14. juli 2020

Cyberangreb kan ramme alle – har du styr på informationssikkerheden?

I takt med øget digitalisering stiger risikoen for hackerangreb og anden IT-kriminalitet. Derfor er det afgørende at have effektive værktøjer og processer for informationssikkerhed.

Informationssikkerhed og databeskyttelse bliver et fortsat vigtigere indsatsområde for danske virksomheder. I PWC’s ”CEO Survey 2019” svarer 85 % af de danske topledere således, at deres største bekymring er cybertrusler.

”I takt med at digitaliseringen øges, er de kriminelle fulgt med over i cyberspace, og det giver nye og andre risici end tidligere. Det er virksomhederne klar over, og det fylder langt mere på direktionsgangen end tidligere, fordi det er afgørende for forretningen, at der er styr på cyber- og informationssikkerheden,” siger Anders Linde, chefkonsulent i Dansk Standard.

Ingen kan gøre alt - gør det klogeste

Cyberangreb kan ramme alle, store som små, og kan have voldsomme konsekvenser for forretningen. Men det kan virke som en uoverskuelig opgave for at få styr på cyber- og informationssikkerheden - især for mindre virksomheder med begrænsede ressourcer. Standarder kan hjælpe virksomheder med at strukturere, prioritere og dokumentere arbejdet med risikostyring, it-sikkerhed og databeskyttelse.

”Risici vil der altid være og derfor handler det om at få klarlagt, hvor det for organisationen giver bedst mening at sætte ind. Det er vigtigt at få kvalificeret, hvad der kan ramme virksomheden – og som kunne medføre, at informationer kompromitteres, ødelægges eller går tabt” siger Anders Linde, der anbefaler virksomheder at spørge sig selv: Hvad er vi sat i verden for at lave? Hvordan ser vores kerneprocesser ud, hvilke informationer er nødvendige for at lykkes og hvad bekymrer os mest? Og det kan standarder hjælpe med.

Standarder strukturerer og prioriterer indsatsen

”Det er især standarden ISO/IEC 27001 om informationssikkerhed, der kan hjælpe virksomheder med at strukturere og dokumentere deres indsats. Hele den offentlige sektor er underlagt denne standard, men den er relevant for både små og store, offentlige og private organisationer. Og man behøver ikke lade sig certificere, men kan nøjes med at følge principperne i standarden og bruge den som værktøj til at beskytte sine data og prioritere sin indsats,” forklarer Anders Linde og fortsætter:

”En stor del af opgaven handler om at lære sine medarbejdere god adfærd, f.eks. at man ikke må klikke på alle links eller have fortrolige data stående frit tilgængeligt. Derfor handler ISO/IEC 27001 heller ikke kun om it, men også om noget så lavpraktisk som lås på arkivskabe og retningslinjer for medarbejdere,” siger Anders Linde.

Hvilke data der er vitale for forretningen, og dermed hvilken håndtering af risici der er behov for, er vidt forskelligt fra virksomhed til virksomhed. For tøjbutikker og boghandlere er det måske kunders og leverandørers kontakt- og betalingsinformation, der er vigtigst at beskytte. Mens virksomheder, der sælger udstyr, som er koblet til internettet, skal have endnu større fokus på produktets it-sikkerhed, så eksempelvis følsomme persondata ikke bliver tilgængelige for uvedkommende.

Skab sammenhæng mellem GDPR og informationssikkerhed 

Og netop beskyttelse af persondata er en vigtig del af virksomhedens indsats. Digitalisering, globalisering og personalisering af tjenester - fra booking af lægeaftaler til adgang til netbanken - har ført til, at mængden af data, som danske virksomheder genererer, håndterer og opbevarer, vokser med lynets hast. Dermed bliver behovet for en systematisk og sikker behandling af persondata også større.

- De mange forskellige applikationer og platforme er blevet en del af folks daglige rutine, hvor personoplysninger indsamles. Det betyder, at vi jævnligt overleverer vores data uden at tænke over det. Som en konsekvens af den digitale udvikling har vi bl.a. fået GDPR, hvor et større ansvar placeres hos virksomheder og offentlige myndigheder, når de behandler persondata. Men GDPR giver ikke konkrete værktøjer til, hvordan man beskytter disse data. Her kan den nye ledelsesstandard ISO/IEC 27701 sætte scenen med krav og vejledning til processer og foranstaltninger, forklarer Anders Linde.

Standarden ISO/IEC 27701 bygger ovenpå organisationens eksisterende informationssikkerhedsindsats med krav og retningslinjer til håndtering af personoplysninger. Standarden giver desuden en indføring i de forskellige ansvarsområder, som ligger hos henholdsvis den dataansvarlige og databehandleren og indeholder også et anneks, der mapper standardens krav og anbefalinger op mod de forskellige artikler i GDPR-lovgivningen. Dermed giver standarden en velegnet ramme til at beskytte data og leve op til de gældende databeskyttelseskrav. 

Vil du vide mere om informationssikkerhed og hvordan standarder kan hjælpe med at strukturere og dokumentere indsatsen? Læs mere her: ds.dk/informationssikkerhed

 

Kontakt

Anders Linde
Anders Linde Chefkonsulent | Chief Consultant
Rådgivning
E: ali@ds.dk
T: 39966329

Se også

03. marts 2020

Cyberangreb er en af de største trusler mod danske virksomheder

Cyberangreb kan ramme alle, store som små, og kan have voldsomme konsekvenser for forretningen. Men det kan virke som en uoverskuelig opgave at få styr på cyber- og informationssikkerheden - især for mindre virksomheder. Standarden ISO/IEC 27001 e...

22. august 2019

Skab tillid med informationssikkerhed

ISO/IEC 27001 for informationssikkerhed er et uundværligt værktøj for enhver organisation.

04. november 2019

Standard skal sikre privatlivets fred

Når vi bestiller tid hos lægen, logger på netbanken eller booker flybilletter på nettet, deler vi vores personlige oplysninger. Digitalisering, globalisering og personliggørelsen af ydelser og services skaber nye markeder, men rejser også spørgsmå...