Sponseret indhold

Informationssikkerhed handler om langt mere end cyberangreb

Anders Linde, chefkonsulent i Dansk Standard

Af:

I takt med øget digitalisering stiger risikoen for hackerangreb og anden IT-kriminalitet, som derfor bliver et fortsat vigtigere indsatsområde for danske virksomheder. Mange glemmer dog, at informationssikkerhed ikke kun handler om beskyttelse mod udefrakommende angreb – og det kan ifølge eksperter på området få alvorlige konsekvenser.

I de seneste år har der været stor fokus på cybersikkerhed og beskyttelse af informationer. Dels på grund af indførelsen af Persondataforordningen (GDPR) og dels fordi de kriminelle i takt med digitaliseringen er fulgt med over i cyberspace. Det er virksomhederne klar over, og informationssikkerhed og databeskyttelse fylder derfor langt mere på direktionsgangen end før. I PWC’s ”CEO Survey 2020” svarer 88 pct. af de danske topledere således, at deres største bekymring er cybertrusler. 

 Og bekymringen er desværre meget ofte reel. Det vurderer Rasmus Theede, Partner i sikkerhedsfirmaet CyberNordic, som har været sikkerhedsansvarlig hos b.la. A.P. Møller-Mærsk, NNIT og KMD, samt formand for Rådet for Digital Sikkerhed.

”Det bekymrer mig meget, at en så stor del af topledelsen, ser cybertruslen som deres største bekymring. Cybersikkerhed er uhyre vigtig, men god sikkerhed skal støtte, aldrig stå over, den øvrige forretning. Ledelsens bekymring vidner desværre om, at topledelsen stadig har meget svært ved at forstå de reelle cybertrusler, og samtidig er i tvivl om deres egen virksomheds evne til at beskytte sig selv effektivt. Man glemmer ofte, at informationssikkerhed handler om langt mere end hackerandgreb og computervirus, som vi konstant hører om. Informationssikkerhed handler både om gode procedurer, den rette teknologi og de rette menneskelige kompetencer, i lige fordeling”, siger han.

Tvivlen blandt lederne er ifølge Rasmus Theede helt forståelig. Cybersikkerhed er kommet højt på agendaen, helt på regeringsniveau, og har fundet sin faste plads i aviser, nyhedsudsendelser, sociale medier, m.m. Budskaberne er dog meget ofte forskelligartede, forvirrende og svære og forstå. Især for topledelsen, hvor cyberverdenen ligger meget langt fra de daglige forretningsaktiviteter.

”Dette gør desværre, at mange virksomheder helt giver op med at prøve at forsvare sig, eller sætter ind de forkerte steder. Vi ser derfor, at et stort flertal af danske virksomheder, i alle størrelser, mangler de helt grundlæggende sikkerhedskontroller. Sikkerhedskontroller som har været kendt i mange år, og som er relative nemme at implementere. Især for små og mellemstore virksomheder”, siger Rasmus Theede.

Kend jeres cyberrisici, og reducer jeres bekymring væsentlig
Vi hører ofte at cybertruslen er ny, men det er den ifølge Rasmus Theede absolut ikke.:

”Med få undtagelser er de trusler og sårbarheder, vi ser i dag, ikke meget forskellige fra dem vi så for to årtier siden, da jeg selv startede i sikkerhedsbranchen. Angrebene er selvfølgelig intensiveret og blevet mere avancerede hen ad vejen, men vores evne til at forsvare os er også blevet markant bedre. Vi har i dag rigtig gode gennemarbejdede sikkerhedsstandarder, gode vejledninger og smart teknologi, som vi kun kunne drømme om i starten af 00’erne”.

Så, der er ingen grund til at frygte cybersikkerheden. Det kræver blot, at man udarbejder en grundig risikovurdering for sin informationssikkerhed, så man kender sine cyberrisici og har en plan for, hvad man skal gøre ved dem. 

”Forstår ledelsen deres reelle cyberrisici, er jeg sikker på at bekymringen for cybertruslen vil falde drastisk”, understreger Rasmus Theede. 

Risikostyring er et afgørende skridt
Dansk Standard, som står for udviklingen af standarder og også rådgiver virksomheder om arbejdet med bl.a. standarder for informationssikkerhed, oplever ligesom Rasmus Theede, at risikostyring er en stor udfordring for mange virksomheder.

”For fem år siden var udfordringen at få organisationer til at forstå vigtigheden af informationssikkerhed, men i dag er udfordringen snarere at forstå, hvordan man i praksis sikrer informationer. Her er risikostyring et afgørende skridt,” siger Anders Linde, der er chefkonsulent i Dansk Standard, og uddyber:

”Risikovurderingen skal koble informationssikkerhed til forretningen. Det er en cost-benefit-analyse, som tydeliggør hvor, der skal sættes ind. Derfor er det vigtigt at involvere hele forretningen i processen og løbende følge op på risikobilledet. Det kræver tid og ressourcer, men det er godt givet ud, når resultatet er informationssikkerhed tilpasset organisationens forretning.”

Standarder strukturerer og prioriterer indsatsen
Standarder kan hjælpe virksomheder med at få styr på informationssikkerheden, fordi de giver redskaber til at strukturere, prioritere og dokumentere arbejdet med risikostyring, it-sikkerhed og databeskyttelse.

”Risici er et grundvilkår og derfor handler det om at få klarlagt, hvor det for organisationen giver bedst mening at sætte ind. Det er vigtigt at få kvalificeret, hvad der kan ramme virksomheden – og som kunne medføre, at informationer kompromitteres, ødelægges eller går tabt” siger Anders Linde, der anbefaler virksomheder indledningsvis at spørge sig selv: Hvad er vi sat i verden for at lave? Hvordan ser vores kerneprocesser ud, hvilke informationer trækker vi på og – set i det lys – hvad bekymrer os så mest? Og det kan standarder hjælpe med.

Det er særligt standarden ISO/IEC 27001, der kan hjælpe virksomheder med at strukturere og dokumentere deres informationssikkerhedsindsats. Hele den offentlige sektor er underlagt denne standard, men den er også relevant for både små og store, offentlige og private organisationer. 

”Formålet med standarden er at opnå effektiv styring af informationssikkerhed indrettet efter virksomhedens behov, samt sikre at denne effektivitet fastholdes gennem en proces for løbende forbedring. Det betyder, at arbejdet med informationssikkerhed regelmæssigt opdateres, så virksomheden er i stand til at håndtere udfordringerne i en forretningsverden under konstant forandring. Og man kan sagtens bruge standarden som værktøj til at beskytte sine data og prioritere sin indsats uden at lade sig certificere”, understreger Anders Linde.

Håndtering af risici bliver derfor ikke en ”one size fits all”
Trusselsbilledet og behandlingen af data i forhold til omfang og kategorier varierer med de services og produkter, som en organisation leverer.  For en tøjbutik er det måske kunders data og leverandøraftaler, det er vigtigst at beskytte. For en kommune er der særligt fokus på borgernes følsomme persondata, som indgår i forskellige offentlige services.

”En stor del af opgaven handler også om at lære sine medarbejdere at tage et medansvar i det daglige, f.eks. ved ikke at klikke på alle links i tilfældige mails eller have fortrolige data liggende frit tilgængeligt. Derfor handler ISO/IEC 27001 heller ikke kun om it, men også om noget så lavpraktisk som lås på døren og regler for medarbejderadfærd på arbejdspladsen,” slutter Anders Linde.

Standarder for informationssikkerhed og risikostyring

Der findes flere standarder for informationssikkerhed og risikostyring, herunder ISO/IEC 27001, 27002 og 27005. Fordelen ved at benytte standarder er ifølge chefkonsulent i Dansk Standard Anders Linde, at man – foruden at sikre informationer – arbejder ud fra en fælles, international best practice og derfor kan dokumentere over for kunder og myndigheder, at man overholder kravene til informationssikkerhed.

ISO/iEC 27001:

International standard for informationssikkerhed. Opstiller blandt andet krav til risikostyring, dokumentation af processer samt fordeling af roller og ansvar for informationssikkerhed.

ISO/IEC 27002:

Vejledning i implementering af informationssikkerhedskontroller.

ISO/IEC 27005:

Vejledning i risikoledelse for informationssikkerhed.

Vil du vide mere om informationssikkerhed og hvordan standarder kan hjælpe med at strukturere og dokumentere indsatsen?

Læs mere her ds.dk/informationssikkerhed

Seneste nyt

Steffan4 (1)
Stil din transportør til ansvar: Bæredygtig logistik handler om mere end miljø
Henrik Pedersen 1
Instant lønudbetaling til vikarer med Freepay PayOut: Fremtiden er nu
Boxes on laptop computer. online shopping
Den grønne kurv vinder ordren i B2B-indkøb
Kardex_img_Customer_Bonver_01
Fremtidens logistikløsninger: Kardex forvandler e-handelslagre
kort2
De selvbetjenende B2B-kunder

Mest læste på BusinessReview.dk

DSC_0492_just - lab
Dansk brystkræftvaccine skal testes på patienter
_CAP0102
Unilabs Pharma Solutions: Tæt på 40 års erfaring med kliniske studier
Pila Pharma IMG_0725 (2)
PILA PHARMA baner vejen for nye tanker om behandling af diabetes og fedme
Steffen Bang Olsen Kromann Reumert frit med redt hår
Ejendomsadvokaten: Erhvervslejelovens § 14: Udlejers ret til at kræve ændring af lejevilkår
OC2A0036_1F
Jeudan går foran med strategi for samfundsansvar
etf021024
Energi Til Fremtiden
Søren-Damgaard-(SD)
Betydningen af forkøbsret og hjemfaldspligt ved ejendomstransaktioner
ecommerce101024
E-Commerce
RS22845_RS17512_Comwell_August-3
Hotelbranchen driver en bæredygtig omstilling
Affaldsspande Roskilde
DSB tager skraldet

Læs også

Henrik Pedersen 1
Instant lønudbetaling til vikarer med Freepay PayOut: Fremtiden er nu
”Det har altid været et ønske i vores organisation at tilbyde en løsning, hvor arbejdstagere kan få deres penge med det samme efter...
Boxes on laptop computer. online shopping
Den grønne kurv vinder ordren i B2B-indkøb
I Dansk Industri´s B2B e-commerce analyse ses det, at nye bæredygtige trends for alvor slår igennem, når de professionelle danske indkøbere...
Kardex_img_Customer_Bonver_01
Fremtidens logistikløsninger: Kardex forvandler e-handelslagre
Når vi klikker ”køb nu” på en webshop, forventer vi, at varen hurtigt og effektivt lander på vores dørtrin. Men bag den simple handling...