Styrk IT-sikkerheden i din SMV eller forening

af | 29. jan 2026 | Informationssikkerhed

Styrk IT-sikkerheden i din virksomhed eller forening

Surfer dine medarbejdere på nettet i arbejdstiden?

Hvis du er OK med det, og du ikke interesserer dig for, hvad de leder efter, så er det sikkert helt fint, ikke? Men hvad nu hvis de er på gambling-sider eller det, der er værre? Hvad nu hvis de faktisk er ved at uploade hele jeres pris- og varekatalog til konkurrenten? Er det så også OK? Med få tricks kan du styrk IT-sikkerheden i din SMV eller forening.

For mange små virksomheder og foreninger er god IT- og Informationssikkerhed ofte et spørgsmål om balance. Dit primære fokus er på at drive din forretning. Men samtidig har du også brug for sikkerhed og kontrol over dit IT-landskab, men du har sjældent tid eller ressourcer til tunge processer. Og de kompetencer og specialister, der skal til, er dyre i indkøb, hvis de overhovedet er til at få fat i.

Faktisk kan du gøre meget selv ved at arbejde bevidst og tydeligt med IT-sikkerhedskulturen i din virksomhed eller forening. Her kan du hente hjælp og inspiration i ISO/IEC 27001-standarden for IT- og Informationssikkerhed. Selvom det kan lyde lidt tørt, så er der mange gode råd at hente i standarden.

De forskellige initiativer, du kan arbejde med, kaldes foranstaltninger. Du behøver ikke implementere alle foranstaltningerne i standarden – du kan nøjes med at få hjælp til plukke fra den.

Det kan du sagtens gøre uden, at det kræver avancerede tekniske løsninger og tunge procedurer.

Styrk IT-sikkerheden i din SMV eller forening

En af de foranstaltninger, jeg synes giver rigtig god værdi i forhold til indsatsen er “A.5.10 Acceptabel brug af information og andre tilknyttede aktiver” – øøøøøh, hvad?! Du kan nøjes med »Retningslinjer for brug af IT« eller hvad du synes passer bedre i din sammenhæng. Her vil jeg nøjes med at kalde den for “Acceptabel brug af IT”.

Det vigtige er, at du som leder eller foreningsbestyrelse sætter klare rammer for dine medarbejderes eller de frivilliges adfærd, når de bruger virksomhedens eller foreningens IT.

For det andet skal du gøre det klart, at det kan have ansættelsesretlige eller andre konsekvenser, hvis man som medarbejder eller foreningsfrivillig ikke efterlever reglerne.

Så hvis du var en af dem, du læste om i starten, som ikke interesserer sig for, hvad dine ansatte laver på nettet, og hvordan de bruger det IT-udstyr, de har til rådighed, så er det på tide, at du sadler om.

Styrk IT-sikkerheden i din virksomhed eller forening med nogle af de gode anbefalinger der findes i ISO/IEC-27001-standarden. Det er ikke så vanskeligt, som det umiddelbart lyder.

Bruge enkle regler og styrk IT-sikkerheden

Det kan siges ganske enkelt: Alle, der har adgang til det IT og de informationer, I bruger i virksomheden eller foreningen, skal være klar over 

  • Hvordan de bruger IT og informationer korrekt og ansvarligt
  • Hvad der tilladt – og hvad der ikke er
  • At alle skal bidrage aktivt til bedst muligt at beskytte informationer, systemer og udstyr.
  • At reglerne gælder for alle – også dig selv

Hvorfor giver det mening at arbejde med en politik eller retningslinje for acceptabel brug af IT? Fordi en enkelt fejl eller overtrædelser af reglerne hurtigt kan få store konsekvenser for din virksomhed eller for foreningen.

Derfor er klare spilleregler, som er kendt af alle, ganske enkelt en meget effektiv sikkerhedsforanstaltning.

Sådan omsættes “Acceptabel brug af IT” i praksis

Lad være med at gå i gang med at skrive stolpe op og stolpe ned, om hvad man må og hvad man ikke må. Jeg har set flere eksempler på politikker med 8-9 tætskrevne sider om, alt hvad der var forbudt, uden egentlig at forklare eller begrunde hvorfor. Det er ikke hensigtsmæssigt. Det bliver heller ikke læst.

Start i stedet småt med det vigtigste: det udstyr og de informationer, som folk bruger i hverdagen – du kan altid uddybe og fylde mere på senere.

For det andet er det vigtigt at bruge et positivt og forklarende sprog. Det virker helt modsat, hvis du hele tiden skriver forbudt-forbudt-forbudt.

Skriv for eksempel hvad virksomhedens eller foreningens IT-systemer, computere, mobiltelefoner og informationer gerne må bruges til. Se eksemplet nedenfor, som du kan supplere med en liste over de typer af sider, der ikke må besøges, f.eks. pornosider, gambling-sider, overdreven brug af private sociale medier, og sider som kan udstille din virksomhed eller forening negativt overfor for udbyderen, kunder, konkurrenter osv.

Andre områder, som er gode at regulere er

  • brug af email, deling af dokumenter både internt og eksternt
  • håndtering af personoplysninger om kunder, ansatte, medlemmer osv.
  • krav til beskyttelse af adgangskoder og regler for installation af software
  • regler for håndtering af personoplysninger og opbevaring af dokumenter med personoplysninger.
  • Brug af private enheder, hvis du vil tillade det.
  • Brug af USB-nøgler.

Det vigtigste er egentlig, at reglerne er realistiske og tilpasset den hverdag, som du og dine medarbejdere eller de frivillige arbejder i.

Ellers bliver reglerne ikke efterlevet.

Eksempel

Du må gerne bruge Internettet til at søge efter privat information i begrænset omfang. Når du bruger Internettet, skal du generelt undgå at besøge sider, som kan bringe virksomheden eller foreningen i miskredit. Hvis du er i tvivl, kan du spørge din nærmeste leder.

Sørg for at reglerne bliver kendt og accepteret af alle

I mindre virksomheder og foreninger er det som regel lettere at kommunikere reglerne mundtligt. Men gør dig selv den tjeneste at skrive dem ned. Det er selvfølgelig OK at forklare reglerne mundtlig til en ny medarbejder.

Men hvis du ikke kan dokumentere, at du har opstillet, kommunikeret og håndhævet reglerne, så har du faktisk ikke gjort noget som helst. 

Med andre ord:

  • Sig det! (skriftlighed)
  • Gør det! (handling)
  • Vis det! (dokumentation)

En god måde at gribe kommunikationen an på, er at gennemgå forventningerne og give en kort mundtlig introduktion kombineret med skriftlige retningslinjer til den nye medarbejder eller den nye frivillige i foreningen. Det bør også indgå som en del af ansættelseskontrakten eller frivilligaftalen, at man forpligter sig til at kende og efterleve de krav til IT- og Informationssikkerhed, der gælder. 

Sørg desuden for løbende påmindelser til alle, specielt ved ændringer i systemer eller arbejdsgange. 

Og mindst en gang om året, så laver I en fælles opsamling, hvor I taler om, hvordan reglerne fungerer, og hvor de kan forbedres. Målet er ikke at kontrollere, men at skabe fælles forståelse og fælles ansvar. Husk at dokumentere mødet i et referat, så I får fulgt op på de gode forbedringsforslag.

Hvorfor er Acceptabel brug af IT særligt vigtigt for små virksomheder og foreninger?

I de fleste mindre virksomheder og foreninger er der ofte færre tekniske sikkerhedsforanstaltninger.

Styrelsen for Samfundssikkerhed har tidligere vurderet, at 40% af alle SMV’er har et manglende IT-sikkerheds- og cybersikkerhedsberedskab.

Derfor er det en god måde at styrke sin beskyttelse med organisatoriske foranstaltninger som supplement til de tekniske foranstaltninger. At lave en “Acceptabel brug af IT”-politik er et af de mest omkostningseffektive tiltag du kan implementere i din lille virksomhed eller forening.

Når du som virksomhedsleder eller foreningsbestyrelse opstiller klare krav og forventninger til, hvordan IT og informationer må anvendes, så kan du reducere risikoen betydeligt – uden store investeringer.

At arbejde hen imod en god IT-sikkerhedskultur koster ikke meget – men effekten kan spare dig for rigtig mange tabte penge.

Det er sådan set bare at komme i gang.

Fredagsfinten leverer små, lette tips og tricks til at forbedre din IT- og Informationssikkerhed i hverdagen.