03. marts 2020
Informationssikkerhed og databeskyttelse bliver i takt med øget digitalisering et fortsat vigtigere indsatsområde for danske virksomheder. Mængden af data, som danske virksomheder genererer, håndterer og opbevarer, vokser med lynets hast. Ifølge eksperter stiger virksomhedernes datamængde med hele 61 % hvert år. Dermed bliver behovet for databeskyttelse også større, og i PWC’s ”CEO Survey 2019” svarer 85 % af de danske topledere, at deres største bekymring er cybertrusler.
”Virksomhederne forstår, at det er afgørende for deres forretning at have styr på cyber- og informationssikkerhed, og det fylder langt mere på direktionsgangen. I takt med at digitaliseringen øges, er de kriminelle nemlig fulgt med over i cyberspace, og det giver nye og andre risici end tidligere,” siger Anders Linde, chefkonsulent i Dansk Standard.
Netop standarder kan være et nyttigt værktøj for virksomheder til at strukturere og dokumentere deres arbejde med risikostyring, it-sikkerhed og databeskyttelse.
”Alle virksomheder – uanset størrelse – bør kortlægge, hvilke informationer de har, og hvordan de behandler dem. Men ingen kan ikke gøre alt, og derfor handler det om at gøre det klogeste,” siger Anders Linde, der anbefaler virksomheder at spørge sig selv: Hvad er vi sat i verden for at lave? Hvordan ser vores kerneprocesser ud, hvilke informationer er nødvendige for at lykkes, og hvad bekymrer os allermest?
”Det er vigtigt at gøre sig klart, om der er noget, der kan ramme virksomheden, som betyder, at informationer går tabt, bliver ukorrekte eller falder i hænderne på nogen, der ikke skal have adgang til dem.”
Det er vidt forskelligt, hvilke data der er vitale for forretningen, og dermed hvilken risikostyring der er behov for. For virksomheder, der f.eks. sælger nøgleringe eller joggingtøj, er det måske kunder og leverandørers kontakt- og betalingsinformation, der er vigtigst at beskytte. Mens virksomheder, der sælger avanceret sikkerhedsudstyr eller intelligent beklædning, som kan gå på nettet, må have endnu større fokus på produktsikkerhed, f.eks. at de indsamlede data er korrekte og ikke er tilgængelige for uvedkommende.
”Det er især standarden ISO 27001 om cyber- og informationssikkerhed, der kan hjælpe virksomheder med at strukturere og dokumentere deres indsats. Hele den offentlige sektor er underlagt denne standard, men den er relevant for både små og store, offentlige og private organisationer. Og man behøver ikke lade sig certificere, men kan nøjes med at følge principperne i standarden og bruge den som værktøj til bedre at beskytte sine data og prioritere sin indsats,” forklarer Anders Linde.
En af de virksomheder, der har stor erfaring i at arbejde med ISO 27001 og andre standarder, er Cobham SATCOM, der leverer og supporterer satellit- og radiokommunikationsudstyr til fly, skibe, rumfart og forsvaret.
”Man skal huske, at standarder er en målestok og ikke en handlingsplan. Det nytter ikke at gennemgå standarden, skrive en flot manual og smide den i en skuffe. It-sikkerhedsledelse er et vedvarende arbejde, som bør implementeres som en naturlig del af den generelle ledelse,” siger Jens Jakob Andersen, Global SHE Lead & cybersecurity SME.
HL7 DK har lanceret DK SMART, en ny specifikation, der standardiserer sikker adgang til sundhedsdata i Danmark.
Cybersikkerhed er vigtigere end nogensinde. Derfor er eksperter som Michael Bladt Stausholm fra Alexandra Instituttet også involveret i at udvikle de standarder, der skal hjælpe virksomheder med at leve op til Cyber Resilience Act i 2027.
Ny og opdateret standardpakke for IEC 62443-serien giver bedre overblik til arbejdet med cybersikkerhed for operationel teknologi.
Gennem Q&A's får du indblik i, hvordan fire helt forskellige virksomheder har implementeret cyber- og informationssikkerhedsstandarder, samt hvilken effekt det har haft.
