Säkerhetsrisker vid onboarding av nya medarbetare

Har du tänkt på att en enda medarbetare kan välta ett helt företag? Av misstag, dessutom. Att sätta rutiner och säkerhetsmedvetenhet redan i onboardingen har aldrig varit så viktigt som det är idag. När arbetsplatsen flyttat online - då är digital hygien allt.

Onboarding av nya medarbetare är en hel vetenskap. I takt med att vi byter jobb oftare än vi köper en ny kavaj har onboardingprocesser blivit ett av HR-branschens viktigaste vapen när det kommer till att slåss om de bästa talangerna och få dem på banan så snabbt som möjligt. Man pratar om onboarding som en “upplevelse” där varje tröskel ska slipas ned så mycket det bara går. 

Säkerhet måste vara en naturlig del av onboardingen
Att inte prata om säkerhetskulturen vid en onboarding är som att ta flygcertifikat - utan att en enda gång öva på ett haveri. Hur ska man bete sig för att undvika att utsätta sig för risk? När en ny medarbetare är på väg in i organisationen är det viktigt den personen förstår exakt hur ert företag definierar säkerhet, vad det innebär konkret.

Det ska vara lätt att ta till sig för nya medarbetare
Det absolut viktigaste syftet med en säkerhetsstrategi är att den ska kunna gå att kommunicera ut till alla olika medarbetare i organisationen. Alla måste kunna ta till sig innehållet, via video, text eller bilder. 

Vad finns det för attestregler? Hur kommunicerar man? Hur gör säljarna när de prospekterar? Vilka applikationer använder man för att lagra lösenord? Vilken typ av information får man dela i tredjepartsverktyg? Vilken typ av information får man dela med sig av på sociala medier? Var går gränsen? Det absolut viktigaste är att dessa dokument aldrig får bli “bara dokument” utan ska vara en del av organisationen. 

Vill du veta mer om hur du sätter upp en säkerhetsstrategi - Läs "Så gör du om företaget blir hackat -därför ska du ha en säkerhetsstrategi”

Företagskultur handlar tyvärr inte så mycket om säkerhet
Men i och med att trösklarna för onboardingen har slipats ned och allt ska gå så sömlöst som möjligt så glömmer också många en avgörande hörnsten i ett modernt företag. Säkerhetskulturen. För precis som den övriga kulturen är säkerhet också ett sätt att tänka och förhålla sig till omvärlden. Med tanke på hur mycket energi som läggs ned på att bygga företagskulturer runt om i världen så handlar förvånansvärt lite om säkerhetsaspekten. Det kanske är svårare att föreställa sig ett dataintrång än vad det är att föreställa sig en sämre produkt eller en stagnation av företagets säljare. Detta förändrar dock inte sanningen, det vill säga att mer eller mindre hela verksamheten kan försvinna över en natt om en enda medarbetare (medvetet eller omedvetet) begår ett ödesdigert misstag. Idag när alla är uppkopplade mot varandra så är det inte bara tillväxten som är skalbar - det gäller också dataläckaget. Att få in ett ransomware eller intrång på en dator betyder genast att stora delar av IT-strukturen kan vara i risk. 

Har era medarbetare bytt default-lösenordet på sin router hemma? 
I pandemins fotspår med hemarbetet har digital hygien blivit lika viktig som den fysiska. Alla har numera fått lära sig att tvätta händerna ordentligt. Men få har lärt sig vad onlinesäkerhet egentligen innebär. Hemmakontor med dåliga och ibland obefintligt IT-skydd har skapat en “perfect storm” för hackers.

Idag börjar vi sakta men säkert se följderna. Sjukhus och privata företag har fått se sina mest känsliga uppgifter att spridas för vinden på internet. Inom ett par veckor efter coronautbrottet ökade attackerna med 60 procent. Många företag blev hackade i mars och april - och det först nu eller senare som vi kan börja se resultatet. Vilket är typiskt. Den genomsnittliga tiden för att upptäcka ett dataintrång är 242 dagar efter att det har skett. 

All säkerhet börjar med användarna - se då till att de nya förstår er säkerhetsstrategi till 100 procent
De medarbetare som inte har koll på sin digitala identitet kan alltså stjälpa ett helt företag - genom oaktsamhet eller slarv. En hisnande tanke - men tyvärr sann. Enskilda medarbetare kan få virus  - utan att de ens vet om det. På många sätt kan man jämföra det med att vi genom alla digitala verktyg har gett medarbetare nyckelknippan till företagets bankvalv. Det är inte meningen att de ska använda dessa nycklar men eftersom de är uppkopplade mot internet och alla andra datorer så är de också mottagliga för attacker. I praktiken behöver en hacker bara en enda slarvig medarbetare för att sänka ditt företag.

Frågor du ska ställa dig själv om du inte vill prioritera säkerhet vid onboarding av nya medarbetare:  

  1. Vad kommer det att kosta er om någon publicerar er mest känsliga data publikt på internet.
  2. Hur stor risk är vi beredda att ta för vår IT-miljö? 
  3. Har vi kompetensen att lösa vår säkerhet internt eller måste vi ta in hjälp? 

Riskvärdering - fundamentet i en bra säkerhetskultur
Att skapa en medvetenhet och en bra säkerhetskultur är svårt. Men vid en attack (som kommer förr eller senare) så avgör det företags öde. Klarar ni attacken eller blir ni ett lätt offer? I Sverige finns idag en bred delningskultur - som kanske många gånger saknar ett lager av säkerhetstänkande. Vi delar alltså många gånger utan att tänka efter. En aning naivt i dessa tider. Vi har ett grundmurat förtroende på myndigheter och sjukhus. Att de skyddar vår integritet och data. Men detta håller på att förändras. Det som vi har sett i USA och i Finland under hösten 2020 kommer förmodligen att hända även i Sverige. Och detta gör att kartan håller på att ritas om. Vi tvingas som individer att ta mer ansvar på en individuell  nivå. Att tänka, en eller två gånger innan vi laddar ned applikationer till telefonen, bilagor i mailen eller kanske ens öppnar vissa mail. Eller delar något på Facebook. Detta hör ihop med källkritiskt tänkande.

Det är vid onboardingen du sätter standarden
Det är vid onboardingen du sätter tonen och standarden för hur just ert företag ser på säkerhet. Missa inte den chansen. Lämna det inte åt slumpen. För gör du det så ska du också vara medveten om att du lämnar en öppningen för hackers att komma åt dina minst försiktiga medarbetare. En kedja är aldrig starkare än den svagaste länken. Det borde alla företag tänka på. Inte bara hackers. 

32 tips till bättre IT-säkerhet
Den här checklistan ger dig 32 handfasta och essentiella tips kring hur du och dina medarbetare klarar er i cybermiljön.

Ladda ner infographic