At være en lille virksomhed der både skal tjene til vejen og dagen, og samtidigt være bebyrdet med administration, kan være ganske udfordrende, og heldigvis også spændende. Knap så spændende er det når IT-udfordringerne banker på døren. Ikke mindst når noget går rivende galt. Så er det at man glæder sig over stadig at have de vigtige kontakter skrevet ned på papir og den gode ven er kun en telefonsamtale væk.
Heldigvis findes der mange rigtig gode branche-løsninger til de fleste almindelige opgaver som den enkelte virksomhed bebyrdes med. Særdeles mange af de løsninger er ofte krumtappen og værktøjskassen der tager det trælse ud af hverdagen.
Noget anderledes er det når det går helt galt på grund af udefra kommende faktorer: Svindel, hackere, spam, virus, malware, o.s.v. Hvad gør man når det er “værktøjskassen” der er ramt og IT-systemerne har kastet sig på ryggen? For den lille virksomhed er det ofte ikke nok “bare at kunne ringe til en ven”, det kan handle om at gøre de rigtige ting for at begrænse skaden og sikre at en “øv-dag” ikke ender med at blive til den rene ruin.
Den sunde fornuft
Dette lille indlæg for at give dig nogle få råd, der måske kan hjælpe til at få kontrollen igen. Det er ikke en erstatning for at du efterfølgende får kvalificeret hjælp. Det er som med førstehjælp: hurtig hjælp kan være afgørende og i mange tilfælde den helt store forskel. Det er også en erkendelse af at mindre virksomheder ikke har hverken de økonomiske muskler til dyre beskyttelsessystemer ej heller til at have folk der dedikeret kun arbejder med IT og IT-sikkerhed. At man ikke har alskens systemer, er dog ikke det samme som at man ikke kan gøre noget selv, når problemerne rammer. I en mindre virksomhed har man også sjældent en egentlig plan for hvad der skal gøres, trin for trin, opdelt på alle mulige scenarier for hvad der kan gå galt. Den slags planer er det for det meste kun større virksomheder der har overskud til at udarbejde og vedligeholde (og teste!). Du burde have een, men mindre kan også gøre det, bare du gør noget.
Det handler først og fremmest om lidt sund fornuft. Sund fornuft er et glimrende værktøj, når man vel og mærke véd hvornår den skal bruges og kan gennemskue tilstrækkeligt til at vide hvad der er “sund fornuft” i den givne situation. Nogle enkelte basale ting er brugbare i enhver situation: Det handler helt konkret om det du kan gøre før det går galt og hvad du kan gøre efter. Igen, det er som med førstehjælp: du håndterer det langt bedre når du ved hvordan du giver førstehjælp (har lært det basale); og du står dig langt bedre når du ved i hvilken rækkefølge du bør gøre tingene når du står i situationen. Det hjælper også på at kunne bevare roen, at man allerede har en grundlæggende viden.
Begræns skaden
Endnu en analogi mellem IT-sikkerhed og førstehjælp: Det handler om at man begrænser skaden. I IT-sikkerhed er det du gør inden det går galt, det der kan hjælpe dig til at komme hurtig i gang igen. OG det handler om at du efterfølgende ved hvordan du kommer igang igen. Det virker på en måde indlysende, men hvis man ikke har tænkt tanken, så er det desværre også lige præcis hér at det er nemmest at springe over hvor gærdet er lavest, eller begå de største fejl. Du kan så glæde dig over at det er hér du for en meget beskeden indsats i tid, virkelig kan øge både din sikkerhed og mulighed for at komme igennem problemer.
Du har sikkert haft fornøjelsen af sælgere der gør deres bedste for at sælge systemer der “klarer alle IT sikkerhedsproblemer” for dig. Forkromede systemer der kan det hele og er lige ved også at kunne brygge kaffe. Eller du har læst brochurer og artikler der i flotte vendinger anpriser og forklarer. Og det er svært at stå imod. Sandheden er dog en del mere mudret: “Ja”, der er nogle helt basale hjælpe-programmer du absolut bør have og være fortrolig med, og “Nej”, der er ikke et enkelt program der kan det hele, og selv de bedste idag er ikke nødvendigvis de bedste imorgen. Det er kort sagt til at få stress af hvis man vil gå den vej.
Hvordan griber du det an
IT-sikkerhed er et kæmpestort begreb der dækker over alt lige fra adfærd, teknik, fysisk sikkerhed, program(fejl), eksterne kriminelle, og meget meget mere. At tro et enkelt program / sæt af procedurer kan klare det hele er som at bygge et hus (fra tegning til indflytningsklart) kun med en skruetrækker, og intet andet værktøj. Programmer kan heller ikke afhjælpe de ting du selv kunne/burde gøre – dine rutiner – hvis du f.eks. gemmer nøglen under måtten og koden til alarmen på en lap-papir ved siden af kode-panelet, går det galt, så er det nok næppe hverken lås eller alarm der er den egentlige årsag.
En viden, optjent gennem mange år i branchen er, at IT-sikkerhed er bedst hvis det er mange små “snubletråde” og simple sikkerhedstiltag, frem for en enkelt stor “der klarer det hele” tilgang. Både matematikken, statistikken og erfaringen er krystalklar på at det virker bedst med de mange små enkle ting. Dermed ikke sagt at der ikke er nogen trusler der kræver noget specialiseret forsvar (anti-virus / anto-malware er gode eksempler), men hovedtrækkener er, at man kan komme særdeles langt ved simple tiltag. Simple tiltag har også den kæmpe fordel, at de lettere kan indpasses i det daglige, og ikke kræver store ændringer i systemer og arbejdsmetoder. At IT-sikkerhed skulle være besværligt og irriterende i dagligdagen er et udsagn der stammer fra ikke-optimale måder at indføre det på. Eksempelvis kan vi alle acceptere at det er nødvendigt med en lås på døren, men at installere 3 forskellige låse i stedet for at få en bedre dør og lås med flere tilholdere er nok ikke det optimale, og vil opleves som unødigt besværligt og irriterende.
Når du forsikrer dig, så gennemgår du og forsikringsagenten hvad det er der skal forsikres. I gennemgår både hvad der skal omfattes, og værdien, og hvad det vil koste at gen-etablere. Du vælger måske også en forsikring der dækker tabt omsætning m.v. Og agenten vil ofte komme med forslag til hvordan du bør sikre din virksomhed yderligere mod brand, tyveri, ulykker o.s.v. Du bør kigge på det du bruger IT til med de samme briller. Det er ikke så besværligt end som det umiddelbart kan synes. Start med at lave nogle overskrifter over hvad du bruger IT til. Under hver overskrift nogle enkelte linjer der forklare hvad slags data der gemmes i hver funktion/brug (eksempelvis overskriften “kunde-kartotek”, data: “alle kontakt-data inkl. navn & adresse & tlf & cvr & noter”)(glem ikke at emails også er vigtige data). Vil du gøre det rigtig godt, så tilføjer du en linje mere under hver “data” med lille navn på hvilke andre systemer der skal bruge/leverer de data. (Du har nu hvad der svarer til de første trin i at kunne håndtere GDPR). Med den oversigt har du nu mulighed for i ro og mag at kigge igennem og forestille dig at alt er væk: Hvad er vigtigst for at at sikre du ikke taber (for mange) penge – skriv numre for rækkefølge. Så kigger du igennem igen og overvejer hvad der er vigtigst for at komme igang igen. En sidste gang igennem listen: hvor er de data gemt (på enkelte PC’er / på papir / på en server / hos en leverendør / på telefon(er) / ved ikke). Nu har du hvad du skal bruge for at kunne forberede dig og øge din sikkerhed markant: En prioriteret liste.
Den sunde fornufts værktøjskasse
Med den prioriterede liste i hånden er det nu du kan sammenholde de vigtigste prioriteter med flg.:
- Har du en kopi af dine data, og kopi af programmerne der skal bruges? (backup er nøglen her – backup kan være så simpelt som en kopi til en USB (der gemmes sikkert), men husk også at få kopieret program-indstillingerne – det gør det nemmere at komme tilbage til normal tilstand)
- Kan du på anden måde genskabe de vigtigste data? (udskrifter er gode, men velorganiserede og gemt forsvarligt er bedre)
- Har du en branche-løsning der kunne hjælpe eller måske ligefrem (med et lille tilkøb?) håndtere ovenstående så du selv slipper?
- Meget kan automatiseres, og små ændringer i de daglige rutiner kan gøre en forskel. Hyr en IT-hjælper / konsulent som du stoler på til at give nogle gode råd og evt. lave de små nødvendige ændringer.
- Har du de basale programmer installeret (anti-virus mv) og er de behørigt opdateret?
- Og det samme for dine PC’ere/Mac’er/Telefoner – holdt opdaterede og “i god form”?
- Du har sikkert også net-forbindelse til omverden, bliver den vedligeholdt og er den sikret? (opdateret firewall, din wi-fi behørigt sikret og regler vedligeholdt mv)
Meget af ovenstående kan du sikkert selv tjekke og håndtere, men der findes flere gode danske firma’er der mere effektivt kan hjælpe dig så du kan bruge din tid på din forretning. Du bør dog overveje at have en uvildig rådgiver (fx. din branche-organisation) til at hjælpe med at strikke en aftale sammen så den passer præcis til din forretning og dine behov. Se det som en forsikring – du håber på at den aldrig skal benyttes, men du ved også godt at du er ilde stedt uden, hvis det værste skulle ske.
I det næste indlæg, en tjek-liste (lige til at printe) og nogle tip.