Af Eskil Sørensen, 23/03/22
Erhvervsstyrelsen har for nyligt gennemført i samarbejde med Epinion en analyse, der sætter spot på danske små og mellemstore virksomheders forhold til it-sikkerhed. Analysens hovedresultat viser, at ¾ af deltagerne i analysen oplyser, at de i høj eller nogen grad har udliciteret deres it-sikkerhed til en ekstern it-leverandør.
I de kvalitative interviews, der er udarbejdet på bagkant af de kvantitative resultater, belyses det, at fokus på it-sikkerhed blandt de virksomheder med udliciteret it-sikkerhed, ’i praksis er lavt’, som det hedder i analysen.
Over 80 pct. af af virksomhederne fortæller, at de kun har fokus på it-sikkerheden, når deres it-leverandør tager initiativ til at tale om det eller anbefaler nye sikkerhedstiltag. Mens lidt over 2/3 oplyser, at de har fokus, når de oplever en it-sikkerhedshændelse.
For de fleste virksomheder er it-sikkerheden ikke et fast punkt på ledelsens agenda, men noget man evt. berører 1-2 gange om året, når man gennemgår it-budgettet.
Awarnesstræning gavner ikke fokus
En anden interessant iagttagelse ved analysen er, at kun lidt over en trediedel af virksomhederne har fokus på it-sikkerhed ifm. awarnesstræning. Således svarer 34 pct. af respondenterne i høj eller nogen grad ved svarkategorien ’awarenesstræning’ i forbindelse med spørgsmålet om i hvilken grad der er fokus på it-sikkerhed i virksomheden.
Hele 25 pct. markerer ’slet ikke’ eller ’ i mindre grad’ ud fra kategorien awarensstræning. Det må forstås således, at awarnesstræning for 25 pct af virksomhederne ikke gavner deres fokus på it-sikkerhed af betydning. Mange svarer ifølge Epinions rapport også ’ikke relevant’ på spørgsmålet, hvilket peger på, at der slet ikke gennemføres awarenesstræning.
Dette peger på, at awarenesstræning ikke virker efter hensigten, hvis ønsket har været at opnå mere fokus på it-sikkerhed.