Hva bør en liten bedrift ha på plass for å være trygg digitalt?

En liten bedrift trenger ikke nødvendigvis de dyreste sikkerhetsløsningene. Men dere bør vite hva dere har, hvor dataene ligger, hvem som har tilgang, hva som blir tatt backup av, og hva som skjer hvis noe går galt.

Det er minimum.

Hos Trønder Data møter vi små bedrifter med veldig ulike behov. Noen har nesten bare e-post, faktura og en enkel nettside. Andre er små på papiret, men behandler sensitive data, leverer til kunder med strenge krav, jobber mot helse, industri, forsvarsnære miljøer eller har kontrakter som stiller krav til dokumentasjon.

Derfor liker vi å behandle også små bedrifter ryddig. Ikke fordi alle må ha alt. Men fordi det ofte er billigere og tryggere å gjøre grunnarbeidet riktig fra start enn å rydde opp etterpå.

Det viktigste er ikke verktøyet, men bevisstheten

De fleste små bedrifter kan bruke Windows, Microsoft 365 og vanlige skytjenester. For mange er det helt riktig valg.

Problemet oppstår når ingen har tatt stilling til hva som faktisk lagres der.

En Windows-PC kan være et godt arbeidsverktøy. Microsoft 365 kan være en svært effektiv kontorløsning. Men dere bør vite forskjellen på vanlige arbeidsdokumenter, interne dokumenter, personopplysninger, sensitive personopplysninger, kundedata, kontraktsdata og filer som kunder eller leverandører stiller egne krav til.

Minimum er at bedriften får en praktisk forklaring på:

• hva som kan ligge lokalt på en PC
• hva som kan ligge i Microsoft 365 eller annen utenlandsk sky
• hva som bør ligge i norskdriftet eller mer kontrollert løsning
• hva som må sikres med ekstra tilgangskontroll
• hva som må dokumenteres hvis noen spør

Det høres kanskje tørt ut. Men det er ofte her den største risikoen ligger. Ikke i at bedriften mangler et eksotisk sikkerhetsprodukt, men i at ingen vet om sensitive filer ligger på skrivebordet til en ansatt, i en privat mappe, i en delt Teams-kanal, på en gammel PC eller i en sky dere ikke har vurdert godt nok.

Start med en oppstartssamtale

Før vi anbefaler pakker, lisenser eller tekniske løsninger, liker vi å ta en oppstartssamtale.

Der prøver vi å forstå hvordan bedriften faktisk jobber:

• Hvilke systemer bruker dere?
• Hvilke data behandler dere?
• Hvem har tilgang til hva?
• Hvilke kunder, leverandører eller kontrakter stiller krav til dere?
• Hva må dere få raskt tilbake hvis noe stopper?
• Hvilke ansatte trenger bare e-post og sky, og hvem trenger mer kontroll?
• Hva ligger lokalt på PC-er i dag?
• Hva ligger i Microsoft 365, Nextcloud eller andre skytjenester?

Poenget er ikke å gjøre ting komplisert. Poenget er å finne ut hvor enkelt det kan gjøres uten å miste kontroll.

For noen bedrifter holder det med en ryddig Microsoft 365-løsning, MFA, backup, endepunktsikring og en enkel serviceavtale. For andre bør vi vurdere norskdriftet Nextcloud, strengere tilgangskontroll, mer dokumentasjon, lokal lagring eller en mer formell risikovurdering.

Gjør en risikoanalyse før dere bestemmer nivået

En risikoanalyse trenger ikke være et stort og akademisk dokument. For en liten bedrift bør den først og fremst svare på praktiske spørsmål:

• Hva er viktigst for at dere kan jobbe?
• Hvilke data vil være mest alvorlig å miste?
• Hvilke data vil være mest alvorlig å lekke?
• Hvor raskt må dere være i gang igjen etter en hendelse?
• Hvem har tilgang til kritiske systemer?
• Hvilke krav må dere følge fra lovverk, kunder, leverandører eller bransje?

Datatilsynet beskriver informasjonssikkerhet som arbeid med å håndtere risiko for at personopplysninger og andre informasjonsverdier blir ivaretatt på en tilfredsstillende måte. De peker også på at bedriften først må identifisere hvilke personopplysninger som finnes, og deretter gjennomføre risikovurdering for å se om sikkerhetstiltakene er gode nok.

NSM beskriver på sin side risikovurdering som arbeid med verdier, trusler og sårbarheter. Det passer godt i praksis. Vi må vite hva som er verdifullt, hva som kan gå galt, og hvor bedriften er sårbar.

Når dette er gjort, blir det lettere å velge riktig nivå. Da slipper dere å kjøpe feil ting, men dere slipper også å undervurdere risiko fordi bedriften er liten.

Minimum 1: kontroll på brukere og tilgang

Det første vi ser på er ofte brukere og tilganger.

Hver ansatt bør ha sin egen bruker. Delte kontoer bør unngås. Administratorrettigheter bør begrenses. MFA bør være aktivert på viktige tjenester. Når noen slutter eller bytter rolle, må tilganger fjernes eller endres.

Dette er grunnleggende, men det er også et av områdene der små bedrifter lett får hull.

Typiske problemer er:

• gamle brukere som fortsatt har tilgang
• én felles admin-konto som flere bruker
• ansatte med mer tilgang enn de trenger
• manglende MFA
• passord som deles muntlig eller ligger i dokumenter
• ingen oversikt over hvem som har tilgang til leverandørportaler

Hvis Trønder Data skal ta ansvar for kritiske tilganger, må vi også ha nok kontroll til å kunne stå inne for ansvaret. Det handler ikke om byråkrati. Det handler om risiko.

Minimum 2: backup som faktisk kan brukes

Backup er ikke trygg før den kan gjenopprettes.

Det bør være avklart hva som tas backup av, hvor lenge det beholdes, hvor raskt det kan gjenopprettes, og hvem som gjør jobben når noe skjer.

For noen holder det med filbackup. Andre trenger backup av PC, server, Microsoft 365, Nextcloud, arkiv eller mer omfattende gjenoppretting. Det riktige nivået avhenger av hvor kritiske dataene er.

En liten bedrift bør som minimum vite:

• hvilke filer og systemer som er inkludert
• hva som ikke er inkludert
• hvor lenge slettede eller endrede filer kan hentes tilbake
• hvordan restore håndteres
• om backup er testet

Dette er spesielt viktig ved ransomware, feil sletting, ødelagt PC, havari eller ansatte som mister tilgang.

Minimum 3: sikring av PC-er og endepunkter

En PC er ofte inngangsdøren til resten av bedriften.

Derfor bør arbeidsmaskiner ha grunnleggende sikkerhet: oppdateringer, brannmur, endepunktsikring, kontroll på lokale administratorrettigheter og rutiner for hva som kan lagres lokalt.

Hos Trønder Data bruker vi driftet endepunktsikring der det er avtalt, og vi følger opp varsler og hendelser etter avtalen. For bedriften betyr det at sikkerhet ikke bare er en lisens som står på fakturaen, men en del av driften.

Det er også her bevisstheten rundt Windows-maskiner blir viktig. Det er ikke nødvendigvis feil at ansatte jobber på Windows. Men dere bør vite hvilke data som kan lagres lokalt, hva som må ligge i skyen, hva som må krypteres, og hva som ikke bør være på en enkel arbeids-PC i det hele tatt.

Minimum 4: riktig skyløsning for dataene deres

Skyvalg handler ikke bare om funksjoner.

Microsoft 365 er ofte riktig når dere trenger Outlook, Office, Teams og en kjent arbeidsflyt. For mange små bedrifter er det både effektivt og fornuftig.

Men hvis dere behandler sensitive data, har kontraktskrav, må dokumentere datasuverenitet eller ønsker bedre kontroll over hvor data ligger, bør dere vurdere alternativer. Da kan norskdriftet Nextcloud eller en mer kontrollert lokal løsning være bedre.

Det viktigste er at valget tas bevisst.

Spørsmålet er ikke bare “fungerer løsningen?”. Spørsmålet er:

• passer løsningen til dataene dere behandler?
• vet dere hvor dataene lagres?
• vet dere hvem som kan få tilgang?
• har dere kontroll på backup?
• kan dere dokumentere valget?

Minimum 5: dokumentasjon som ikke bare ligger i hodet

Små bedrifter er ofte sårbare fordi mye kunnskap ligger i hodet til én person.

Hvem har admin? Hvor ligger domenet? Hvem styrer DNS? Hvilken leverandør har backup? Hvem har tilgang til Microsoft 365? Hvor ligger passord? Hva gjør dere hvis daglig leder er syk, IT-ansvarlig slutter eller en PC blir låst av ransomware?

Dette trenger ikke være tung dokumentasjon. Men det må finnes.

Hos oss handler dokumentasjon om å kunne hjelpe raskere, redusere risiko og gjøre bedriften mindre avhengig av enkeltpersoner. Dokumentasjonen bør oppdateres fortløpende og gjennomgås jevnlig.

Minimum 6: ansatte som forstår hva de skal gjøre

Sikkerhet fungerer dårlig hvis ansatte føler at alt bare er regler de ikke forstår.

Derfor bør ansatte få en enkel forklaring på hva som er viktig:

• hva de kan lagre hvor
• hvordan de kjenner igjen mistenkelige e-poster
• hvorfor MFA brukes
• hvorfor passord ikke skal deles
• hvem de kontakter ved mistanke om feil eller angrep
• hva de gjør hvis de mister utstyr eller tilgang

Dette bør forklares i et språk folk faktisk forstår. Ikke som pekefinger, men som praktisk trygghet.

Hva vi anbefaler som praktisk start

For en liten bedrift anbefaler vi ofte denne rekkefølgen:

1. Ta en oppstartssamtale.
2. Kartlegg data, systemer, brukere og leverandører.
3. Gjør en enkel risikoanalyse.
4. Avklar hva som kan ligge på Windows-PC, Microsoft 365, Nextcloud eller annen lagring.
5. Sett opp MFA og ryddige brukere.
6. Sørg for backup som kan gjenopprettes.
7. Sikre PC-er og endepunkter.
8. Dokumenter tilganger, ansvar og viktige systemer.
9. Gi ansatte enkel opplæring.
10. Gjennomgå dette jevnlig.

Dette er en fornuftig start uansett om dere ender med en full serviceavtale, bare enkelte tjenester eller et avgrenset prosjekt.

Hvis dere ønsker fast oppfølging, kan dette bygges inn i en serviceavtale hos Trønder Data. Da kan vi koble sammen support, backup, endepunktsikring, sky, risikoanalyse og dokumentasjon på en måte som passer bedriften. Hvis dere allerede har egen IT, kan vi også gjøre en uavhengig gjennomgang eller et avgrenset prosjekt.

Trygg digital drift handler om riktige valg

En liten bedrift trenger ikke alt. Men dere bør ikke velge i blinde.

Noen små bedrifter har strenge krav. Andre har færre formelle krav, men likevel data de ikke har råd til å miste eller lekke. Derfor bør minimumsnivået alltid starte med oversikt, bevissthet og risikoanalyse.

Når dere vet hva dere har, hvor det ligger, hvem som har tilgang og hva som skjer ved feil, blir resten enklere å prioritere.

Da kan dere bruke Windows og Microsoft 365 der det passer. Dere kan velge Nextcloud eller norskdriftet løsning der det er riktig. Dere kan kjøpe det dere trenger, og la være å kjøpe det dere ikke trenger.

Men dere tar valget med åpne øyne.

Det er der digital trygghet starter.

Referanser

• Datatilsynet: https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/informasjonssikkerhet-internkontroll/etablere-internkontroll/
• Lovdata, GDPR artikkel 32: https://lovdata.no/dokument/NL/lov/2018-06-15-38/gdpr/ARTIKKEL_32
• NSM, Grunnprinsipper for IKT-sikkerhet: https://nsm.no/getfile.php/1313975-1717589722/NSM/Filer/Dokumenter/Veiledere/NSMs%20Grunnprinsipper%20for%20IKT-sikkerhet%20v2.1.pdf
• NSM, Risikovurdering av IKT-systemer: https://nsm.no/getfile.php/136603-1718717207/NSM/Filer/Bildegalleri/Bilder%20til%20grunnprinsipper/Risikovurdering%20av%20IKT-systemer.pdf
• European Data Protection Board, Sikring av personopplysninger: https://www.edpb.europa.eu/sme-data-protection-guide/secure-personal-data_nb