Søg

Derfor halter din informationssikkerhed

Klumme: Virksomheder mangler tre ting for at gennemføre den sikkerhed, de drømmer om.

30. august 2013 kl. 14.30
Artikel top billede
Shehzad Ahmad Shehzad Ahmad Head of it security, IF

Ressourcer. Tid. Penge.

De tre ord hører jeg igen og igen, når jeg spørger it-sikkerhedsansvarlige, hvad deres største udfordringer er.

Vi mangler ressourcer i form af mennesker og viden.

Ressourcerne er nødvendige for at gøre ønskerne om it-sikkerhed til virkelighed: Der skal være nogen, som kan konfigurere firewallen eller foretage risikoanalysen.

Vi mangler tid.

It-funktionen er konstant presset: Den skal holde al organisationens it kørende, samtidig med at den leverer de nye funktioner, virksomheden efterspørger.

Så er det svært at få tid til også at analysere en serverlog eller køre en sårbarhedsscanning.

Vi mangler penge.

Det er altid lettere at få bevilget penge til nye pc'er eller applikationer, end det er at få plads på budgettet til at foretage en risikoanalyse eller ansætte sikkerhedsfolk.

Standard begynder ovenfra

Ressourcer, tid og penge.

Hvordan får vi mere af alle tre ting til arbejdet med it-sikkerhed?

Jeg har fundet en del af svaret i ISO 27001.

ISO 27001 er den internationale standard for it-sikkerhed, som alle statslige institutioner i Danmark skal følge.

Men jeg synes, at også andre skal sætte sig ind i den.

Standarden har noget at give både offentlige myndigheder, private virksomheder og andre organisationer, der ønsker at beskytte deres information.

Her er det gode ved ISO 27001

Det gode ved ISO 27001 er, at den begynder fra oven.

Den ser informationssikkerhed som noget, ledelsen har ansvaret for.

Det fremgår direkte af den officielle titel: "Ledelsessystemer for informationssikkerhed".

Derfor er standarden heller ikke fuld af konkrete tekniske krav.

Der står ikke, at man skal have en firewall med stateful inspection eller kryptering baseret på AES.

Så ISO 27001 er ikke en kogebog med opskrifter, man kan følge for at blive sikker.

I stedet er den en anvisning på, hvordan man udvikler og vedligeholder hele det ledelsessystem, der skal sikre ens informationer.

Kræver ledelsens engagement

Der står direkte, at ledelsen skal bevise sit engagement i opgaven.

Det sker ved at fastlægge sikkerhedspolitikken og følge op på, at den bliver efterlevet.

Dermed vender ISO 27001 den problemstilling på hovedet, som jeg indledte denne klumme med:

Nu handler det ikke om, at den sikkerhedsansvarlige står med hatten i hånden og beder om penge fra ledelsen.

Nej, nu er ledelsen selv forpligtet til at stille de nødvendige ressourcer til rådighed. Det fremgår af stk. 5.2.1 i standarden.

Fastlæg risikoen

Derfor lyder mit råd til it-sikkerhedsansvarlige: Sæt jer ind i ISO 27001.

Vær opmærksom på, at en ny version er på trapperne, ISO 27001:2013. Men den er ikke udsendt endnu.

Når I har læst standarden, skal I sælge ideen til jeres ledelse.

Sådan sælger du ideen til ledelsen

Hvis du arbejder i staten, er en del af arbejdet gjort på forhånd.

Er du i en virksomhed, kan du slå på, at I kan blive certificeret efter standarden og dermed få et blåt stempel, der kendes i både ind- og udland.

Du kan også gøre opmærksom på de mange sager, hvor firmaer får dårlig omtale, når hackere lægger deres kundedata ud på nettet.

En vigtig del af opgaven er risikovurdering. Den skal du begynde med.

Her handler det om at stille de ubehagelige spørgsmål: Hvor er vi sårbare? Hvor er vores svageste led? Hvor længe kan vi køre videre, hvis vores it går ned?

Når I har identificeret risici, skal I afgøre, hvad I vil gøre ved dem. Man kan vælge at leve med en risiko, at mindske konsekvenserne af den, eller helt at fjerne den.

Se på forretningen

Ressourcer. Tid. Penge. I virkeligheden skal der kun én ting til, for at du kan få alle tre dele: Ledelsens opbakning.

Så start der. Tænk over de fordele, der giver jeres virksomhed, at dens it fungerer i hverdagen og kan overleve angreb.

Gå til ledelsen og tal om fordelene ved at angribe it-sikkerhedsområdet på en struktureret måde, der bygger på konkrete erfaringer.

Hvis du formår at gøre ledelsen begejstret, får du både ressourcer, tid og penge til informationssikkerhed.DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DKCERT information om internetsikkerhed.

DKCERT udsender advarsler og tager imod henvendelser om sikkerhedsrelaterede hændelser på internettet. DKCERT er en organisation i DeIC, DTU.

Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Cyberdivisionen søger en dygtig medarbejder til sektionen for Infrastruktursystemer

    Københavnsområdet

    SOS International

    IT Procurement Manager

    Københavnsområdet

    Forsvaret

    Technical Lead til udvikling af luftrumsovervågning ved Air Control Wing i Karup.

    Midtjylland

    Netcompany A/S

    IT Manager

    Københavnsområdet

    Se flere it-stillinger
    Computerworld Summit 2026 - Aarhus

    Event: Computerworld Summit 2026 - Aarhus

    Digital transformation | Aarhus C

    Styrk din digitale strategi med konkret brug af AI og ny teknologi. Mød 200 it-professionelle, få indsigter, løsninger og netværk på én dag. Computerworld Summit i Aarhus viser hvordan teknologi skaber forretningsværdi – her og nu.

    21. april 2026 | Gratis deltagelse

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Renewtech ApS har pr. 1. februar 2026 ansat Mads Linné Kaasgaard, 31 år, som Marketing Specialist. Han skal især beskæftige sig med med at løfte Renewtechs brand og kommunikation yderligere ud globalt. Han kommer fra en stilling som Marketing Manager hos Induflex A/S. Han er uddannet fra Aalborg Universitet og har en Cand. Merc. i Sprog & International Virksomhedskommunikation. Nyt job

    Mads Linné Kaasgaard

    Renewtech ApS

    inciro K/S har pr. 1. februar 2026 ansat Lasse Fletcher som Cloud Consultant. Han skal især beskæftige sig med Governance og struktur i cloud miljøer. Han kommer fra en stilling som IT Tekniker hos CBrain A/S. Han er uddannet datatekniker med speciale i infrastruktur. Han har tidligere beskæftiget sig med kunde onboarding, Identitets styring, sikkerhed og IaC. Nyt job

    Lasse Fletcher

    inciro K/S

    netIP har pr. 1. januar 2026 ansat Michael Kjøgx som Systemkonsulent ved netIP's kontor i Esbjerg. Han kommer fra en stilling som Konsulent hos Blue Byte og før da ATEA og XPconsult. Nyt job

    Michael Kjøgx

    netIP

    Lars Jul Jakobsen, chefkonsulent hos Region Nordjylland, har pr. 28. januar 2026 fuldført uddannelsen Master i it, linjen i organisation på Aarhus Universitet via It-vest-samarbejdet. Færdiggjort uddannelse

    Lars Jul Jakobsen

    Region Nordjylland

    Se mere fra navnenyt

    Mest læste

    1 Test: Du får rigtigt meget for pengene, hvis du tør tage chancen med denne lille danske headset-producent
    2 Dansk top-profil: Den danske stat vil inden længe blive nødt til at overtage ejerskabet af vigtige it-teknologier
    3 Microsoft Danmark indsætter ny direktør: To direktører forlader selskabet
    4 Har udviklet helt ny teknik: Data lagret i almindeligt glas kan holde i 10.000 år - kan løse stort og dyrt problem
    5 Nørgaard: Derfor vil der altid mangle mødelokaler i dit liv
    6 Svensk militærofficer fik stjålet arbejdscomputer til Nato-møde: Tyven anklages for russisk spionage
    7 Morgen-briefing: Borgerforslag vil afskaffe Palantir i Danmark / Microsoft Notepad understøtter nu billeder / AI-boss Sam Altman påpeger at ’Mennesker også kræver meget energi’
    8 Den usynlige kollega skygge-AI er allerede flyttet ind i din organisation: Er governance fulgt med?

    Se seneste uge