Her er DKCERTs 14 anbefalinger til ledelsen på uddannelses- og forskningsinstitutioner

Informationssikkerhed er ledelsens ansvar. Brud på sikkerheden og brud på databeskyttelseslovgivningen kan koste dyrt i form af økonomisk tab, dårlig omtale og udgifter til oprydning. DKCERT anbefaler, at institutionens ledelse afsætter de fornødne ressourcer til at løfte opgaven.

1. Inkluder informationssikkerhed i den langsigtede strategiske planlægning og udarbejd i tilknytning til det en strategi for kommunikations- og læringsindsatsen i forhold til cyber- og informationssikkerhed.
2. Gør det tydeligt, at ledelsen er aktivt og løbende involveret i arbejdet med informationssikkerhed.
3. Afsæt ressourcer til uddannelse og kompetenceudvikling af alle medarbejdere i informationssikkerhed.
4. Sørg for løbende at adressere behovet for at efterleve retningslinjer for informationssikkerhed i organisationen, og monitorer efterlevelsen. Det er ikke nok, at medarbejderne undervises.
5. Overvej evt. disciplinære forholdsregler og mulige konsekvenser ved overtrædelse af sikkerhedspolitikken og -retningslinjerne.
6. Understøt en kultur, hvor risiko og sikkerhed er tænkt ind fra starten i udviklingen af produkter og tjenester.
7. Sørg for, at der er ressourcer til, at der kan føres tilsyn med overholdelse af databeskyttelsesforordningen.
8. Hold de ansatte, studerende og gæster informeret om informationssikkerhedspolitikken og aktuelle problemer.
9. Etabler et beredskab, udarbejd en beredskabsplan for kritiske hændelser og gennemfør øvelser med jævne mellemrum.
10. Prioriter og synliggør risikostyring.
11. Foretag løbende risikovurderinger af forretningskritiske systemer – også ved hændelser, der rammer lignende institutioner.
12. Arbejd sammen med andre institutioner om informationssikkerhed, del viden og erfaringer.
13. Afsæt tid, penge og personale til håndtering af informationssikkerhed.
14. Understøt en kultur, hvor dialog om informationssikkerhed er en del af sikkerhedsarbejdet.