En enkät från Symantec visar att vart tionde svenskt småföretag har blivit utsatt för någon typ av attack under det senaste året. Dessutom saknar vart fjärde företag tillräckliga kunskaper för att skydda sig.

Läs rapporten från Symantec

Det är en vanlig föreställning bland mindre företag att man inte har något som behöver skyddas och att informationssäkerhet bara är något som är svårt och kostar pengar. Men snarare är det så att ett litet företag är mera känsligt för förluster av information och försämrat förtroende hos kunderna.

Orsaker	Hur hjälper PAPAI?
Kostnader Säkerhet ses endast som en kostnad och som ett hinder för verksamheten. Man inser inte kopplingen till kvalitet, driftsäkerhet och förtroende, värden som i och för sig är svåra att definiera i ekonomiska termer, men icke desto mindre centrala för alla organisationer och företag. Ledningen har inte klart uttryckt värdet och nyttan med informationssäkerheten. Många gånger försöker man motivera bristen på säkerhetsinsatser med svepande uttalanden som: vi måste kunna lita på att vår personal beter sig som förväntat. Samtidigt visar undersökningen att 35 procent av de drabbade anger att det är misstag av medarbetare som orsakat förlust av information eller datahaveri. Likaså anses ju insiders vara ett mycket större hot än externa attacker.	PAPAI gör säkerheten till en del av kvalitetsarbetet. Säkerhet gäller inte i första hand att klara sig från externa hackerattacker utan i minst lika hög grad att man har ett säkerhetsmedvetande hos all personal och att det finns fungerande policies, riktlinjer och rutiner.
Bristande kunskaper Om man frågar ett företag om deras informationssäkerhet får man alltid svaret att man tycker att man gjort tillräckligt. Så snart externa granskare sätts in kommer de till det motsatta resultatet. Genom att mer eller mindre omedvetet skjuta problemen åt sidan hoppas man på att de föörsvinner när man inte tänker på dem. Ledningen ser i allmänhet informationssäkerhet enbart som ett tekniskt problem. Det kan över huvud taget vara svårt att hänga med i vad best practice är för tillfället, man uppfattar inte att man ligger efter i utvecklingen.	Mindre företag har i regel aldrig gjort någon riskanalys och man vet därför varken vilka skyddsvärda tillgångar man har eller något om hot och risker. PAPAI ger en enkel metod för att utföra riskanalysen så att man kan inrikta säkerhetsarbetet på de verksamhetskritiska delarna. Riskanalysen ger ledningen insikt i säkerhetsproblemen och underlag för att bedöma investeringar i säkerhet.