13. oktober 2020

Informationssikkerhed i skyggen af en krisesituation

I takt med globaliseringen og digitaliseringen er cyber- og informationssikkerhed efterhånden noget, der ligger højt på dagsorden både i det private og offentlige. Samtidigt bliver kravene til at håndtere data skrappere, især efter persondataforordning blev indført i 2018. Men med de udfordringer, der ligger i digitaliseringen, hvordan kan man som mindre virksomhed så arbejde med sikker brug af data?

Det var på skemaet til Dansk Standards MorgenBriefing den 22. september.

Deltagerlisten var rekordhøj, da Peter Kruse, cybersikkerhedsekspert og medstifter af CSIS Group, åbnede op for Dansk Standards første virtuelle MorgenBriefing og blev efterfulgt af Helle Friborg, CEO hos Leave A Mark Consulting Group; Anders Linde, chefkonsulent hos Dansk Standard; og Rasmus Theede, Director Security Services hos CyberNordic.

Covid-19 kom som en tyv om natten

Når man som virksomhed i 2020 pludselig skal sende 95 % af den administrative styrke hjem pga. Covid-19-pandemien, vil man gerne være forberedt. ”Krisen kom som en tyv i natten”, lød det fra Peter Kruse, der åbnede for diskussionen om de tendenser og trusler, som Covid-19 har bragt med sig. Som med andre verdensomspændende nyheder er det næsten uundgåeligt, at IT-kriminelle ikke vil misbruge det.

Her kom Peter Kruse ind på, hvordan Covid-19-krisen har decentraliseret virksomheders endpoints ved at vende det digitale trusselsbillede på hovedet. Med denne decentralisering bliver de IT-kriminelle eksponeret og introduceret til nye angrebsvinkler. At arbejde decentralt kan være som følge af, at arbejdspladsen er byttet ud med spisebordet, og dermed er vores digitale perimeter blevet udvidet og samtidig nemmere at penetrere, hvilket IT-kriminelle vil udnytte. Hjemmearbejdspladsen er ofte dårligere sikret og kan derfor fungere som en indgang for en digital tyv direkte ind i et virksomhedsnetværk.

Standarder og informationssikkerhed

Dansk Standard tilbyder adskillige konkrete standarder, der passer til arbejdet med cyber- og informationssikkerhed. Ledelsesstandarden ISO/IEC 27001 for informationssikkerhed, giver virksomheder et systematisk grundlag for at arbejde sikkert med informationssikkerhed og beskytte virksomhedens værdifulde data, herunder GDPR, på en sikker og troværdig måde.

Ligeledes var ledelsesstandarden ISO/IEC 27701 for privatlivsbeskyttelse også i rampelyset til MorgenBriefingen. Ledelsesstandarden for privatlivsbeskyttelse giver indblik i de arbejdsgange og foranstaltninger, som virksomheder bør implementere for at beskytte deres personoplysninger.

”Anvendelsen af internationale standarder for cyber- og informationssikkerhed kan give jer en systematisk tilgang til, hvordan I kan arbejde mere målrettet med cybersikkerhed og risikostyring”, lød det fra Anne Holm Sjøberg, afdelingschef hos Dansk Standard og moderator for denne MorgenBriefing.

Nogle af de standarder, der også blev omtalt til Dansk Standards MorgenBriefing, var bla. ISO/IEC 31000 for risikoledelse, ISO/IEC 27005 for risikostyring af informationssikkerhed og den nye ISO/IEC 27002 for foranstaltninger for informationssikkerhed. Disse er blot tre eksempler på, hvilke standarder man kan tilføje til sit arbejde med ledelsesstandarden 27001 og informationssikkerhed.  

Forretningsmuligheder i og sammenhængen mellem 27001 og 27701

Ledelsessystemet ISO/IEC 27701 for privatlivsbeskyttelse kan bruges som en udvidelse af ISO/IEC 27001 for informationssikkerhed. I denne sammenhæng dykkede Helle Friborg ned i diskussionen om, hvor i virksomheden de to standarder kan have indflydelse. Organisering af informationssikkerhed, herunder forretningsstrategi, personalesikkerhed, risikovurdering, overensstemmelse med lov- og kontraktkrav var blot nogle af de områder, som ISO/EIC 27701 bidrog til i SMV-virksomheden, Leave A Mark Consulting Group. Helle Friborg har som CEO i Leave A Mark Consulting Group implementeret begge ledelsesstandarder samtidigt.  

Inden man som virksomhed, organisation eller kommune skal implementere et eller begge ledelsessystemer, er det en god idé at definere, hvilke krav man har i forhold til processen og kontrollerne. Her kan det ifølge Helle Friborg give mening at kigge på den fremadrettede forretningsstrategi, hvor der skal være plads til at vækste, så man ikke skræddersyer standarden til en for lille virksomhed. Derudover skal den være tilpasset de daglige procedurer og være en naturlig del af virksomhedens dagligdag samt sikre robusthed. Robusthed kan især være vigtigt for virksomheder under Covid-19-perioden, hvor arbejdspladsen er varierende samt til virksomheder, der gemmer en betydningsfuld mængde af data.  

Hvorfor er risikovurdering og -styring vigtigt?

Med dagens sidste taler, Rasmus Theede, Director Security Service hos CyberNordic, drejede samtalen over på risikostyring i øjenhøjde, og hvorfor risikovurdering egentlig er vigtigt. Uanset om det er markedsrisiko, finansiel risiko eller noget helt tredje, kan risikovurdering være det basale fundament, hvori man baserer sin forretningsstrategi, lød det fra Rasmus Theede.

Her bør sikkerhedsrisici være en del af ens overordnede risikovurdering.

Risikovurderingen skal ikke bare samle støv

Et vigtigt element i virksomheders risikovurdering og -styring er en passende kommunikation. Det kan være alfa og omega, at de, der er ansvarlige for risikovurderingen, får kommunikeret det korrekt, så den øverste del af ledelsen forstår det. Hvis fx bestyrelsen eller direktøren ikke kan forstå risikovurdering, kan den hurtigt ende som en støvsamler.

Med kommunikationen skal virksomheder også kunne snakke sammen med deres konkurrenter. Ikke mange forudså Covid-19-pandemien, og det har taget hårdt på adskillige virksomheder og brancher. Derfor kan det være en fordel for virksomheder, organisationer og kommuner at kunne sparre sammen på kryds og tværs af brancher, så de kan dele oplevelser og erfaringer.

Hvad så nu – hvad kan du gøre for din virksomhed?

Som mindre virksomhed kan det virke uoverskueligt, hvor man skal starte i forhold til cyber- og informationssikkerhed. Men både for små og store virksomheder kan informationssikkerhed, privatlivsbeskyttelse og risikovurdering være fordelagtigt. Dansk Standards ledelsesstandarder er en god ramme til at komme i gang med arbejdet. De hjælper dig med at komme hele vejen rundt, identificere risici og hjælpe med kontroller, som passer til netop din virksomhed. Det handler om, hvordan man bruger standarden – og ikke om virksomhedens størrelse.

Vil du læse vide mere om ledelsesstandarderne for informationssikkerhed, privatlivsbeskyttelse og risikoledelse?

Anders Linde
Anders Linde Chefkonsulent | Chief Consultant
Rådgivning
E: ali@ds.dk
T: 39966329

Se også

03. marts 2020

Cyberangreb er en af de største trusler mod danske virksomheder

Cyberangreb kan ramme alle, store som små, og kan have voldsomme konsekvenser for forretningen. Men det kan virke som en uoverskuelig opgave at få styr på cyber- og informationssikkerheden - især for mindre virksomheder. Standarden ISO/IEC 27001 e...

14. juli 2020

Cyberangreb kan ramme alle – har du styr på informationssikkerheden?

I takt med øget digitalisering stiger risikoen for hackerangreb og anden IT-kriminalitet. Derfor er det afgørende at have effektive værktøjer og processer for informationssikkerhed.

22. september 2020

Video: MorgenBriefing om cyber- og informationssikkerhed

Nåede du ikke at se Dansk Standards live MorgenBriefing om cyber- og informationssikkerhed, kan du se optagelsen her.