CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

Derfor halter din informationssikkerhed

Klumme: Virksomheder mangler tre ting for at gennemføre den sikkerhed, de drømmer om.

30. august 2013 kl. 14.30
Shehzad Ahmad Shehzad Ahmad Bestyrelsesmedlem i Rådet for Digital Sikkerhed

Ressourcer. Tid. Penge.

De tre ord hører jeg igen og igen, når jeg spørger it-sikkerhedsansvarlige, hvad deres største udfordringer er.

Vi mangler ressourcer i form af mennesker og viden.

Ressourcerne er nødvendige for at gøre ønskerne om it-sikkerhed til virkelighed: Der skal være nogen, som kan konfigurere firewallen eller foretage risikoanalysen.

Vi mangler tid.

It-funktionen er konstant presset: Den skal holde al organisationens it kørende, samtidig med at den leverer de nye funktioner, virksomheden efterspørger.

Så er det svært at få tid til også at analysere en serverlog eller køre en sårbarhedsscanning.

Vi mangler penge.

Det er altid lettere at få bevilget penge til nye pc'er eller applikationer, end det er at få plads på budgettet til at foretage en risikoanalyse eller ansætte sikkerhedsfolk.

Standard begynder ovenfra

Ressourcer, tid og penge.

Hvordan får vi mere af alle tre ting til arbejdet med it-sikkerhed?

Jeg har fundet en del af svaret i ISO 27001.

ISO 27001 er den internationale standard for it-sikkerhed, som alle statslige institutioner i Danmark skal følge.

Men jeg synes, at også andre skal sætte sig ind i den.

Standarden har noget at give både offentlige myndigheder, private virksomheder og andre organisationer, der ønsker at beskytte deres information.

Her er det gode ved ISO 27001

Det gode ved ISO 27001 er, at den begynder fra oven.

Den ser informationssikkerhed som noget, ledelsen har ansvaret for.

Det fremgår direkte af den officielle titel: "Ledelsessystemer for informationssikkerhed".

Derfor er standarden heller ikke fuld af konkrete tekniske krav.

Der står ikke, at man skal have en firewall med stateful inspection eller kryptering baseret på AES.

Så ISO 27001 er ikke en kogebog med opskrifter, man kan følge for at blive sikker.

I stedet er den en anvisning på, hvordan man udvikler og vedligeholder hele det ledelsessystem, der skal sikre ens informationer.

Kræver ledelsens engagement

Der står direkte, at ledelsen skal bevise sit engagement i opgaven.

Det sker ved at fastlægge sikkerhedspolitikken og følge op på, at den bliver efterlevet.

Dermed vender ISO 27001 den problemstilling på hovedet, som jeg indledte denne klumme med:

Nu handler det ikke om, at den sikkerhedsansvarlige står med hatten i hånden og beder om penge fra ledelsen.

Nej, nu er ledelsen selv forpligtet til at stille de nødvendige ressourcer til rådighed. Det fremgår af stk. 5.2.1 i standarden.

Fastlæg risikoen

Derfor lyder mit råd til it-sikkerhedsansvarlige: Sæt jer ind i ISO 27001.

Vær opmærksom på, at en ny version er på trapperne, ISO 27001:2013. Men den er ikke udsendt endnu.

Når I har læst standarden, skal I sælge ideen til jeres ledelse.

Sådan sælger du ideen til ledelsen

Hvis du arbejder i staten, er en del af arbejdet gjort på forhånd.

Er du i en virksomhed, kan du slå på, at I kan blive certificeret efter standarden og dermed få et blåt stempel, der kendes i både ind- og udland.

Du kan også gøre opmærksom på de mange sager, hvor firmaer får dårlig omtale, når hackere lægger deres kundedata ud på nettet.

En vigtig del af opgaven er risikovurdering. Den skal du begynde med.

Her handler det om at stille de ubehagelige spørgsmål: Hvor er vi sårbare? Hvor er vores svageste led? Hvor længe kan vi køre videre, hvis vores it går ned?

Når I har identificeret risici, skal I afgøre, hvad I vil gøre ved dem. Man kan vælge at leve med en risiko, at mindske konsekvenserne af den, eller helt at fjerne den.

Se på forretningen

Ressourcer. Tid. Penge. I virkeligheden skal der kun én ting til, for at du kan få alle tre dele: Ledelsens opbakning.

Så start der. Tænk over de fordele, der giver jeres virksomhed, at dens it fungerer i hverdagen og kan overleve angreb.

Gå til ledelsen og tal om fordelene ved at angribe it-sikkerhedsområdet på en struktureret måde, der bygger på konkrete erfaringer.

Hvis du formår at gøre ledelsen begejstret, får du både ressourcer, tid og penge til informationssikkerhed.DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DKCERT information om internetsikkerhed.

DKCERT udsender advarsler og tager imod henvendelser om sikkerhedsrelaterede hændelser på internettet. DKCERT er en organisation i DeIC, DTU.

Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.




Navnenyt fra it-danmarkVis alle »
Søren Islin
Søren Islin
Maria Nørholm Dam
Maria Nørholm Dam
Simon Møgelvang Bang
Simon Møgelvang Bang
Emil Bak-Møller
Emil Bak-Møller

Martin Steen Jensen
Martin Steen Jensen
Rasmus Tolstrup
Rasmus Tolstrup
Mathias Rotheisen
Mathias Rotheisen
Christoffer Bech
Christoffer Bech


 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Brother Nordic A/S
Import og engroshandel med kontormaskiner.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her
Kommende events
Den digitale trussel er konstant, kompleks og stadigt stigende - også i den offentlige sektor

I dagens Danmark har vi indrettet os sådan, at alt kommunikation mellem det offentlige og borgerne foregår på forskellige digitale platforme, hvilket gør både borgerne og de offentlige institutioner skrøbelige overfor cyberkriminalitet. Samtidig lyder det fra rapporter, at de offentliges it-systemer er støvede og fulde af teknisk gæld. Dette er en farlig cocktail for de offentlige institutioner, men en særdeles lækker drink for cyber-kriminelle.

28. maj 2024 | Læs mere

Industry 4.0 – sådan udnytter du AI og digitalisering til optimering af din produktion.

På denne konference fokuserer på en digitaliseret optimering af processer i produktions- og procesorienterede virksomheder. Herved bliver du f.eks. i stand til at kombinere maskiner med sales forecasting og derved planlægge anvendelsen af produktionsapparat og medarbejderallokering effektivt – samt begrænse materialespild og nedetid ved at optimere produktionsplanlægning og omstilling af produktionsmateriel.

29. maj 2024 | Læs mere

Forbered dig effektivt på cyber katastrofen

Da det ikke længere er et spørgsmål om, om man bliver ramt men et spørgsmål om hvornår, er det essentielt at analysere angrebsflader og designe en effektiv sikkerhedsinfrastruktur, som afvejer sikring af centrale data og systemer mod hensynet til brugervenlighed og medarbejdernes produktivitet.

30. maj 2024 | Læs mere

Se flere events »

White papers
Flere white papers »


Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Jim Nielsen
Jim Nielsen
Mogens Nørgaard
Mogens Nørgaard
Jesper Nørding Pedersen
Jesper Nørding Pedersen
Ejvind Jørgensen
Ejvind Jørgensen
Mogens Nørgaard
Mogens Nørgaard
David Guldager
David Guldager
Morten Duelund
Morten Duelund
Thorbern Alexander Klingert
Thorbern Alexander Klingert
opinion
Jim Nielsen
Jim Nielsen
Selv de mest agile udviklingsorganisationer er jo ikke vågnet op i baronens seng
Læs indlæg
Artikel teaser billede

Mogens Nørgaard

MogensTesten og danske krigsskibe: Vi satser hele butikken på noget magisk ukendt teknologi - men musikken er god

Artikel teaser billede

Jesper Nørding Pedersen

Digital klimakamp skal række langt ud over grønnere datacentre

Artikel teaser billede

Ejvind Jørgensen

Sådan kan vi få styr på de forsinkede og fordyrede offentlige it-projekter: Syv konkrete forslag

Artikel teaser billede

Mogens Nørgaard

Nørgaard: Det kendte pekingeser-fænomen kunne alligevel ikke føre os til sejr i melodi grand prix

Mest læste klummer og blogs
Nørgaard: Det kendte pekingeser-fænomen kunne alligevel ikke føre os til sejr i melodi grand prix
Klumme: DR har simpelthen haft gang i et antal enormt billige og meget kloge eksperter i et års tid for at regne ud, hvordan vindersangen til Melodunte Gran Priks skulle lyde for at vi kunne vinde. Der er jo det gode ved Danmark, at vi altid har verdens klogeste mennesker på et givet område lige i nærheden.
Af: Mogens Nørgaard
Sådan kan vi få styr på de forsinkede og fordyrede offentlige it-projekter: Syv konkrete forslag
Klumme: 70 procent af de offentlige danske it-projekter er forsinkede. 11 af dem har sprængt deres budget, så de koster over en milliard skattekroner ekstra. Det skader vores tillid til den offentlige sektor og sammenhængskraften i vores samfund. Vi har hårdt brug for en anden tilgang – her kommer syv forslag.
Af: Ejvind Jørgensen
Digital klimakamp skal række langt ud over grønnere datacentre
Klumme: Datacentre er blevet en af de helt store kamppladser for grønnere digitalisering, men virksomheder bør rette blikket mod andre teknologiske arenaer i bestræbelserne på at sænke klimaaftrykket.
Af: Jesper Nørding Pedersen
Mogens Nørgaard
opinion
Mogens Nørgaard
MogensTesten og danske krigsskibe: Vi satser hele butikken på noget magisk ukendt teknologi - men musikken er god
opinion David Guldager
Guldager: Vi er på vej ind i en guldalder for hardware - her er tre gode eksempler
Læs indlæg

Premium
Teaser billede
Oracle får fingrene i patientdata på tre millioner svenskere - med en løsning der har haft fatale konskvenser i USA
Læs mere »
Dansk parlamentariker i chok over datalæk: Mine egne assistenter er blevet ramt
VMwares omdømme rutsjer ned efter hektisk år: Disse it-virksomheders image har fået flest tæsk i år
André Rogaczewski: ”Jeg ser ikke længere Netcompany som en dansk virksomhed”
Se alle »
Computerworld
Teaser billede
Så nemt er det at knække et kodeord på otte tegn
Læs mere »
Test af Apples magtdemonstration: Den nye iPad Pro er klodens bedste tablet – men måske det ikke er nok alligevel?
Første resultater: Så meget bedre er de særlige ’Copilot+’ pc’er
Microsofts udfordrer Apples Macbook med en helt ny generation af Surface-enheder: Bliver 90 procent hurtigere
Se alle »
CIO
Teaser billede
De bedste i Danmark: Se vinderne af de 15 kategorier ved Microsoft Partner Awards
Læs mere »
Her er Danmarks bedste Microsoft-Partner: Fellowmind vinder for andet år i træk
I sidste øjeblik: Danmarkshistoriens største GDPR-retssag mod det offentlige udskydes på ubestemt tid
Har fået nok af kunders ringe sikkerhed: Nu skal alle Azure-brugere tvinges til multifaktor-login
Se alle »
Job & Karriere
Teaser billede
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Læs mere »
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Google fyrer hele sit Python-team
Får du den løn, du fortjener? Få overblikket over hvor meget dine kolleger tjener hver måned
Se alle »
White paper
Teaser billede
SASE: Træf det rette valg – første gang
Læs mere »
Opdag fordelene ved cloud-baseret backup og recovery
Guide: Sådan udvikler du en moderne netværksstrategi
Sådan høster du forretningsfordelene ved Internet of Things
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »