Informationssikkerhed styrker forretningen
Foto: Jacob Nielsen

23. august 2022

Informationssikkerhed styrker forretningen

At arbejde struktureret med standarden for informationssikkerhed, ISO 27001, har også klare kommercielle fordele – ikke mindst for mindre virksomheder.

- Med standarden for informationssikkerhed kan kunderne tjekke boksen af ud for, at vi gør tingene ordentligt. Når de spørger, hvordan vi håndterer informationssikkerhed, kan vi sige, at vi lever op til standarden for informationssikkerhed, altså ISO 27001, fortæller Johnny Dalgaard, medindehaver i virksomheden ViSikrer, der hjælper havne med at leve op til FN-reglerne for terrorsikring.

ISO 27001 er nemlig med til at vise kunderne, at virksomheden har en hensigtsmæssig sikkerhedsadfærd.

- Hvis vi har en time til at tale med en kunde, hvor de skal beslutte sig for at købe vores ydelser, vil vi ikke bruge al tiden på at diskutere sikkerheden. Vi vil gerne frem til at tale om de behov, kunden har, og hvordan vi kan hjælpe med at dække behovene, siger Johnny Dalgaard, der med en fortid i Politiet er vant til at tænke i sikkerhed.

Cyberangreb rammer i høj grad også SMV’er

Johnny Dalgaards virksomhed, ViSikrer, er kun to faste mand, men alligevel er de i samme situationen, som de godt og vel 300.000 andre små og mellemstore privatejede virksomheder: Kriminaliteten rykker (også) over på nettet, og det kræver, at ens normale, fornuftige adfærd følger med. Låser man skrivebordsskuffen med underskrevne kontrakter, strategipapirer og alle kundeoplysninger, skal man være lige så vaks digitalt til regelmæssigt at opdatere kodeord på sine devices og gennemskue, hvornår et link i en e-mail er et phishing-link.

- Den sikkerhedsadfærd bør være hverdag for danske SMV’er, og det er her, standarden har en vigtig rolle at spille, siger Jens Heiede, der er adm. direktør i Dansk Standard. Niveauet bør dog tilpasses den enkelte virksomheds behov, så den kan drive sin forretning uforstyrret og prioritere sikkerhedsressourcer til de områder, som er særligt kritiske for forretningen.

Det kan Anders Linde, ekspert og underviser i informationssikkerhed hos Dansk Standard, nikke genkendende til.

- Standarden for informationssikkerhed er en samling af gode praksisser, man bør etablere for at opnå et passende beskyttelsesniveau i virksomheden - ikke for at bygge Fort Knox, siger han og fortsætter:

- Organisationen bør tage afsæt i de produkter eller services, som de er sat i verden for at levere. Dernæst forholde sig til ønsker og forventninger fra deres omgivelser. Med det afsæt skal der tages stilling til de risici, som virksomheden kan blive ramt af. Hvor bør man være særligt bekymret? Hvilke uacceptable risici truer virksomhedens informationer og bør forebygges for at beskytte forretningen? Herunder vil der ofte skulle afses midler til at justere på medarbejderadfærden, siger han.

Sagt lidt mere firkantet, lægger standarden op til, at man udvikler en sikkerhedsbevidsthed, som sætter én bedre i stand til at vurdere egne risici og udpege passende foranstaltninger.

Mikrovirksomheder halter bagud med informationssikkerheden

Anders Linde vurderer, at virksomheder i størrelsesordenen af Johnnys (såkaldte mikrovirksomheder med op til ti medarbejdere) generelt halter bagud, når det gælder om at beskytte oplysninger i virksomheden. Og det er uanset, om det er den viden, som medarbejderne opbevarer i hovedet, på skrivebordet eller harddisken.

- De fleste virksomheder med meget få ansatte er udfordret på it- eller informationssikkerhed, siger han.

Den enkelte virksomhed er selv ansvarlig for at vurdere, hvad væsentlig sikkerhed er for dem. I den forbindelse vil særlige lovkrav dog øge ”trykket” for de virksomheder, som bidrager til samfundskritiske sektorer, fx leverandører af livsvigtig medicin, finansielle services eller el- og vandforsyning.

- For virksomheden bør standarden føre til en erkendelsesproces, hvor en række fundamentale spørgsmål ryddes af vejen: På basis af dem vi er, de informationer vi behandler, den branche vi er i, og de lovkrav vi er underlagt, vores samarbejdspartnere og -myndigheder, hvad er så god informationssikkerhed for os? Slutproduktet er en række sikkerhedsforanstaltninger, der er tilpasset virksomhedens profil, siger Anders Linde.

- Det er i høj grad et spørgsmål om at etablere en række processer. Den løbende risikostyring er en nøgleaktivitet, og så man skal følge op på effektiviteten heraf, tilføjer han.

Standarden er et krav fra kunderne

I Johnny Dalgaards virksomhed er en stor del af informationerne belagt med krav om fortrolighed. Johnny udarbejder blandt andet planer for terrorsikring af havne, og her giver det sig selv, at planerne ikke bidrager med megen nytte, hvis de ligger frit fremme.

- Når vi udarbejder beredskabsplaner og laver planer for, hvor sikkerhedskamerarer skal sættes op, skal det godkendes af Trafikstyrelsen. Og de kræver, at vi lever op til standarden, siger han.

Trafikstyrelsen er blot én ud af mange offentlige styrelser og instanser, der forlanger, at samarbejdspartnere, leverandører m.fl. lever op til netop ISO 27001-standarden.

Et brugbart redskab til SMV’er

Selvom Johnny og hans kompagnon begge har en baggrund inden for politi og forsvar og derfor har lidt kilometer i benene, hvad angår sikkerhed, kan de sagtens se behovet for, at mindre virksomheder får en bevidsthed om informationssikkerhed.

- Alle os, der er specialister og arbejder med det, vi har forstand på, kan ikke samtidig være eksperter i den brede informationssikkerhed med krav om dokumentation af processer, siger Johnny Dalgaard.

Modsat større virksomheder, der kan have specialiserede afdelinger med styr på informations-sikkerhed, er SMV’er ofte kendetegnet ved, at færre ansatte bærer flere kasketter. Og med flere roller er det mindre sandsynligt, at man er decideret ekspert på ét område, som for eksempel inden for dokument- og informationssikkerhed.

- Men hvis du har en standard for informationssikkerhed, bliver du tvunget ud i at lave det tæt på optimalt. Kan det gøres bedre af andre, ja, men standarden hjælper dig den rigtige vej, siger Johnny Dalgaard.

Selvom det er endnu en kasket, han skal bære i virksomheden, anerkender han vigtigheden af informations- og cybersikkerhed.

- Det er jo et absurd vigtigt område. Center for Cybersikkerhed og Forsvarets Efterretningstjeneste har jo lige skærpet risikoen for cyberangreb pga. Rusland-Ukraine-krigen, siger han og fortsætter:

- Jeg ved, hvor mange der er er blevet hacket, og hvor mange der har betalt på fejlagtige phishing-links, de har trykket på. Hvis SMV'er havde haft 27001, ville det have hjulpet dem. Ikke beskyttet dem, men hjulpet, og de ville have mere tanke for, hvad der kunne gå galt.

Bliv inspireret til, hvordan du kommer cybertruslen i forkøbet til DS Cyberdag

Hør podcasten

 



Kontakt

Berit Aadal
Berit Aadal Seniorkonsulent | Senior Consultant
Standardisering | Digital & Bæredygtighed
E: baa@ds.dk
T: 39 96 62 96

Se også

29. november 2023

Risikostyring og informationssikkerhed – inspiration til at imødegå kravene i NIS2

Se eller gense dette webinar, hvor du kan høre mere om behovet for at adressere og systematisere arbejdet med de digitale risici, som er opstået i takt med den øgede digitalisering og de dertilhørende cybertrusler.

Nu kommer ISO/IEC 27005 for første gang på dans

03. november 2023

Nu kommer ISO/IEC 27005 for første gang på dansk

Den internationale vejledende standard til vurdering og håndtering af risici inden for informationssikkerhed, ISO/IEC 27005, som sidste år udkom i en ny version, kommer nu i dansk oversættelse. Standarden kan hjælpe virksomheder med at leve op til...

09. oktober 2023

DS Cyberdag - se eller gense

Dagen bød på spændende indlæg og debatter om cyber-og informationssikkerhed, som bl.a. gav indblik i den kommende lovgivning på området og præsenterede værktøjer, der kan hjælpe organisationer og virksomheder i gang med eller videre i arbejdet med...

20. september 2023

Kommende EU-regulering på cyberområdet i et strategisk perspektiv

Se eller gense dette webinar, hvor du får inspiration til, hvordan du i et strategisk perspektiv kan håndtere den kommende EU-regulering på cyberområdet.