Manglende informationssikkerhed i SMV’ER

10. juni 2021

Manglende informationssikkerhed i SMV’er

Mange mindre virksomheder arbejder ikke struktureret med informationssikkerhed, selvom cyberangreb er en af de største trusler mod danske virksomheder.

Kravene til virksomheders håndtering af data bliver løbende skrappere. Og hvis man vil levere til den offentlige sektor, skal man efterhånden kunne dokumentere, at man følger principperne i informationssikkerhedsstandarden ISO/IEC 27001.

Alligevel er der mange små og mellemstore virksomheder, der ikke arbejder struktureret med informationssikkerhed. Det viser bl.a. en undersøgelse fra Erhvervsstyrelsen om digital sikkerhed i danske SMV’er. Det kan dels skyldes manglende viden om, hvad informationssikkerhed indebærer, dels manglende ressourcer.

Men man bør ikke udelukkende betragte implementering af sikkerhedsprocedurer som en udgift. Det mener Christian Tange, partner i Dain Partners og tidligere CFO i it-virksomheden Agillic, som har implementeret et ledelsessystem til informationssikkerhed, der bygger på ISO/IEC 27001-standarden.

»Vi oplever, at flere og flere kunder kræver, at vi har et informationssikkerhedssystem, og at vi kan fremvise dokumentation for det. Samtidig er systemet en nødvendig intern sikkerhedsforanstaltning. Det er en forsikring og et vigtigt konkurrenceparameter for os,« fortæller han.

En risikovurdering er alfa og omega

Samtidigt kan et ledelsessystem for informationssikkerhed give en økonomisk gevinst, hvis det gribes rigtigt an. Christian Tange har erfaret, at det bedste udgangspunkt er et scope, som er tilpasset virksomhedens behov. Er man for ambitiøs, kræver det for mange ressourcer at bruge systemet, og det kan ende med ikke at blive brugt.

Ifølge Dansk Standard, som rådgiver virksomheder om arbejdet med standarder, er et af de første skridt at foretage en risikovurdering, hvor man evaluerer de trusler, virksomheden er udsat for, herunder sandsynligheden for at blive ramt og konsekvenserne af et angreb.

»Risikovurderingen er en grundlæggende øvelse, som alle virksomheder bør foretage, uanset om de har tænkt sig at arbejde med en standard eller ej,« mener Anders Linde, chefkonsulent i Dansk Standard. Han anbefaler virksomheder at konsultere sikkerdigital.dk for at få inspiration til, hvordan man laver en risikovurdering.

Dokumentation og styrket beredskab

Ved at implementere en informationssikkerhedsstandard er man ikke blot i stand til at dokumentere over for kunder og myndigheder, at man lever op til krav og lovgivning. Man styrker også beredskabet mod de cyberangreb, som virksomheder, store som små, udsættes for: ransomware, industrispionage, tab af fortrolighed, driftsstop osv.

Der hersker imidlertid en forestilling om, at altødelæggende cyberangreb er noget, som kun større organisationer bør finde ressourcer til at værne sig mod. Men det er en myte, mener Anders Linde.

»Det er sandt, at større, succesfulde virksomheder kan have mere avancerede trusselscenarier at bekymre sig om – f.eks. industrispionage, som ofte er målrettet virksomhedens kendte værdier. Men mange af de angreb, som kan kompromittere virksomheders data, er netop ikke målrettede. Der skydes med spredehagl for at finde sårbarheder, og man vil blive udsat for angreb før eller siden,« forklarer chefkonsulenten.

Det kan være noget så simpelt som afarter af de berygtede Nigeria-breve, som på et ringe dansk informerer om, at man har arvet en større sum penge fra en afrikansk prins. De moderne versioner af Nigeria-brevene er langt mere professionelle i indhold og form – velkendte eksempler er dansksprogede mails fra banker, myndigheder eller streamingtjenester.

»Angrebene fortsætter, så længe nogen hopper på limpinden, og selvom de fleste forstår, at det er fup, kan en enkelt uopmærksom medarbejder være nok til at lægge virksomheden ned. Det er blandt andet den slags, man beskytter sig mod, når man formaliserer arbejdet med informationssikkerhed,« siger Anders Linde.

Læs mere om informationssikkerhed og ISO 27001

Kontakt

Anders Linde
Anders Linde Chefkonsulent | Chief Consultant
Sekretariater, udvalg og netværk II
E: ali@ds.dk
T: 39966329

Se også

Guide til Cybersikkerhed i produkter (IoT) - lancering af dansk specifikation

12. januar 2022

Video: Guide til Cybersikkerhed i produkter (IoT) - lancering af dansk specifikation

Se eller gense webinaret, der giver et indblik i, hvordan specifikationen for cybersikkerhed i produkter er bygget op, hvordan den er blevet til, samt hvilken værdi den kan tilføre dit arbejde med cybersikkerhed.

Ny guide skal øge cybersikkerheden i IoT-produkter

11. januar 2022

Ny guide skal øge cybersikkerheden i IoT-produkter

Antallet af produkter, der kobles på internettet, har for længst vokset sig større end den samlede verdenspopulation. Men vores øgede afhængighed af digitale teknologier, øger også risikoen for cyberangreb. En ny guide skal være med til at øge cyb...

Ny national strategi for cyber- og informationssikkerhed

16. december 2021

Ny national strategi for cyber- og informationssikkerhed – øget fokus på ISO/IEC 27001

I den nye nationale strategi for for cyber- og informationssikkerhed bliver standarder understreget som et væsentligt værktøj i udviklingen mod et samfund, der er bedre rustet mod cybertrusler.

Guide til Cybersikkerhed i produkter (IoT) - lancering af dansk specifikation

12. november 2021

Video: Cyber- og informationssikkerhed på strategiske niveauer

Se eller gense webinaret om, hvordan cyber- og informationssikkerhed tænkes strategisk ind i virksomheden, og hvilket ansvar der påhviler de enkelte lag.