Artikel top billede

Sæt dig ind i denne standard - det vil kunne betale sig

Klumme: I takt med at truslerne bliver mere varierede og avancerede, er der brug for nye værktøjer og teknologier, der imødegår dem. Ny standard kan blive din bedste ven.

Genkender du denne situation? Din virksomhed bliver ramt af en virus, der hurtigt inficerer mange af brugernes pc'er. Som resultat investerer du i antivirus.

Sådan er mange sikkerhedsprodukter blevet købt gennem tiden: Som resultat af en konkret trussel eller sikkerhedshændelse.

Det beskytter virksomheden mod de trusler, som sikkerhedsproduktet virker mod.

Men den måde at købe sikkerhed på er ikke bæredygtig. For man kan ikke købe sikkerhed.

Man kan købe produkter, der kan hjælpe med at gennemføre en sikkerhedspolitik.

Du skal have en sikkerhedspolitik

Det kræver imidlertid, at man har en sikkerhedspolitik.

Ellers ender virksomheden med en række produkter, der ikke spiller sammen, og som ikke er et middel til at gennemføre en politik.

I min seneste klumme kom jeg med et bud på, hvordan man kan få styr på den strategiske og ledelsesmæssige side af arbejdet med informationssikkerhed:

Den internationale standard ISO 27001.

Den beskriver, hvordan man opbygger et ledelsessystem for informationssikkerhed (ISMS, Information Security Management System).

 Lad mig her gå lidt mere i detaljer med standarden og løfte sløret for, hvordan den senere på året bliver ændret.

Forretning er udgangspunkt

ISO 27001 bygger på tanken om, at sikkerhed er ledelsens ansvar.

Derfor tager arbejdet med informationssikkerhed udgangspunkt i den virksomhed, den indgår i.

Hvad er vores forretningsmodel?

Hvordan tjener vi vores penge? Hvad er de vigtigste trusler mod vores forretning?

De indledende manøvrer - pas nu på

Hvis man lever af at projektere cementfabrikker, kan virksomhedens websted godt være nede en uges tid, uden at man mister ordrer af den grund.

Omvendt kan en webbutik miste omsætning og kunder, hvis den er nede i en uge.

De to virksomheder har forskellige risikoprofiler og skal derfor prioritere forskelligt, når det gælder informationssikkerhed.

Virksomheden med cementfabrikkerne skal sikkert investere mere i beskyttelse mod industrispionage, hvor det for webbutikken er mere afgørende at beskytte mod nedbrud og tabt internetforbindelse.

Fastlæg politikker

Når en virksomheds ledelse går i gang med at opbygge et ISMS, skal den derfor begynde med at definere systemets anvendelsesområde - og ikke mindst afgrænsningen af det:

Hvad skal ikke være dækket?

Det arbejde tager udgangspunkt i virksomhedens forretning, hvor den ligger, og hvad dens aktiver og teknologier er.

Når området er defineret, går man i gang med ISMS-politikken.

Den afstikker de overordnede mål og tager også eksterne krav med i betragtning.

Det er afgørende, at informationssikkerhed ikke bliver en ø i virksomheden, som overlades til it-funktionen.

Derfor understreger ISO 27001 også, at ISMS-politikken skal ligge inden for rammerne af virksomhedens strategiske risikoledelse.

Et hackerangreb er med andre ord en forretningsmæssig risiko på linje med risikoen for, at en underleverandør går konkurs.

Jeg synes, det er en af standardens stærke sider:

Den undgår at se på informationssikkerhed som et isoleret område, men lader det indgå i virksomhedens samlede arbejde med risikovurdering.

Sådan bør du gøre - arbejd efter PDCA-modellen

Arbejd i cyklus

Som arbejdsform forudsætter standarden, at man bruger den såkaldte PDCA-cyklus: Plan - Do - Check - Act.

Først planlægger man, hvad man vil gøre.

Så gør man det og indsamler data om resultatet.

Herefter evaluerer man data, hvorefter man ændrer de ting, der ikke fungerer som ventet.

Den nuværende version af ISO 27001 er fra 2005. Den næste er færdig og ventes udsendt senere på året.

I forhold til forgængeren lægger 2013-versionen mere vægt på at måle og vurdere, hvor godt ISMS'et fungerer.

Endvidere er der kommet et afsnit om outsourcing.

Det er en god forbedring, ikke mindst fordi mange virksomheder lægger opgaver ud i skyen.

Men selvom man outsourcer en opgave, kan man ikke outsource risikoen.

2013-udgaven lægger ikke så meget vægt på PDCA-cyklussen.

Arbejdet med at se holistisk på sikkerheden har betydet, at standarden har fået en struktur, der ligner andre ledelsesmæssige standarder.

Det er godt, da det så bliver lettere at indføre ISO 27001 sideløbende med standarder som ISO 9000 (kvalitetsstyring) og ISO 20000 (IT Service Management).

Stadig brug for teknik

Al denne fokus på ledelsen betyder ikke, at den tekniske side er ligegyldig. Den er faktisk vigtigere end nogensinde:

I takt med at truslerne bliver mere varierede og avancerede, er der brug for nye værktøjer og teknologier, der imødegår dem.

ISO 27001 kan dermed bliver teknikerens bedste ven.

For når først ledelsen har forpligtet sig til at tage informationssikkerheden alvorligt, er den også nødt til at lytte, når de tekniske eksperter anbefaler et nyt produkt eller en ændret procedure.

Så mit råd til jer, der arbejder med it-sikkerhed, lyder: Sæt jer ind i ISO 27001 - og få jeres ledelse til at gøre det samme.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
JN Data A/S
Driver og udvikler it-systemer for finanssektoren.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
The intelligent business: From neat idea to reality

The choice to become a more intelligent business and optimize workflows is not always straightforward, but it requires that you take a step back and see the possibilities in other ways. Come inside when we try to focus on the intelligent business. Hear how SAP S / 4HANA makes processes intelligent and transforms traditional workflows.

01. juli 2021 | Læs mere


AI i praksis: Fokus på teknologi og best practice

Tag med os på en rejse ind i AI’s verden, hvor vi udforsker anvendelsesmulighederne og belyser, hvordan AI kan gøre en positiv forskel. Vi kigger nærmere på de teknologier og platforme, som det kan give mening for din virksomhed at satse på, og eksperterne giver dig gode råd til, hvordan man kan arbejde innovativt og agilt med kunstig intelligens-løsninger.

19. august 2021 | Læs mere


MS Power Platform - hvad kan det for dig?

Med Microsoft Power Platform kan virksomhederne både visualisere og dele deres data helt uden kendskab til at kunne kode og digitalisere arbejdsgange. Hør hvordan en række danske virksomheder anvender platformen i store dele af virksomheden – og med succes.

24. august 2021 | Læs mere






Premium
Den store app-bombe fra Microsoft og Amazon: Tilbyder Android-apps i Windows 11
Alt om Windows 11: Et uventet samarbejde mellem de to største cloud-giganter bringer nu millionvis af apps til Windows-økosystemet.
Computerworld
I aften går det løs: Windows 11 slippes løs – følg med her
Det er intet mindre end 'årtiets opdatering', som Microsoft forventes at løfte sløret for senere på dagen.
CIO
Årets CIO 2021: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?
Det er den mest eftertragtede titel for danske it-chefer og CIO'er, der er på spil, når Årets CIO kåres 16. september 2021. Søg selv eller prik til en, som du kender - og læs mere om prisen her.
White paper
Sådan: Ryd forhindringerne af vejen på cloudrejsen
IBM Cloud gør det lettere at lægge kritiske applikationer i skyen eller på en hybrid platform samt bevare kontrol og ejerskab – med fuld understøttelse af SAP og VMware.