Artikel top billede

Sæt dig ind i denne standard - det vil kunne betale sig

Klumme: I takt med at truslerne bliver mere varierede og avancerede, er der brug for nye værktøjer og teknologier, der imødegår dem. Ny standard kan blive din bedste ven.

Genkender du denne situation? Din virksomhed bliver ramt af en virus, der hurtigt inficerer mange af brugernes pc'er. Som resultat investerer du i antivirus.

Sådan er mange sikkerhedsprodukter blevet købt gennem tiden: Som resultat af en konkret trussel eller sikkerhedshændelse.

Det beskytter virksomheden mod de trusler, som sikkerhedsproduktet virker mod.

Men den måde at købe sikkerhed på er ikke bæredygtig. For man kan ikke købe sikkerhed.

Man kan købe produkter, der kan hjælpe med at gennemføre en sikkerhedspolitik.

Du skal have en sikkerhedspolitik

Det kræver imidlertid, at man har en sikkerhedspolitik.

Ellers ender virksomheden med en række produkter, der ikke spiller sammen, og som ikke er et middel til at gennemføre en politik.

I min seneste klumme kom jeg med et bud på, hvordan man kan få styr på den strategiske og ledelsesmæssige side af arbejdet med informationssikkerhed:

Den internationale standard ISO 27001.

Den beskriver, hvordan man opbygger et ledelsessystem for informationssikkerhed (ISMS, Information Security Management System).

 Lad mig her gå lidt mere i detaljer med standarden og løfte sløret for, hvordan den senere på året bliver ændret.

Forretning er udgangspunkt

ISO 27001 bygger på tanken om, at sikkerhed er ledelsens ansvar.

Derfor tager arbejdet med informationssikkerhed udgangspunkt i den virksomhed, den indgår i.

Hvad er vores forretningsmodel?

Hvordan tjener vi vores penge? Hvad er de vigtigste trusler mod vores forretning?

De indledende manøvrer - pas nu på

Hvis man lever af at projektere cementfabrikker, kan virksomhedens websted godt være nede en uges tid, uden at man mister ordrer af den grund.

Omvendt kan en webbutik miste omsætning og kunder, hvis den er nede i en uge.

De to virksomheder har forskellige risikoprofiler og skal derfor prioritere forskelligt, når det gælder informationssikkerhed.

Virksomheden med cementfabrikkerne skal sikkert investere mere i beskyttelse mod industrispionage, hvor det for webbutikken er mere afgørende at beskytte mod nedbrud og tabt internetforbindelse.

Fastlæg politikker

Når en virksomheds ledelse går i gang med at opbygge et ISMS, skal den derfor begynde med at definere systemets anvendelsesområde - og ikke mindst afgrænsningen af det:

Hvad skal ikke være dækket?

Det arbejde tager udgangspunkt i virksomhedens forretning, hvor den ligger, og hvad dens aktiver og teknologier er.

Når området er defineret, går man i gang med ISMS-politikken.

Den afstikker de overordnede mål og tager også eksterne krav med i betragtning.

Det er afgørende, at informationssikkerhed ikke bliver en ø i virksomheden, som overlades til it-funktionen.

Derfor understreger ISO 27001 også, at ISMS-politikken skal ligge inden for rammerne af virksomhedens strategiske risikoledelse.

Et hackerangreb er med andre ord en forretningsmæssig risiko på linje med risikoen for, at en underleverandør går konkurs.

Jeg synes, det er en af standardens stærke sider:

Den undgår at se på informationssikkerhed som et isoleret område, men lader det indgå i virksomhedens samlede arbejde med risikovurdering.

Sådan bør du gøre - arbejd efter PDCA-modellen

Arbejd i cyklus

Som arbejdsform forudsætter standarden, at man bruger den såkaldte PDCA-cyklus: Plan - Do - Check - Act.

Først planlægger man, hvad man vil gøre.

Så gør man det og indsamler data om resultatet.

Herefter evaluerer man data, hvorefter man ændrer de ting, der ikke fungerer som ventet.

Den nuværende version af ISO 27001 er fra 2005. Den næste er færdig og ventes udsendt senere på året.

I forhold til forgængeren lægger 2013-versionen mere vægt på at måle og vurdere, hvor godt ISMS'et fungerer.

Endvidere er der kommet et afsnit om outsourcing.

Det er en god forbedring, ikke mindst fordi mange virksomheder lægger opgaver ud i skyen.

Men selvom man outsourcer en opgave, kan man ikke outsource risikoen.

2013-udgaven lægger ikke så meget vægt på PDCA-cyklussen.

Arbejdet med at se holistisk på sikkerheden har betydet, at standarden har fået en struktur, der ligner andre ledelsesmæssige standarder.

Det er godt, da det så bliver lettere at indføre ISO 27001 sideløbende med standarder som ISO 9000 (kvalitetsstyring) og ISO 20000 (IT Service Management).

Stadig brug for teknik

Al denne fokus på ledelsen betyder ikke, at den tekniske side er ligegyldig. Den er faktisk vigtigere end nogensinde:

I takt med at truslerne bliver mere varierede og avancerede, er der brug for nye værktøjer og teknologier, der imødegår dem.

ISO 27001 kan dermed bliver teknikerens bedste ven.

For når først ledelsen har forpligtet sig til at tage informationssikkerheden alvorligt, er den også nødt til at lytte, når de tekniske eksperter anbefaler et nyt produkt eller en ændret procedure.

Så mit råd til jer, der arbejder med it-sikkerhed, lyder: Sæt jer ind i ISO 27001 - og få jeres ledelse til at gøre det samme.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Targit A/S
Udvikling og salg af software til business intelligence.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere