Vi har en cyberforsikring. Så vi er jo dækket. Ikke?
Forestil dig dette: Du sidder til møde mandag morgen, kaffen er hældt op, og snakken falder på it-sikkerhed. Pludselig siger en af deltagerne med ro i stemmen: “Vi har en cyberforsikring. Så vi er jo dækket. Ikke?” Det lyder betryggende, næsten for betryggende. For under den umiddelbare tryghed lurer en farlig blind tillid. I IT Confidence hører vi ofte udtalelser som denne, og hver gang kribler det i os for at spørge: Er I nu også helt sikre på det?
I denne artikel tager vi dig med ind i maskinrummet af cyberforsikringer og it-sikkerhed. Vi taler om den udbredte misforståelse, at en forsikringspolice alene kan redde virksomheden, når uheldet er ude. Vi kigger på, hvad forsikringsselskaberne egentlig kræver, og vi udfordrer dig til at vurdere din egen situation ærligt og uanset om du er en mindre virksomhed uden IT-afdeling eller CIO i en stor koncern. Du får indblik i, hvordan IT Confidence gør tingene anderledes end konkurrenterne, og til sidst giver vi dig konkrete tips til, hvad du kan gøre allerede i dag for at stå stærkere, og vi runder af med en invitation: en åben dør til at kontakte os og tage en uforpligtende snak om jeres it-sikkerhed.
Lad os begynde med at se på det første og måske største problem: blind tillid til forsikringen.
Problemet med blind tillid til forsikring
En cyberforsikring kan give en falsk fornemmelse af sikkerhed. Misforstå os ikke. En forsikring er værdifuld. Den kan hjælpe med at dække økonomiske tab ved et cyberangreb og sætte jer i forbindelse med eksperthjælp, når skaden er sket. Men forsikringen er et sikkerhedsnet, ikke en usynlig kraftskærm mod angreb. Alt for mange virksomheder læner sig tilbage efter at have tegnet en cyberforsikring og tænker, at nu behøver de ikke bekymre sig om it-sikkerheden. Den holdning kan blive dyr.
Blind tillid til forsikringen overser flere ting. For det første følger der altid betingelser og forbehold med i det med småt. Forsikringsselskaberne har skrappe krav til, hvordan I driver jeres it-sikkerhed, for at de vil udbetale erstatning. Opfylder I ikke de krav, kan policen vise sig at være et stykke værdiløst papir den dag, I står med et hackerangreb. For det andet dækker penge fra en forsikring ikke tab af omdømme eller kundernes tillid og de kan ikke trylle tabte data tilbage, især ikke hvis backup og beredskabsplaner halter. Som et sikkerhedsfirma formulerer det: “En cyberforsikring kan ikke forhindre angrebet men den kan give jer adgang til eksperthjælp og dække udgifterne, når skaden sker. Det er et sikkerhedsnet…”. Med andre ord: Forsikringen hjælper med konsekvenserne, men den forebygger ikke selve angrebet.
Tænk på din almindelige indboforsikring. Den dækker indbrud men kun hvis du har låst dørene. Har du ladet hoveddøren stå åben, så er det ikke indbrud, men simpelt tyveri, og så kan forsikringen afvise at betale. På samme måde nytter det ikke at have en cyberforsikring, hvis I “glemmer” at låse jeres digitale døre. Og her kommer vi til kernen: Mange virksomheder glemmer eller nedprioriterer de digitale låse, alarmen og branddørene i form af basal it-sikkerhed, fordi de fejlagtigt tror, forsikringen dækker uanset hvad.
Vi ser også, at ledelsen i nogle virksomheder tegner en forsikring og derefter indberetter optimistiske svar om deres sikkerhedsniveau til forsikringsselskabet og ofte uden selv at vide præcis, hvor de står. Topchefen tror måske, at it-afdelingen har helt styr på det hele, mens virkeligheden er mere broget. Resultatet? En falsk følelse af tryghed i måneds- eller årevis… indtil et alvorligt angreb pludselig afslører, at kejseren ikke har tøj på. Det er i dén situation, vi har set virksomheder stå med håret i postkassen: Angrebet skete, forsikringen skal i spil men forsikringsselskabet spørger ind til omfanget af jeres sikkerhedsforanstaltninger og finder ud af, at virkeligheden ikke levede op til det, I troede (eller hævdede). Pludselig risikerer man selv at hænge på regningen for et milliontab, fordi kravene i policen ikke var opfyldt.
Blind tillid til forsikringen kan altså være farlig. Det gør jer sårbare på to fronter: I risikerer både et større angreb, fordi I måske ikke har gjort nok for at forhindre det, og I risikerer økonomisk ruin, hvis forsikringen afviser at dække efterfølgende. Lad os derfor se nærmere på, hvad forsikringsselskaberne egentlig forlanger af jer.
Hvad kræver forsikringsselskaberne reelt?
Forsikringsselskaber reklamerer forståeligt nok med, hvordan deres cyberforsikring dækker jer ved hackerangreb, datalæk, driftstab osv. Men det, der står med småt er mindst lige så vigtigt. I praksis vil I som virksomhed ofte skulle gennem en selvevaluering eller udfylde et spørgeskema, når I tegner forsikringen. Her skal I typisk krydse af: “Ja, vi har en it-sikkerhedspolitik og træner vores medarbejdere i den. Ja, vi installerer sikkerhedsopdateringer inden for en uge. Ja, vi overvåger vores logs og alarmer. Ja, vi bruger multifaktor-login for administratorer og fjernadgang” osv. Det lyder jo standard alt sammen men kan I ærligt sige ja til hvert punkt, og holder I det ved lige hele året?
Lad os bryde nogle af de typiske mindstekrav ned i en konkret liste. Her er eksempler på, hvad forsikringsselskaber ofte forventer, at I har på plads før de overhovedet vil tegne eller opretholde en cyberforsikring for jer:
Antivirus og anti-malware:
Opdaterede sikkerhedsprogrammer på alle servere og computere, som aktivt beskytter mod virus, ransomware, spyware osv.
Kontinuerlige opdateringer (patch management):
At I installerer kritiske sikkerhedsopdateringer til systemer og software løbende og ofte kræves det inden for f.eks. 1 uge fra release. Forældede eller end-of-life systemer uden support kan gøre, at forsikringen slet ikke vil dække, da det betragtes som uansvarligt.
Firewall og netværkssikring:
En effektiv firewall skal beskytte netværket, gerne med overvågning af indgående/udgående trafik (IDS/IPS). Remote-adgange bør ske via sikre VPN-forbindelser eller lignende.
Regelmæssig backup af data:
I skal tage backup af vigtige data og systemer jævnligt og helst dagligt og gemme dem forsvarligt, f.eks. eksternt eller i skyen. Endvidere skal I teste backupgenoprettelse, så I ved, at I faktisk kan gendanne data i en nødsituation.
Adgangsstyring og passwords:
I skal have kontrol over, hvem der har adgang til hvad. Principper som least privilege (mindste nødvendige rettigheder) bør være implementeret. Inaktive brugere lukkes ned, og der skal være politikker for stærke adgangskoder.
Multifaktor-godkendelse (MFA):
Krav om MFA ved login til kritiske systemer, VPN, fjernskriveborde osv. er blevet standard. Ét password er ikke nok, der skal et ekstra trin (kode/app) til for at forsikringen er tilfreds.
Beredskabsplan ved databrud:
Forsikringen vil se, at I har en beredskabs- eller incident response plan. Hvem gør hvad, hvis ulykken er ude? Hvordan isoleres et angreb, og hvordan kommunikerer I til kunder og myndigheder? Hvis I ingen plan har, tyder det på ringe forberedelse.
Fysisk sikring af udstyr:
Serverrum og kritisk hardware skal være sikret imod indbrud, brand og tyveri. F.eks. med alarm, lås og måske adgangskontrol. Et datalæk kan jo også ske ved, at en server eller laptop fysisk stjæles.
Awareness-træning af medarbejdere:
Mange forsikringer spørger, om I uddanner jeres ansatte i it-sikkerhed (f.eks. phishing-tests, kurser i håndtering af mistænkelige e-mails). Medarbejderne er ofte det svageste led; træning reducerer risikoen.
Ovenstående er ikke luksus-tiltag for store virksomheder, det er grundlæggende sikkerhed som selv små og mellemstore virksomheder forventes at have styr på i dag. Hvis I ikke kan sætte flueben ved langt de fleste af disse punkter, kan forsikringsselskabet nægte at dække jer overhovedet eller afvise en senere skade. Faktisk siger flere forsikringsselskaber det helt klart: De dækker ikke sikkerhedshændelser, som kunne være forebygget, eller som skyldes grov uagtsomhed i jeres ende. Har I f.eks. allerede haft et cyberangreb inden for det sidste år, eller ignoreret et kendt sikkerhedsproblem, så vil det som regel være undtaget fra dækning.
Forestil dig et øjeblik, at I bliver ramt af ransomware, som krypterer hele jeres server. I anmelder det til forsikringen og deres efterforskning afslører, at I ikke havde multifaktor slået til på den VPN, hackerne brugte som indgang. Hvis jeres police krævede MFA (hvilket de fleste gør nu om dage), ja så kan forsikringsselskabet faktisk have ret til at afvise kravet. Præcis det er sket i virkeligheden: Virksomheder har fået afslag på millionerstatninger, fordi de manglede MFA eller ikke havde fået installeret en kritisk opdatering. Det er en grim overraskelse at stå med midt i en i forvejen hård krise.
Bundlinjen er: Forsikringen kræver, at I selv gør jeres arbejde. Den vil se, at I tager it-sikkerhed seriøst, før de vil tage jer seriøst. Har I ikke interne processer og kontroller der lever op til kravene, kan I ende med at stå alene med et tab, selvom I troede I var “dækket. Det er derfor helt afgørende at få styr på “det med småt” og være ærlige over for jer selv (og forsikringen) om jeres it-sikkerhedsniveau.
Hvor står du. Helt ærligt?
Det næste naturlige spørgsmål er: Hvor står du henne i dette? Det er tid til at kigge sig selv i spejlet og vurdere, om man reelt er dér, hvor man tror. Dette gælder uanset om du driver en lille virksomhed eller er ansvarlig for it i en stor organisation.
Hvis du er ejer eller leder i en mindre eller mellemstor virksomhed (SMV) uden en stor it-afdeling, tænker du måske: “Vi har ikke haft de store problemer endnu, og nu har vi også købt en forsikring og mon ikke det går alt sammen.” Du er ikke alene om at håbe det bedste. Men virkeligheden er, at SMV’er i dag er blandt de mest udsatte mål for cyberangreb. Ikke fordi I nødvendigvis ligger inde med millionbeløb eller statshemmeligheder, men fordi I ofte har mindre forsvarsværker og færre ressourcer til at reagere hurtigt. Mange mindre virksomheder har faktisk ingen konkret plan for hvad de gør, hvis systemerne bliver låst af ransomware, eller data pludselig lækker på nettet. Er det jer? Har I styr på basis-sikkerheden, eller krydser I fingre og stoler på heldet (og forsikringen)? Tør I lade være med at teste jeres backup eller uddanne jeres folk i sikker adfærd? Det er nu, I skal være ærlige. For hvis ikke, er I i risikozonen.
Sidder du derimod som CIO eller it-ansvarlig i en enterprise-virksomhed, så er dit perspektiv lidt anderledes men udfordringen kan stadig være blind pletter. I har formentlig allerede flere sikkerhedsforanstaltninger, måske endda certificeringer og compliance-programmer. I ved, at ledelsen og bestyrelsen forventer “due diligence” og rapporter om modenheden af jeres cybersikkerhed. Men store organisationer kan nogle gange blive selvtilfredse: Har I testet jeres beredskabsplan for nylig? Får I ærlig feedback om svaghederne, eller rapporteres der kun solskinshistorier opad i systemet? Nogle enterprise-virksomheder tegner også cyberforsikringer, ofte for at beskytte mod de helt store hændelser og driftstab. Men husk, at forsikringsselskabet i så fald vil gå jer efter i sømmene. Lever I 100% op til policens krav? Det kan være alt fra årlige penetrations-tests, awareness-træning af alle ansatte, til at kunne dokumentere compliance-standarder (ISO, NIST, CIS osv.). Større kunder stiller i stigende grad formelle krav til deres IT-leverandører da man skal kunne dokumentere informationssikkerheden med f.eks. revisions-erklæringer (ISAE 3402, ISO-certifikater eller det danske D-mærke). Hvis ikke I kan det, risikerer I at blive fravalgt eller få problemer ved næste kontraktforhandling. Med EU’s NIS2-direktiv på trapperne skærpes kravene yderligere: Flere sektorer og virksomhedsstørrelser bliver lovmæssigt forpligtet til at have styr på cybersikkerheden og rapportere hændelser. Vi ser allerede, at selv mindre virksomheder nu opsøger hjælp til sikkerhed og compliance i stigende grad på grund af NIS2 og de generelt stigende trusler.
Det er nu, du skal spørge dig selv: Hvor står vi og hvor sårbare er vi egentlig? Er I dér, hvor I roligt kan sige, at I både kan forebygge, opdage og håndtere et cyberangreb, og at forsikringen vil dække jer uden problemer hvis noget sker? Eller er der huller, usikkerheder, måske endda en viden/kompetence-kløft i jeres organisation? At erkende eventuelle mangler er ikke et nederlag, det er første skridt mod at forbedre jeres sikkerhed markant.
Hos IT Confidence oplever vi, at mange virksomhedsledere faktisk bliver lettede, når de får et ærligt indblik i deres it-sikkerhedsposition. For så kan vi nemlig gøre noget ved det. Det fører os til næste punkt: hvordan vi griber det an, og hvordan vores tilgang adskiller sig fra andres.
Hvad vi ser og hvordan vi gør det anderledes
IT Confidence møder mange virksomheder, der først kontakter os efter en forskrækkelse. Måske havde de stolet blindt på en forsikring eller en “outsourcet” standardløsning, og så alligevel stået alene da det brændte på. Vi ser det i øjnene på nye kunder: Frustrationen over upersonlig service fra deres tidligere leverandør, overraskelsen over skjulte gebyrer på regningen, eller chokket da de opdagede, at den forventede sikkerhed slet ikke var på plads alligevel. Alt dette har vaccineret os mod at falde i de samme fælder som konkurrenterne. Vi gør tingene fundamentalt anderledes.
For det første har vi bygget vores forretning på ærlighed, nærvær og ansvarlighed og ikke blot som floskler, men som konkrete principper i hverdagen. Vores mission er at forene det bedste fra to IT-verdener: den tætte, personlige service fra den lille organisation, kombineret med kapaciteten, robustheden og løsningerne fra de store setups. Det betyder, at uanset om du er en startup med 10 medarbejdere eller en virksomhed med 300 brugere, så får du samme grad af nærvær og opmærksomhed. Vi behandler de store som de små; for os handler det om relationer og ikke bare om at rulle standardløsninger ud. Personlig service, uanset størrelse er et af vores kerneprincipper, og det kan vores kunder bekræfte. Hvor andre it-leverandører måske prioriterer deres største kunder og de mindre må tage til takke med standardydelser, der passer dårligt, der går vi ind og skræddersyr løsningerne til den enkelte kundes faktiske behov.
For det andet insisterer vi på gennemsigtighed og tillid. Vi ved, at tillid ikke kan købes for penge og den skal opbygges ved at holde sine løfter hver gang. Derfor har vi ingen tvungne bindinger i vores kontrakter. Ja, du læste rigtigt: Hos os er tilfredshed den bedste kontrakt. Vores kunder bliver hos os, fordi de vil, ikke fordi de er stavnsbundet af en lang kontrakt med småt skrevet bindingstid. Hvorfor? Fordi vi er sikre på, at vi leverer værdi konstant og nok til at man ikke har lyst til at skifte. Det står i skarp kontrast til nogle konkurrenter, der måske nok binder kunderne i 3-årige aftaler, men som ikke nødvendigvis leverer det, der blev lovet, når først blækket er tørt. Vi gør, hvad vi siger og vi holder det, vi lover, hver gang.
For det tredje er vores tilgang kundecentreret på et niveau, hvor selv store konkurrenter kan have svært ved at følge med. Vores mantra internt er, at det er kunden, der betaler vores løn og det ved alle hos os. Derfor skal alt hvad vi gør, give kunden værdi. Hvor andre måske skubber standardprodukter eller dyr ekstra support på kunden for at øge egen profit, går vi den modsatte vej. Vores vision er ikke at råbe højest om, at vi er bedst men at lytte mest til kunden. Vi leverer dét, kunden faktisk har brug for og ikke dét, der blot øger vores profit. Det betyder f.eks., at hvis vi kan se, at en kunde kan nøjes med en mindre løsning eller allerede har en velfungerende løsning, ja så siger vi det frem for krampagtigt at prøve at sælge dem noget nyt unødvendigt. Vi rådgiver med fokus på kundens forretning frem for på vores salgstal. Den tilgang er faktisk ret unik i branchen, tør vi godt sige. Mange i it-branchen ynder at “bundle” dyre pakkeløsninger, hvor kunden ender med at betale for mere end det reelt behøver. Det gør vi ikke. Som vores kunde Uffe Bundgaard-Jørgensen fra Gate2Growth siger det: “…det betyder meget for os, at vi ved, at de leverer på hastighed og kvalitet samtidig med, at vi ved, at vi ikke betaler for mere end det, vi har brug for.”. Det citat varmer, for det er netop essensen af IT Confidence.
Vi er også bevidste om, at vi som mindre leverandør skal tilbyde noget ekstraordinært for at konkurrere med de store drenge. De største it-huse i Danmark (f.eks. NNIT, ITM8-gruppen m.fl.) fokuserer oftest på deres helt store kunder og meget standardiserede koncepter. Det efterlader et hul i markedet, hvor mellemstore virksomheder føler sig overset eller klemt af de store aktører. Her kommer vi ind i billedet: Vi kan tilbyde en mere nærværende service og fleksible vilkår (som fx ingen bindingsperiode), hvilket tiltaler især SMV-kunder, der ønsker en leverandør der virkelig lytter og tilpasser sig deres behov. Samtidig ved større virksomheder, at de får en loyal sparringspartner i os, der bakker deres CIO op frem for at gå udenom ham/hende. Vi taler i øjenhøjde med både direktøren og teknikeren, og vi forstår vigtigheden af interne processer og politikker i en stor organisation. Det betyder, at vi f.eks. altid respekterer den interne it-afdelings rolle hos kunden og vi er der for at styrke jer, ikke for at overtage eller få vores egen agenda igennem. Vi støtter CIO’en internt og bidrager til, at han/hun kan præsentere vores fælles løsninger internt med både faglig og personlig legitimitet.
En anden ting, der differentierer os, er vores helhedsindsats. Vi nøjes ikke med at levere én lille del af puslespillet. Hos IT Confidence tager vi ansvar for hele jeres IT, fra drift og support til sikkerhed, cloud, backup, strategisk rådgivning og endda specialudviklede løsninger. Vi forener nærvær og personlig service med stærk teknisk kapacitet, så jeres virksomhed står stærkt, både i hverdagen og når det virkelig gælder. Det lyder måske næsten for godt, men det kan lade sig gøre, fordi vi samler branchens dygtigste mennesker hos os og giver dem frihed til at tage ansvar og gå den ekstra mil for kunden. Vi ved, at it-sikkerhed ikke kun er teknologi. Det er mennesker. Vores team er nørder, praktikere og rådgivere i ét, og vi gør en dyd ud af at arbejde i øjenhøjde med kunderne. Du får ikke en bedre sikkerhed ved at blive talt ned til i smart tech-lingo; du får det ved, at vi siger tingene som de er og hjælper dig med at træffe de rigtige valg. Ærlighed, ansvarlighed og ordentlighed gennemsyrer vores samarbejde (og ja, vi tør godt bruge ordet ordentlighed i en it-sammenhæng).
Kort sagt: IT Confidence er ikke “bare endnu en it-leverandør”. Vi er dem, der vil skabe branchens gladeste og mest loyale kunder og ikke ved at råbe højest, men ved at lytte mest. Vi leverer det, du har brug for, ikke bare det, der gavner os. Og vi bygger et tillidsforhold til dig, som var vi din egen interne it-afdeling men bare med flere kompetencer og mere kapacitet lige ved hånden.
Hvad du konkret kan gøre i dag?
Efter alt det her tænker du måske: “Okay, jeg er overbevist men hvad gør jeg nu? Hvor starter jeg?” Bare rolig, du behøver ikke vente på det næste store budgetmøde eller en it-revision fra oven. Her er nogle konkrete skridt, du selv kan tage med det samme for at styrke jeres sikkerhed og sikre, at forsikringen (hvis I har en) rent faktisk vil dække jer. Start i det små og tag fat, hvor skoen trykker mest:
Gå policen efter i sømmene:
Har I allerede en cyberforsikring, så frem med dokumentet. Læs betingelserne – især afsnittene om sikkerhedskrav og undtagelser. Notér præcis hvilke foranstaltninger forsikringsselskabet forventer, I har (f.eks. “MFA på alle administrative brugere” eller “opdateringer indenfor 30 dage”). Det kan være tørt stof, men det er guld værd at vide præcist, hvad der kræves. Er noget uklart, så ring til forsikringsselskabet og få det uddybet. Hellere stille et spørgsmål for meget end stå i en gråzone ved en skade.
Lav et ærligt IT-sikkerheds-helbredstjek:
Tag listen fra forsikringskrav (eller listen tidligere i denne artikel) og evaluér jeres egen praksis punkt for punkt – ærligt. Har vi antivirus overalt? Er vores servere up-to-date? Har alle brugere unikke passwords og MFA hvor det giver mening? Hvor ofte tager vi backup, og hvornår har vi sidst testet en gendannelse? Skriv det ned i en simpel tabel: Krav vs. Virkelighed. Det giver et overblik over gabet mellem hvor I er, og hvor I bør være. Vær ikke flove over eventuelle huller – se det som en tjekliste for forbedring. Hvis I opdager store mangler og føler jer usikre på, hvordan I får dem løst, så overvej at få hjælp udefra til en mere dybdegående gennemgang. En uvildig gennemlysning kan afsløre blinde vinkler og prioritere indsatserne for jer.
Få styr på de lavthængende frugter:
Nogle sikkerhedstiltag er relativt nemme at implementere og giver stor effekt med det samme. Fx: Få slået MFA til på alle tjenester, hvor det overhovedet er muligt – e-mail, VPN, kritiske systemer, remote desktop osv. Sørg for, at alle medarbejdere bruger unikke, stærke adgangskoder (indfør gerne en password-manager, så det bliver let for dem). Tjek at jeres antivirus faktisk er aktivt og opdateret på alle maskiner, inkl. dem der måske har stået slukket under hjemmearbejde. Og få sat automatiske opdateringer i system; mange servere og PC’er kan sættes til at opdatere uden manuel indgriben, typisk uden for arbejdstid. Disse ting koster ikke meget andet end tid, men reducerer risikoen markant.
Opdatér jeres backup- og beredskabsplaner:
Hvis I ikke allerede har en off-site backup (dvs. en backup gemt et andet sted end jeres primære systemer, fx i skyen eller på en ekstern server), så få det etableret nu. Test også at I kan gendanne filerne og bare en lille fil som demo, for at sikre at proceduren virker. Dernæst, lav en simpel beredskabsplan for de mest sandsynlige scenarier: Hvad gør I hvis fx jeres hovedserver går ned? Hvem tilkaldes? Har I en sekundær internetforbindelse hvis den primære ryger? Hvis jeres website bliver hacket, hvem må så udtale sig til kunderne, og hvordan genskabes siden? Skriv 1-2 sider, der beskriver disse ting i klare trin. Det behøver ikke være 100 sider langt; selv en kort, klar plan er bedre end ingenting, og I kan altid udbygge den med tiden. Sørg for at relevante personer kender planen og har adgang til den (helst også i en papirudgave eller offline, hvis nu alt elektronisk fejler). En øvet beredskabsplan er guld værd den dag, I står med et angreb og forsikringen vil også se positivt på, at I kan fremvise en sådan plan.
Involver og træn medarbejderne:
It-sikkerhed er ikke kun et spørgsmål om teknik, det er i høj grad også et menneskeligt anliggende. Én uopmærksom medarbejder kan klikke på et phishing-link og dermed omgå selv de dyreste firewalls. Så begynd at skabe en sikkerhedskultur. Hold f.eks. et kort møde eller send en månedlig “security tip” mail ud. Gør det konkret: vis eksempler på falske e-mails, leg “phishing-fiskedam” internt hvor I tester om folk opdager en snydemail (uden at hænge nogen ud, men for at lære af det). Opfordr medarbejderne til straks at sige til, hvis de oplever noget mistænkeligt og gør det nemt for dem at spørge (ingen bliver fyret for at spørge “dumt” om sikkerhed hos jer!). Overvej at lave en incitamentsordning eller gamification ud af det, så sikker adfærd belønnes. Når medarbejderne er opmærksomme og uddannede, har I pludselig 50 eller 500 ekstra “menneskelige firewalls” ude i virksomheden. Awareness-træning er faktisk et af de punkter, forsikringsselskaber kan finde på at spørge til og med god grund. Det virker!
Tænk strategisk. Også for fremtiden:
De foregående punkter er meget håndgribelige; men kig også lidt frem i horisonten. Er der nye regler eller standarder, I vil blive omfattet af? (F.eks. NIS2 hvis I er i en vis branche/størrelse, GDPR hvis I udvider databehandling, krav fra store kunder om ISO-certificering osv.) Begynd i god tid at forberede jer på disse. Det kunne betyde at opdatere nogle politikker, indføre logning og overvågning af systemer, eller måske investere i en GRC-platform (Governance, Risk & Compliance) hvis I har vokset jer større. Tænk også over jeres cloud-strategi: Mange virksomheder er i fuld gang med at flytte data og systemer i skyen. Cloud har en masse fordele, men det ændrer ikke ansvaret for sikkerheden og det deler det blot mellem jer og leverandøren. Tag en snak om I har de rigtige kompetencer til at sikre jeres cloud-løsninger. Hvis I for eksempel bruger Microsoft 365, så husk at Microsofts standard ikke tager fuld backup af jeres mails og filer og det kan kræve en ekstra løsning (her tilbyder vi fx backup til M365 som en service). Sådanne strategiske overvejelser sikrer, at I ikke bare lever op til kravene i dag, men også er klar til morgendagen. Og forsikringen? Ja, den vil så afgjort være lettere at forhandle (og billigere i længden), hvis I kan vise, at I har en plan og tænker sikkerhed ind i jeres fremtid.
Allier jer med de rette partnere:
It-sikkerhed og -drift kan være komplekst, og ingen kan alt selv. Overvej hvilke områder I med fordel kan få hjælp til udefra. Måske har I brug for en Managed Security Service, hvor eksperter overvåger jeres systemer 24/7 og reagerer på trusler. Måske giver det mening at lade en partner stå for backup og disaster recovery, så I altid har et eksternt “beredskab” klar. Eller måske skal I have lavet en one-off risikoanalyse af en erfaren konsulent, der giver jer en prioriteret to-do liste. Det er ikke en falliterklæring at hente hjælp – tværtimod er det ofte den mest ansvarlige beslutning. Som forsikringsselskaberne selv siger: Tillid er godt, men kontrol er bedre. En ekstern partner kan fungere som den ekstra kontrol, der sikrer at I lever op til alle krav og ikke overser noget kritisk. Vælg en partner, der forstår både teknik og forretning, og som kan samarbejde med jer i øjenhøjde.
Ovenstående tiltag vil ikke alene formindske risikoen for cyberangreb markant og det vil også give jer en langt bedre forhandlingsposition over for forsikringsselskabet. I kan med rette sige: “Ja, vi har helt styr på vores it-sikkerhed og det her er bare et ekstra sikkerhedsnet.” Nogle af punkterne kan klares internt relativt hurtigt, mens andre kan kræve investering eller assistance. Tag det i et tempo, der passer jer, men begynd nu. Cyberkriminalitet holder ikke pause, og det gør compliance-kravene heller ikke. Jo før I kommer i gang, desto bedre.
Husk: Formålet er ikke at opfylde forsikringskrav for forsikringsselskabets skyld; formålet er at beskytte jeres egen forretning, jeres medarbejderes arbejdspladser, og jeres kunders data. Forsikringen er sidste udvej så lad os sammen arbejde for, at I måske aldrig får brug for den. Og hvis I gør, så lad os sikre, at I får fuldt udbytte uden kedelige overraskelser.
Lad os tage en snak om jeres it-sikkerhed
Det kan være overvældende at tage fat på alt dette, især hvis it-sikkerhed ikke er kernekompetencen i din virksomhed. Men du står ikke alene. Hos IT Confidence hjælper vi virksomheder som jeres med at navigere i disse udfordringer hver eneste dag. Vores tilgang er, som du nok har kunnet fornemme, lidt anderledes end andres. Vi tror på at skabe de mest trygge kunder i branchen og ikke ved skræmmekampagner, men ved ærlig dialog, ved at lytte og ved at levere løsninger, der faktisk virker i jeres hverdag.
Så lad os stille dig et sidste spørgsmål: Har du brug for sparring? Går du måske med overvejelser om at tegne en cyberforsikring, eller har I allerede en, men tvivler på om I lever op til kravene? Måske læste du punkterne ovenfor og tænkte “det bør vi gøre, men vi har ikke tid/ressourcer til at løfte det selv”. Uanset hvad din situation er, tager vi gerne en uforpligtende snak om det. Nogle gange er det bedste første skridt blot at vende din bekymring eller idé med nogen, der forstår både teknikken og forretningen.
Kontakt os i dag, og hør, hvordan vi kan skabe værdi og øget sikkerhed for netop din virksomhed. Du kan ringe til os på 70 20 77 55 eller sende en mail til support@itconfidence.dk så vender vi tilbage inden for senest 24 timer. Du kan også udfylde kontaktformularen på vores hjemmeside, hvis du foretrækker det. Ingen spørgsmål er for små eller store; måske vil du bare have et hurtigt råd, eller måske har du brug for en fuld sikkerhedsgennemgang. Uanset hvad, så står vores team klar til at hjælpe.
Lad os sammen sikre, at din tryghed ikke blot ligger i en forsikringspolice, men i den måde I driver jeres IT på hver eneste dag. Vi glæder os til at høre fra dig og til at vise, hvordan ægte it-tryghed føles i praksis.
Tag kontakt, før uheldet er ude, det kan vise sig at være den bedste investering, du har gjort for din virksomhed.
Fejl: Kontaktformular ikke fundet.