Manglende informationssikkerhed i SMV’ER

10. juni 2021

Manglende informationssikkerhed i SMV’er

Mange mindre virksomheder arbejder ikke struktureret med informationssikkerhed, selvom cyberangreb er en af de største trusler mod danske virksomheder.

Kravene til virksomheders håndtering af data bliver løbende skrappere. Og hvis man vil levere til den offentlige sektor, skal man efterhånden kunne dokumentere, at man følger principperne i informationssikkerhedsstandarden ISO/IEC 27001.

Alligevel er der mange små og mellemstore virksomheder, der ikke arbejder struktureret med informationssikkerhed. Det viser bl.a. en undersøgelse fra Erhvervsstyrelsen om digital sikkerhed i danske SMV’er. Det kan dels skyldes manglende viden om, hvad informationssikkerhed indebærer, dels manglende ressourcer.

Men man bør ikke udelukkende betragte implementering af sikkerhedsprocedurer som en udgift. Det mener Christian Tange, partner i Dain Partners og tidligere CFO i it-virksomheden Agillic, som har implementeret et ledelsessystem til informationssikkerhed, der bygger på ISO/IEC 27001-standarden.

»Vi oplever, at flere og flere kunder kræver, at vi har et informationssikkerhedssystem, og at vi kan fremvise dokumentation for det. Samtidig er systemet en nødvendig intern sikkerhedsforanstaltning. Det er en forsikring og et vigtigt konkurrenceparameter for os,« fortæller han.

En risikovurdering er alfa og omega

Samtidigt kan et ledelsessystem for informationssikkerhed give en økonomisk gevinst, hvis det gribes rigtigt an. Christian Tange har erfaret, at det bedste udgangspunkt er et scope, som er tilpasset virksomhedens behov. Er man for ambitiøs, kræver det for mange ressourcer at bruge systemet, og det kan ende med ikke at blive brugt.

Ifølge Dansk Standard, som rådgiver virksomheder om arbejdet med standarder, er et af de første skridt at foretage en risikovurdering, hvor man evaluerer de trusler, virksomheden er udsat for, herunder sandsynligheden for at blive ramt og konsekvenserne af et angreb.

»Risikovurderingen er en grundlæggende øvelse, som alle virksomheder bør foretage, uanset om de har tænkt sig at arbejde med en standard eller ej,« mener Anders Linde, chefkonsulent i Dansk Standard. Han anbefaler virksomheder at konsultere sikkerdigital.dk for at få inspiration til, hvordan man laver en risikovurdering.

Dokumentation og styrket beredskab

Ved at implementere en informationssikkerhedsstandard er man ikke blot i stand til at dokumentere over for kunder og myndigheder, at man lever op til krav og lovgivning. Man styrker også beredskabet mod de cyberangreb, som virksomheder, store som små, udsættes for: ransomware, industrispionage, tab af fortrolighed, driftsstop osv.

Der hersker imidlertid en forestilling om, at altødelæggende cyberangreb er noget, som kun større organisationer bør finde ressourcer til at værne sig mod. Men det er en myte, mener Anders Linde.

»Det er sandt, at større, succesfulde virksomheder kan have mere avancerede trusselscenarier at bekymre sig om – f.eks. industrispionage, som ofte er målrettet virksomhedens kendte værdier. Men mange af de angreb, som kan kompromittere virksomheders data, er netop ikke målrettede. Der skydes med spredehagl for at finde sårbarheder, og man vil blive udsat for angreb før eller siden,« forklarer chefkonsulenten.

Det kan være noget så simpelt som afarter af de berygtede Nigeria-breve, som på et ringe dansk informerer om, at man har arvet en større sum penge fra en afrikansk prins. De moderne versioner af Nigeria-brevene er langt mere professionelle i indhold og form – velkendte eksempler er dansksprogede mails fra banker, myndigheder eller streamingtjenester.

»Angrebene fortsætter, så længe nogen hopper på limpinden, og selvom de fleste forstår, at det er fup, kan en enkelt uopmærksom medarbejder være nok til at lægge virksomheden ned. Det er blandt andet den slags, man beskytter sig mod, når man formaliserer arbejdet med informationssikkerhed,« siger Anders Linde.

Læs mere om informationssikkerhed og ISO 27001

Kontakt

Berit Aadal
Berit Aadal Seniorkonsulent | Senior Consultant
Sekretariater, udvalg og netværk II
E: baa@ds.dk
T: 39 96 62 96
Astrid Bækby Knudsen
Astrid Bækby Knudsen Standardiseringskonsulent | Standardisation Consultant
Sekretariater, udvalg og netværk II
E: abk@ds.dk
T: 39 96 62 06

Se også

22. november 2022

Se eller gense webinaret om risikostyring og rapportering ift. cyber- og informationssikkerhed

14. november afholdt Bestyrelsesforeningens Center for Cyberkompetencer og Dansk Standard et arrangement, der stillede skarpt på risikostyring og rapportering ift. cyber- og informationssikkerhed set fra ledelsens og bestyrelsens perspektiv.

Ny version af standarden for informationssikkerhed ISO/IEC 27001 ude nu

07. november 2022

Ny version af standarden for informationssikkerhed ISO/IEC 27001 ude nu

I takt med den stigende cybertrussel vælger flere og flere virksomheder at følge de internationale standarder for informationssikkerhed i ISO/IEC 27000-serien. Der er netop udkommet en ny version af kravstandarden ISO/IEC 27001, og certificerede v...

08. september 2022

Hvordan risikostyrer man sin organisations informationssikkerhed?

Se eller gense dette webinar, hvor du får indblik i den nye version af ISO/IEC 27005, som er standarden for risikostyring i tilknytning til informationssikkerhed.

Cyberangreb på virksomheder: 11 tips til at beskytte jeres virksomhed

01. september 2022

Cyberangreb på virksomheder: 11 tips til at beskytte jeres virksomhed

I dagens digitale verden er virksomheder udsat for stadig flere og mere avancerede cyberangreb. Hvis ikke virksomhederne er forberedt på disse angreb, kan de blive alvorligt ramt – både økonomisk og på deres omdømme. Til at beskytte virksomheden m...