste valg.
Zero Trust-modellen verificerer altid, den har aldrig tillid og behandler alle anmodninger inden for organisationens netværk, som om de kom fra en kilde, der ikke er tillid til. På denne måde bliver alle brugere løbende autentificeret, autoriseret og valideret, før de får adgang til data eller applikationer.
Selv om Zero Trust-modellen omfatter flere faktorer, er fællesnævneren brugeren. Det underliggende princip er at kontrollere, hvem der har adgang til hvilke systemer og data, og at have veldefinerede politikker for at definere, hvornår adgangen skal tillades eller begrænses, og hvordan den skal håndhæves.
Derfor bør Zero Trust være en central del af enhver organisations strategi for Identity and Access Management.
SIVIS Group
