Det räcker inte med att skydda ditt företag mot externa hot ­– du måste också förstå hur hotbilden ser ut internt. Framför allt handlar det om anställda och konsulter som har utvidgad användarbehörighet konstaterar Sam Elliot, som är produktchef på företaget Bomgar som gör mjukvara för säker åtkomst till system på distans.

Vår systersajt CSO Online har låtit honom lista vilka medarbetare som kan vara de största hoten mot din it-säkerhet.

Vd:n
Högste chefen är den person som bör toppa din lista.

– Tidigare i år beräknade FBI att sofistikerade bedrägerier riktade mot just vd:ar har kostat företag 2,3 miljarder dollar bara de senaste tre åren, säger Sam Elliot.

– Den sortens attacker för att komma över vd:arnas användaruppgifter och information visar att angripare utifrån går på både toppen och botten i en organisation.

Vd-sekreteraren
Vd-assistenter och vd-sekreterare är en grupp som också har tillgång till mycket känslig information.

– Ofta tillåts de komma åt känslig information om personer i ledningen, processer och system som inloggningsuppgifter, finansiell information och känsliga filer. Det gör dem till värdefulla måltavlor för hot.

Läs också: 6 sätt som hackare lurar folk för att komma in på företagen

Säkerhetskonsulten
Kom ihåg att säkerhetskonsulterna faktiskt inte är en del av ert företag. Men de får ofta behörighet att ta sig in och röra sig i ert nät.

– Företag borde ta sig tid att granska de här konsulterna för att bedöma hur stark deras egen säkerhet egentligen är innan de börjar samarbeta med dem, säger Sam Elliot.

Den tidigare anställde eller leverantören
Något som nästan alla organisationer i alla branscher är dåliga på är att se till att ta bort behörigheten till systemen när en anställd slutar eller man slutar arbeta med en leverantör.

– Stänger man inte av åtkomsten till systemen så blir företaget sårbart för en attack. Genom att stänga av de profilerna så minskar attackytan.

Den nytillträdde it-chefen
– Hackare kan vara överraskande sofistikerade – de söker online för att kunna använda sig av så kallad social engineering, social manipulation, innan de försöker komma in, säger Sam Elliot.

– En ny it-administratör som inte känner till protokollen och processerna kan bli utsedd till måltavla av personer utanför företaget som försöker utnyttja bristen på kunskap för att lura dem att ge ut behörighet.

Den som ansvarar för sociala medier
– Eftersom en som administrerar sociala medier ständigt är online och möter användarna så är informationen om dem ofta synlig på nätverk som exempelvis Linkedin, säger Sam Elliot.

– Cyberkriminella kan försöka få åtkomst till ett företag genom att uppträda som sociala medie-administratörer som hävdar att de behöver tillgång till ett system eller annan information.

Läs också: Cobol seglar upp som nästa stora säkerhetshot

Leverantören
För att kunna utföra sin verksamhet och sina affärer måste många företag, särskilt stora, lita till ett komplext system av leverantörer.

– I flera uppseendeväckande hack har de här leverantörerna fått direkt tillgång till de system de behöver via vpn, och det kan bli en inkörsport för hackare. Företagen måste försäkra sig om att deras leverantörer bara får en begränsad, kontrollerad åtkomst.

De tillfälligt anställda
Tillfälliga anställningar är värt att titta närmare på.

– Speciellt inom detaljhandeln och andra tjänstesektorer förekommer säsongsanställda och deltidsanställda, även på it-sidan. De får ofta tillfällig behörighet till onlinesystem som lönesystemet eller andra portaler och utrustas ibland också med hårdvara som bärbara datorer eller mobiler. Men säkerhetsåtgärderna måste vara desamma som för de andra anställda, säger Sam Elliot.

Molnchefen
Att ha data i molnet ökar sårbarheten enligt Sam Elliot.

– När mer information flyttas till molnet blir de som hanterar molninfrastrukturen en allt viktigare roll bland de användare som har mest behörighet. Oavsett om de bygger en arkitektur eller hanterar en molnplattform så har dessa individer en djup och bred tillgång till företagets information och det gör dem potentiellt lukrativa för hackare.