Informationssikkerhed og databeskyttelse bliver et fortsat vigtigere indsatsområde for danske virksomheder. I PWC’s ”CEO Survey 2019” svarer 85 pct. af de danske topledere således, at deres største bekymring er cybertrusler.
”I takt med at digitaliseringen øges, er de kriminelle fulgt med over i cyberspace, og det giver nye og andre risici end tidligere. Det er virksomhederne klar over, og det fylder langt mere på direktionsgangen end tidligere, fordi det er afgørende for forretningen, at der er styr på cyber- og informationssikkerheden,” siger Anders Linde, chefkonsulent i Dansk Standard.
Ingen kan gøre alt – gør det klogeste
Cyberangreb kan ramme alle, store som små, og kan have voldsomme konsekvenser for forretningen. Men det kan virke som en uoverskuelig opgave for at få styr på cyber- og informationssikkerheden – især for mindre virksomheder med begrænsede ressourcer. Standarder kan hjælpe virksomheder med at strukturere, prioritere og dokumentere arbejdet med risikostyring, it-sikkerhed og databeskyttelse.
”Risici vil der altid være og derfor handler det om at få klarlagt, hvor det for organisationen giver bedst mening at sætte ind. Det er vigtigt at få kvalificeret, hvad der kan ramme virksomheden – og som kunne medføre, at informationer kompromitteres, ødelægges eller går tabt,” siger Anders Linde, der anbefaler virksomheder at spørge sig selv: Hvad er vi sat i verden for at lave? Hvordan ser vores kerneprocesser ud, hvilke informationer er nødvendige for at lykkes og hvad bekymrer os mest? Og det kan standarder hjælpe med.
Standarder strukturerer og prioriterer indsatsen
”Det er især standarden ISO/IEC 27001 om informationssikkerhed, der kan hjælpe virksomheder med at strukturere og dokumentere deres indsats. Hele den offentlige sektor er underlagt denne standard, men den er relevant for både små og store, offentlige og private organisationer. Og man behøver ikke lade sig certificere, men kan nøjes med at følge principperne i standarden og bruge den som værktøj til at beskytte sine data og prioritere sin indsats,” forklarer Anders Linde og fortsætter:
”En stor del af opgaven handler om at lære sine medarbejdere god adfærd, f.eks. at man ikke må klikke på alle links eller have fortrolige data stående frit tilgængeligt. Derfor handler ISO/IEC 27001 heller ikke kun om it, men også om noget så lavpraktisk som lås på arkivskabe og retningslinjer for medarbejdere,” siger Anders Linde.
Hvilke data der er vitale for forretningen, og dermed hvilken håndtering af risici der er behov for, er vidt forskelligt fra virksomhed til virksomhed. For tøjbutikker og boghandlere er det måske kunders og leverandørers kontakt- og betalingsinformation, der er vigtigst at beskytte. Mens virksomheder, der sælger udstyr, som er koblet til internettet, skal have endnu større fokus på produktets it-sikkerhed, så eksempelvis følsomme persondata ikke bliver tilgængelige for uvedkommende.
Skab sammenhæng mellem GDPR og informationssikkerhed
Og netop beskyttelse af persondata er en vigtig del af virksomhedens indsats. Digitalisering, globalisering og personalisering af tjenester – fra booking af lægeaftaler til adgang til netbanken – har ført til, at mængden af data, som danske virksomheder genererer, håndterer og opbevarer, vokser med lynets hast. Dermed bliver behovet for en systematisk og sikker behandling af persondata også større.
“De mange forskellige applikationer og platforme er blevet en del af folks daglige rutine, hvor personoplysninger indsamles. Det betyder, at vi jævnligt overleverer vores data uden at tænke over det. Som en konsekvens af den digitale udvikling har vi bl.a. fået GDPR, hvor et større ansvar placeres hos virksomheder og offentlige myndigheder, når de behandler persondata. Men GDPR giver ikke konkrete værktøjer til, hvordan man beskytter disse data. Her kan den nye ledelsesstandard ISO/IEC 27701 sætte scenen med krav og vejledning til processer og foranstaltninger”, forklarer Anders Linde.
Standarden ISO/IEC 27701 bygger ovenpå organisationens eksisterende informationssikkerhedsindsats med krav og retningslinjer til håndtering af personoplysninger. Standarden giver desuden en indføring i de forskellige ansvarsområder, som ligger hos henholdsvis den dataansvarlige og databehandleren og indeholder også et anneks, der mapper standardens krav og anbefalinger op mod de forskellige artikler i GDPR-lovgivningen. Dermed giver standarden en velegnet ramme til at beskytte data og leve op til de gældende databeskyttelseskrav.
