Manglende informationssikkerhed i SMV’ER

10. juni 2021

Manglende informationssikkerhed i SMV’er

Mange mindre virksomheder arbejder ikke struktureret med informationssikkerhed, selvom cyberangreb er en af de største trusler mod danske virksomheder.

Kravene til virksomheders håndtering af data bliver løbende skrappere. Og hvis man vil levere til den offentlige sektor, skal man efterhånden kunne dokumentere, at man følger principperne i informationssikkerhedsstandarden ISO/IEC 27001.

Alligevel er der mange små og mellemstore virksomheder, der ikke arbejder struktureret med informationssikkerhed. Det viser bl.a. en undersøgelse fra Erhvervsstyrelsen om digital sikkerhed i danske SMV’er. Det kan dels skyldes manglende viden om, hvad informationssikkerhed indebærer, dels manglende ressourcer.

Men man bør ikke udelukkende betragte implementering af sikkerhedsprocedurer som en udgift. Det mener Christian Tange, partner i Dain Partners og tidligere CFO i it-virksomheden Agillic, som har implementeret et ledelsessystem til informationssikkerhed, der bygger på ISO/IEC 27001-standarden.

»Vi oplever, at flere og flere kunder kræver, at vi har et informationssikkerhedssystem, og at vi kan fremvise dokumentation for det. Samtidig er systemet en nødvendig intern sikkerhedsforanstaltning. Det er en forsikring og et vigtigt konkurrenceparameter for os,« fortæller han.

En risikovurdering er alfa og omega

Samtidigt kan et ledelsessystem for informationssikkerhed give en økonomisk gevinst, hvis det gribes rigtigt an. Christian Tange har erfaret, at det bedste udgangspunkt er et scope, som er tilpasset virksomhedens behov. Er man for ambitiøs, kræver det for mange ressourcer at bruge systemet, og det kan ende med ikke at blive brugt.

Ifølge Dansk Standard, som rådgiver virksomheder om arbejdet med standarder, er et af de første skridt at foretage en risikovurdering, hvor man evaluerer de trusler, virksomheden er udsat for, herunder sandsynligheden for at blive ramt og konsekvenserne af et angreb.

»Risikovurderingen er en grundlæggende øvelse, som alle virksomheder bør foretage, uanset om de har tænkt sig at arbejde med en standard eller ej,« mener Anders Linde, chefkonsulent i Dansk Standard. Han anbefaler virksomheder at konsultere sikkerdigital.dk for at få inspiration til, hvordan man laver en risikovurdering.

Dokumentation og styrket beredskab

Ved at implementere en informationssikkerhedsstandard er man ikke blot i stand til at dokumentere over for kunder og myndigheder, at man lever op til krav og lovgivning. Man styrker også beredskabet mod de cyberangreb, som virksomheder, store som små, udsættes for: ransomware, industrispionage, tab af fortrolighed, driftsstop osv.

Der hersker imidlertid en forestilling om, at altødelæggende cyberangreb er noget, som kun større organisationer bør finde ressourcer til at værne sig mod. Men det er en myte, mener Anders Linde.

»Det er sandt, at større, succesfulde virksomheder kan have mere avancerede trusselscenarier at bekymre sig om – f.eks. industrispionage, som ofte er målrettet virksomhedens kendte værdier. Men mange af de angreb, som kan kompromittere virksomheders data, er netop ikke målrettede. Der skydes med spredehagl for at finde sårbarheder, og man vil blive udsat for angreb før eller siden,« forklarer chefkonsulenten.

Det kan være noget så simpelt som afarter af de berygtede Nigeria-breve, som på et ringe dansk informerer om, at man har arvet en større sum penge fra en afrikansk prins. De moderne versioner af Nigeria-brevene er langt mere professionelle i indhold og form – velkendte eksempler er dansksprogede mails fra banker, myndigheder eller streamingtjenester.

»Angrebene fortsætter, så længe nogen hopper på limpinden, og selvom de fleste forstår, at det er fup, kan en enkelt uopmærksom medarbejder være nok til at lægge virksomheden ned. Det er blandt andet den slags, man beskytter sig mod, når man formaliserer arbejdet med informationssikkerhed,« siger Anders Linde.

Læs mere om informationssikkerhed og ISO 27001

Kontakt

Anders Linde
Anders Linde Chefkonsulent | Chief Consultant
Sekretariater, udvalg og netværk II
E: ali@ds.dk
T: 39966329

Se også

Book et gratis oplæg om standarder og cybersikkerhed

24. august 2021

Book et gratis oplæg om standarder og cybersikkerhed

I oktober er det national cybersikkerhedsmåned. Målet er at løfte den digitale sikkerhed for borgere, virksomheder og myndigheder i Danmark. I den forbindelse er det muligt at booke et gratis oplæg fra bl.a. Dansk Standard om, hvordan din organisa...

Ny standard skal sikre betalingssikkerhed ved tredjepartsudbyder

15. juli 2021

Ny standard skal sikre betalingssikkerhed ved tredjepartsudbyder

De fleste betalingstransaktioner bliver ikke længere foretaget med kontanter, men med forskellige online finansielle udbydere, hvilket medfører en større risiko for svindel. For at reducere denne risiko er standarden ISO 23195 blevet udviklet.

18. juni 2021

Webinar: Standarder for cybersikkerhed – OT, IT og IoT

Se eller gense videoen fra webinaret om standarder for cybersikkerhed og få et overblik over de mest anvendte cybersikkerhedsstandarder inden for de tre perspektiver; OT (Operational Technology), IT (Information Technology) og IoT (Internet of Thi...

04. juni 2021

Den nye ISO/IEC 27002 – kom på forkant med de nye sikkerhedsforanstaltninger

Se eller gense Dansk Standards webinar om den nye version af standarden ISO/IEC 27002, der blev afholdt den 4. juni.