Artikel top billede

Sæt dig ind i denne standard - det vil kunne betale sig

Klumme: I takt med at truslerne bliver mere varierede og avancerede, er der brug for nye værktøjer og teknologier, der imødegår dem. Ny standard kan blive din bedste ven.

Genkender du denne situation? Din virksomhed bliver ramt af en virus, der hurtigt inficerer mange af brugernes pc'er. Som resultat investerer du i antivirus.

Sådan er mange sikkerhedsprodukter blevet købt gennem tiden: Som resultat af en konkret trussel eller sikkerhedshændelse.

Det beskytter virksomheden mod de trusler, som sikkerhedsproduktet virker mod.

Men den måde at købe sikkerhed på er ikke bæredygtig. For man kan ikke købe sikkerhed.

Man kan købe produkter, der kan hjælpe med at gennemføre en sikkerhedspolitik.

Du skal have en sikkerhedspolitik

Det kræver imidlertid, at man har en sikkerhedspolitik.

Ellers ender virksomheden med en række produkter, der ikke spiller sammen, og som ikke er et middel til at gennemføre en politik.

I min seneste klumme kom jeg med et bud på, hvordan man kan få styr på den strategiske og ledelsesmæssige side af arbejdet med informationssikkerhed:

Den internationale standard ISO 27001.

Den beskriver, hvordan man opbygger et ledelsessystem for informationssikkerhed (ISMS, Information Security Management System).

 Lad mig her gå lidt mere i detaljer med standarden og løfte sløret for, hvordan den senere på året bliver ændret.

Forretning er udgangspunkt

ISO 27001 bygger på tanken om, at sikkerhed er ledelsens ansvar.

Derfor tager arbejdet med informationssikkerhed udgangspunkt i den virksomhed, den indgår i.

Hvad er vores forretningsmodel?

Hvordan tjener vi vores penge? Hvad er de vigtigste trusler mod vores forretning?

De indledende manøvrer - pas nu på

Hvis man lever af at projektere cementfabrikker, kan virksomhedens websted godt være nede en uges tid, uden at man mister ordrer af den grund.

Omvendt kan en webbutik miste omsætning og kunder, hvis den er nede i en uge.

De to virksomheder har forskellige risikoprofiler og skal derfor prioritere forskelligt, når det gælder informationssikkerhed.

Virksomheden med cementfabrikkerne skal sikkert investere mere i beskyttelse mod industrispionage, hvor det for webbutikken er mere afgørende at beskytte mod nedbrud og tabt internetforbindelse.

Fastlæg politikker

Når en virksomheds ledelse går i gang med at opbygge et ISMS, skal den derfor begynde med at definere systemets anvendelsesområde - og ikke mindst afgrænsningen af det:

Hvad skal ikke være dækket?

Det arbejde tager udgangspunkt i virksomhedens forretning, hvor den ligger, og hvad dens aktiver og teknologier er.

Når området er defineret, går man i gang med ISMS-politikken.

Den afstikker de overordnede mål og tager også eksterne krav med i betragtning.

Det er afgørende, at informationssikkerhed ikke bliver en ø i virksomheden, som overlades til it-funktionen.

Derfor understreger ISO 27001 også, at ISMS-politikken skal ligge inden for rammerne af virksomhedens strategiske risikoledelse.

Et hackerangreb er med andre ord en forretningsmæssig risiko på linje med risikoen for, at en underleverandør går konkurs.

Jeg synes, det er en af standardens stærke sider:

Den undgår at se på informationssikkerhed som et isoleret område, men lader det indgå i virksomhedens samlede arbejde med risikovurdering.

Sådan bør du gøre - arbejd efter PDCA-modellen

Arbejd i cyklus

Som arbejdsform forudsætter standarden, at man bruger den såkaldte PDCA-cyklus: Plan - Do - Check - Act.

Først planlægger man, hvad man vil gøre.

Så gør man det og indsamler data om resultatet.

Herefter evaluerer man data, hvorefter man ændrer de ting, der ikke fungerer som ventet.

Den nuværende version af ISO 27001 er fra 2005. Den næste er færdig og ventes udsendt senere på året.

I forhold til forgængeren lægger 2013-versionen mere vægt på at måle og vurdere, hvor godt ISMS'et fungerer.

Endvidere er der kommet et afsnit om outsourcing.

Det er en god forbedring, ikke mindst fordi mange virksomheder lægger opgaver ud i skyen.

Men selvom man outsourcer en opgave, kan man ikke outsource risikoen.

2013-udgaven lægger ikke så meget vægt på PDCA-cyklussen.

Arbejdet med at se holistisk på sikkerheden har betydet, at standarden har fået en struktur, der ligner andre ledelsesmæssige standarder.

Det er godt, da det så bliver lettere at indføre ISO 27001 sideløbende med standarder som ISO 9000 (kvalitetsstyring) og ISO 20000 (IT Service Management).

Stadig brug for teknik

Al denne fokus på ledelsen betyder ikke, at den tekniske side er ligegyldig. Den er faktisk vigtigere end nogensinde:

I takt med at truslerne bliver mere varierede og avancerede, er der brug for nye værktøjer og teknologier, der imødegår dem.

ISO 27001 kan dermed bliver teknikerens bedste ven.

For når først ledelsen har forpligtet sig til at tage informationssikkerheden alvorligt, er den også nødt til at lytte, når de tekniske eksperter anbefaler et nyt produkt eller en ændret procedure.

Så mit råd til jer, der arbejder med it-sikkerhed, lyder: Sæt jer ind i ISO 27001 - og få jeres ledelse til at gøre det samme.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
EG Danmark A/S
Udvikling, salg, implementering og support af software og it-løsninger til ERP, CRM, BA, BI, e-handel og portaler. Infrastrukturløsninger og hardware. Fokus på brancheløsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere