Informationssikkerhed styrker forretningen
Foto: Jacob Nielsen

23. august 2022

Informationssikkerhed styrker forretningen

At arbejde struktureret med standarden for informationssikkerhed, ISO 27001, har også klare kommercielle fordele – ikke mindst for mindre virksomheder.

- Med standarden for informationssikkerhed kan kunderne tjekke boksen af ud for, at vi gør tingene ordentligt. Når de spørger, hvordan vi håndterer informationssikkerhed, kan vi sige, at vi lever op til standarden for informationssikkerhed, altså ISO 27001, fortæller Johnny Dalgaard, medindehaver i virksomheden ViSikrer, der hjælper havne med at leve op til FN-reglerne for terrorsikring.

ISO 27001 er nemlig med til at vise kunderne, at virksomheden har en hensigtsmæssig sikkerhedsadfærd.

- Hvis vi har en time til at tale med en kunde, hvor de skal beslutte sig for at købe vores ydelser, vil vi ikke bruge al tiden på at diskutere sikkerheden. Vi vil gerne frem til at tale om de behov, kunden har, og hvordan vi kan hjælpe med at dække behovene, siger Johnny Dalgaard, der med en fortid i Politiet er vant til at tænke i sikkerhed.

Cyberangreb rammer i høj grad også SMV’er

Johnny Dalgaards virksomhed, ViSikrer, er kun to faste mand, men alligevel er de i samme situationen, som de godt og vel 300.000 andre små og mellemstore privatejede virksomheder: Kriminaliteten rykker (også) over på nettet, og det kræver, at ens normale, fornuftige adfærd følger med. Låser man skrivebordsskuffen med underskrevne kontrakter, strategipapirer og alle kundeoplysninger, skal man være lige så vaks digitalt til regelmæssigt at opdatere kodeord på sine devices og gennemskue, hvornår et link i en e-mail er et phishing-link.

- Den sikkerhedsadfærd bør være hverdag for danske SMV’er, og det er her, standarden har en vigtig rolle at spille, siger Jens Heiede, der er adm. direktør i Dansk Standard. Niveauet bør dog tilpasses den enkelte virksomheds behov, så den kan drive sin forretning uforstyrret og prioritere sikkerhedsressourcer til de områder, som er særligt kritiske for forretningen.

Det kan Anders Linde, ekspert og underviser i informationssikkerhed hos Dansk Standard, nikke genkendende til.

- Standarden for informationssikkerhed er en samling af gode praksisser, man bør etablere for at opnå et passende beskyttelsesniveau i virksomheden - ikke for at bygge Fort Knox, siger han og fortsætter:

- Organisationen bør tage afsæt i de produkter eller services, som de er sat i verden for at levere. Dernæst forholde sig til ønsker og forventninger fra deres omgivelser. Med det afsæt skal der tages stilling til de risici, som virksomheden kan blive ramt af. Hvor bør man være særligt bekymret? Hvilke uacceptable risici truer virksomhedens informationer og bør forebygges for at beskytte forretningen? Herunder vil der ofte skulle afses midler til at justere på medarbejderadfærden, siger han.

Sagt lidt mere firkantet, lægger standarden op til, at man udvikler en sikkerhedsbevidsthed, som sætter én bedre i stand til at vurdere egne risici og udpege passende foranstaltninger.

Mikrovirksomheder halter bagud med informationssikkerheden

Anders Linde vurderer, at virksomheder i størrelsesordenen af Johnnys (såkaldte mikrovirksomheder med op til ti medarbejdere) generelt halter bagud, når det gælder om at beskytte oplysninger i virksomheden. Og det er uanset, om det er den viden, som medarbejderne opbevarer i hovedet, på skrivebordet eller harddisken.

- De fleste virksomheder med meget få ansatte er udfordret på it- eller informationssikkerhed, siger han.

Den enkelte virksomhed er selv ansvarlig for at vurdere, hvad væsentlig sikkerhed er for dem. I den forbindelse vil særlige lovkrav dog øge ”trykket” for de virksomheder, som bidrager til samfundskritiske sektorer, fx leverandører af livsvigtig medicin, finansielle services eller el- og vandforsyning.

- For virksomheden bør standarden føre til en erkendelsesproces, hvor en række fundamentale spørgsmål ryddes af vejen: På basis af dem vi er, de informationer vi behandler, den branche vi er i, og de lovkrav vi er underlagt, vores samarbejdspartnere og -myndigheder, hvad er så god informationssikkerhed for os? Slutproduktet er en række sikkerhedsforanstaltninger, der er tilpasset virksomhedens profil, siger Anders Linde.

- Det er i høj grad et spørgsmål om at etablere en række processer. Den løbende risikostyring er en nøgleaktivitet, og så man skal følge op på effektiviteten heraf, tilføjer han.

Standarden er et krav fra kunderne

I Johnny Dalgaards virksomhed er en stor del af informationerne belagt med krav om fortrolighed. Johnny udarbejder blandt andet planer for terrorsikring af havne, og her giver det sig selv, at planerne ikke bidrager med megen nytte, hvis de ligger frit fremme.

- Når vi udarbejder beredskabsplaner og laver planer for, hvor sikkerhedskamerarer skal sættes op, skal det godkendes af Trafikstyrelsen. Og de kræver, at vi lever op til standarden, siger han.

Trafikstyrelsen er blot én ud af mange offentlige styrelser og instanser, der forlanger, at samarbejdspartnere, leverandører m.fl. lever op til netop ISO 27001-standarden.

Et brugbart redskab til SMV’er

Selvom Johnny og hans kompagnon begge har en baggrund inden for politi og forsvar og derfor har lidt kilometer i benene, hvad angår sikkerhed, kan de sagtens se behovet for, at mindre virksomheder får en bevidsthed om informationssikkerhed.

- Alle os, der er specialister og arbejder med det, vi har forstand på, kan ikke samtidig være eksperter i den brede informationssikkerhed med krav om dokumentation af processer, siger Johnny Dalgaard.

Modsat større virksomheder, der kan have specialiserede afdelinger med styr på informations-sikkerhed, er SMV’er ofte kendetegnet ved, at færre ansatte bærer flere kasketter. Og med flere roller er det mindre sandsynligt, at man er decideret ekspert på ét område, som for eksempel inden for dokument- og informationssikkerhed.

- Men hvis du har en standard for informationssikkerhed, bliver du tvunget ud i at lave det tæt på optimalt. Kan det gøres bedre af andre, ja, men standarden hjælper dig den rigtige vej, siger Johnny Dalgaard.

Selvom det er endnu en kasket, han skal bære i virksomheden, anerkender han vigtigheden af informations- og cybersikkerhed.

- Det er jo et absurd vigtigt område. Center for Cybersikkerhed og Forsvarets Efterretningstjeneste har jo lige skærpet risikoen for cyberangreb pga. Rusland-Ukraine-krigen, siger han og fortsætter:

- Jeg ved, hvor mange der er er blevet hacket, og hvor mange der har betalt på fejlagtige phishing-links, de har trykket på. Hvis SMV'er havde haft 27001, ville det have hjulpet dem. Ikke beskyttet dem, men hjulpet, og de ville have mere tanke for, hvad der kunne gå galt.

Bliv inspireret til, hvordan du kommer cybertruslen i forkøbet til DS Cyberdag

Hør podcasten

 



Kontakt

Berit Aadal
Berit Aadal Seniorkonsulent | Senior Consultant
Sekretariater, udvalg og netværk II
E: baa@ds.dk
T: 39 96 62 96
Astrid Bækby Knudsen
Astrid Bækby Knudsen Standardiseringskonsulent | Standardisation Consultant
Sekretariater, udvalg og netværk II
E: abk@ds.dk
T: 39 96 62 06

Se også

08. september 2022

Hvordan risikostyrer man sin organisations informationssikkerhed?

Se eller gense dette webinar, hvor du får indblik i den nye version af ISO/IEC 27005, som er standarden for risikostyring i tilknytning til informationssikkerhed.

Cyberangreb på virksomheder: 11 tips til at beskytte jeres virksomhed

01. september 2022

Cyberangreb på virksomheder: 11 tips til at beskytte jeres virksomhed

I dagens digitale verden er virksomheder udsat for stadig flere og mere avancerede cyberangreb. Hvis ikke virksomhederne er forberedt på disse angreb, kan de blive alvorligt ramt – både økonomisk og på deres omdømme. Til at beskytte virksomheden m...

31. august 2022

Sådan styrker du modstandsdygtigheden i din virksomhed

Se eller gense dette webinar, hvor du får inspiration til, hvordan du kan arbejde med modstandsdygtighed i din virksomhed og ikke mindst med cybersikkerhed for at ruste virksomheden mod uforudsete hændelser.

Podcast: Cyberangreb kan ramme SMV’er hårdere

25. august 2022

Podcast: Cyberangreb kan ramme SMV’er hårdere

Cyberkriminelle diskriminerer ikke mellem hverken type eller størrelse af virksomheder, når de udøver cyberangreb – så længe de kriminelle ser en mulighed for at få fat i digitale informationer. Men på trods af det kan risikoen for cyberangreb vær...