Säkra din företagsinformation
Den digitala utvecklingen förändrar samhället i grunden och påverkar företagens hantering av information. Digitaliseringen skapar möjligheter att arbeta effektivt men innebär också risker som du som företagare behöver känna till.
På den här sidan
Avbrott i verksamheten kan få stora konsekvenser, och därför är det viktigt att vara medveten om vilken information som företaget är beroende av. Företagets viktigaste information är sådan information som måste finnas tillgänglig för att driva företaget. Det kan till exempel vara företagets bokföring, affärsinformation, kunders information, kundregister eller utvecklingsplaner. Tänk igenom hur beroende verksamheten är av internet. Hur länge ni klarar er utan uppkoppling?
Eftersom mobilen ofta är central och ofta innehåller viktig företagsinformation är det viktigt att den skyddas. Håll din mobiltelefon, appar, datorer och system uppdaterade. Acceptera alltid automatiska uppdateringar av apparna. Tillverkare av datorer och mobiler skickar regelbundet ut säkerhetsuppdateringar. Installera dessa direkt. Säkerhetsuppdateringarna innehåller viktiga förbättringar som hjälper till att skydda utrustningen.
För att säkerställa att företaget får korrekt och snabb information från bland annat myndigheter är det klokt att skaffa en digital brevlåda. Det minskar risken bolagskapningar.
Lathund för grundläggande informationssäkerhet i ditt företag
Som stöd till dig som är småföretagare för att komma igång med det grundläggande informationssäkerhetsarbetet i ditt företag finns här en lathund. Den tar dig steg för steg genom de analyser som behövs för att starta arbetet.
Med lathunden får man enkelt och snabbt en överblick över var i verksamheten sårbarheterna finns och var det behövs göras åtgärder för att förebygga och minska konsekvenserna vid avbrott i verksamheten.
Dokumentera det du kommer fram till och spara på ett tillgängligt ställe. Tänk på att det här förebyggande arbetet är en basnivå. Överväg om företaget behöver göra ett mer omfattande informations- och cybersäkerhetsarbete.
-
Vilka uppkopplade datorer (stationära/portabla, mobiler, surfplattor, servrar) eller annan utrustning (exempelvis maskiner och apparater) finns och används i ditt företag?
Gör en sammanställning av datorer och annan utrustning som är viktigast för att ditt företag ska fungera. Se exemplet eller gör en enkel mall.
Exempel på mallMed datorer menas till exempel stationär och portabla datorer, mobiler, surfplattor och servrar.
Med utrusning som maskiner och apparater menas till exempel uppkopplade produktionsmaskiner, fläktsystem, hissar, passersystem, skrivare, larm med mera.
-
Vilka program, appar och tjänster finns och används i ditt företag?
Komplettera sammanställningen (av datorer och utrustning) med vilka program, appar och tjänster som är viktigast för att ditt företag ska fungera.
Med program, appar och tjänster menas till exempel e-post, betaltjänster, e-legitimation, webbsida, tidrapporteringssystem, övervakningssystem, logistik- och produktionssystem, bokningssystem med mera.
-
Hur lång tid kan ni vara utan datorer, utrustning eller program, appar och tjänster innan det blir problem för ditt företag?
Om det blir störningar i datorer och utrustning eller program, appar och tjänster påverkas ofta ett företags verksamhet negativt. Det är dock olika hur beroende företaget är av dessa.
Föreställt dig att någon utrustning eller tjänst, som du har identifierat som viktigt i företaget inte fungerar eller inte finns tillgängligt.
När störningen negativa konsekvenser eller när uppstår det mer allvarliga konsekvenser i verksamheten som till och med kan innebära avbrott i verksamheten?
Fortsätt i sammanställningen och bedöm störningen enligt följande:
- inga konsekvenser
- när störningen får negativa konsekvenser
- när störningen blir allvarlig, t ex avbrott
Bedömning enligt följande tidsintervall:
- högst 4 timmar
- cirka ett dygn
- cirka en vecka eller mer.
Tidsintervallerna är ett exempel och kan behövas justeras utifrån företagets förutsättningar och dess kritiska tidsintervaller.
Sammanställningen ger uppfattning om vilka konsekvenser det kan få för verksamheten.
-
Orsaken till varför utrustningen inte fungerar?
Att någon utrustning eller tjänst inte fungerar eller inte är tillgänglighet kan ha flera olika orsaker.
Det kan till exempel bero på elavbrott, brand, kabelbrott, internetstörningar, översvämning, stöld av utrustning (dator, mobil mm), överbelastningsattack, skadlig kod och utpressningsprogram till exempel ransomware, eller att datorer eller system går sönder, kraschar samt givetvis på människan själv genom handhavandefel.
Det är också viktigt att tänka på att om något av detta händer dina leverantörer så kan också ditt företags verksamhet påverkas negativt.
-
När får störningen negativa konsekvenser eller när uppstår det mer allvarliga konsekvenser i verksamheten?
Vad ni bör göra innan något händer
I sammanställningen ni gjort blir det sannolikt tydligt vilka områden och hur snabbt som företaget påverkas av störningar. Nästa steg är att identifiera vilka förebyggande åtgärder som kan och bör göras.
Det kan handla om att se över virusskydd och brandväggar, säkerställa rutiner för säkerhetskopiering, säkerhetsuppdateringar, behörighetsstyrning och lösenordshantering. En annan viktig del är att alla i företaget regelbundet påminns om säkerhetsfrågor genom utbildningar.Läs om säkerhetsåtgärder och kom fram till vilka som är relevanta för din verksamhet
Utbildning i taktisk informationssäkerhetVägledning säkerhetsåtgärder i informationssystemVägledningen utgör ett stöd vid tillämpningen av Myndigheten för samhällsskydd och beredskaps föreskrifter och allmänna råd (MSBFS 2020:7) om säkerhetsåtgärder i informationssystem för statliga myndigheter, men kan med fördel användas av alla organisationer som stöd i it-säkerhetsarbetet.
-
Vem kan stödja företaget i att förebygga avbrott?
Kontakta din it-support och dina viktigaste leverantörer.
-
När kan en plan B vara till hjälp?
Även om företaget bedriver ett förebyggande arbete så uppstår trots allt störningar. Det är därför viktigt att vara förberedd när det händer för att lindra konsekvenserna så gott det går. Gör en plan för hur företaget kan upprätthålla de viktigaste delarna i verksamheten. Detta gäller i synnerhet om man i sin kartläggning bedömt att konsekvenserna för störningar påverkar företaget i stor omfattning.
Några exempel:
- Vad ska finnas utskrivet?
- Behövs reservkraft?
- Behöver vi lagra information på flera platser (hårddisk, externt)? Vilka manuella rutiner kan behövas?,
- Vem eller vilka kan hjälpa till om det blir fel/avbrott?
- Hur kan vi kommunicera och ha tillgång till viktiga kontaktuppgifter?
- Behövs möjligheter att arbeta eller producera på annan plats?
Prioritera åtgärder och gör en handlingsplan
- Vilka av dessa åtgärder ska genomföras det närmaste året?
- I vilka åtgärder behöver företaget få externt stöd, exempelvis it-support?
Slutligen. Det här förebyggande arbetet kan ses som en basnivå. Överväg om företaget behöver göra ett mer omfattande cybersäkerhetsarbete.
MSB:s informationssäkerhetsutbildning DISA
MSB har tagit fram en ny version av DISA - Digital informationssäkerhetsutbildning för alla. Det är en avgiftsfri digital utbildning som på ett enkelt sätt kan höja din och dina medarbetares medvetenhet om god informationssäkerhetshantering. DISA består av tio avsnitt med filmer och texter. Flera av budskapen i Tänk säkert-kampanjen återfinns i DISA.
DISA - Digital informationssäkerhetsutbildning för alla
Checklistor: Så skyddar du ditt företags information
Om värdefull information hamnar i fel händer kan konsekvenserna bli allvarliga. Checklistorna ger dig tips på hur du som företagare kan skydda dig och din verksamhet och förhindra att er information hamnar i fel händer. Genom att tänka på hur du och dina medarbetare agerar på nätet, och genom enkla åtgärder och rutiner, så förbättras säkerheten avsevärt. Skyddar du er viktigaste information blir det svårare att genomföra hackerattacker och cyberangrepp.
Ladda ner checklistorna och prata om dem på jobbet!
Publikation
Till företag. Alla kan bidra till Sveriges cybersäkerhet. Du också.
Publikationsnummer: MSB2078
Utgivningsår: 2022
Skriften ger konkreta råd om vad företag behöver göra för att skydda företagets värdefulla information och därmed öka cybersäkerheten.
Senast granskad: 17 mars 2023