31. august 2017
En indledende analyse af virksomhedens informationssikkerhedsbehov kan hjælpe med prioriteringen af sikkerhedsindsatsen. Afdæk de vigtigste interessenters forventninger til os: herunder nøglekunder, leverandører, relevante myndigheder, centrale medarbejdergrupper og bestyrelse. På den måde opnår virksomheden viden om de krav og ønsker, som forretningen skal søge at honorere.
Det er vigtigt, at din virksomhed ser på de nuværende rutiner ved udarbejdelse af dokumentation, fx politikker, vejledninger og formularer. Den eksisterende praksis skal ikke trækkes op med roden, men være udgangspunktet for en tilpasning og udbygning af relevante processer. Dokumentationskravene skal altså indarbejdes på en måde, der ikke fremmedgør medarbejderne.
At styrke en virksomheds informationssikkerhed er en løbende proces, hvor kravene hele tiden flytter sig, eksempelvis logning af brugeradgange, auditering eller vurdering af risici. Vores første test af fx beredskabsplaner er ikke altid en køn oplevelse, men den løbende evaluering og tilretning sikrer et bedre forløb næste gang. Det er vigtigt at forstå, at informationssikkerhed indebærer en række vedblivende processer, som vi løbende optimerer på under hensyntagen til det ændrede sikkerhedslandskab.
Informationssikkerhed er et anliggende for hele organisationen. Vi kan indarbejde nok så meget state-of-art teknologi, men ligeså vigtigt er det at tilpasse medarbejderstabens adfærd til virksomhedens grundlæggende informationssikkerhedsbehov. Fra receptionisten, som giver gæster adgang, og over til HR-medarbejderen, som screener potentielle nyansatte. Informationssikkerhed fordrer, at hele huset inddrages og oplæres.
En ny firewall, sikre zoner på arbejdspladsen, kurser til de ansatte: det koster penge at fastholde et relevant sikkerhedsniveau, men samtidigt er det for dyrt at lade være. Den øverste ledelse skal derfor forstå og motiveres af, at ressourcer til informationssikkerhed tager afsæt i en forretningsbetragtning. Således bør topledelsen agere bannerfører og stå som afsender af virksomhedens informationssikkerhedspolitik.
Informationssikkerhed ISO 27001 - få overblikket her
ISO 27001 er en international ledelsesstandard for informationssikkerhed. Standarden er et styringsværktøj, der hjælper virksomheder til at beskytte værdifulde informationer - herunder persondata - på en sikker og troværdig måde.
ISO/IEC 27002 er en vejledning i at udvælge foranstaltninger i forbindelse med implementering af et ledelsessystem for informationssikkerhed.
Standarden for privatlivsbeskyttelse, ISO/IEC 27701, er et ledelsesværktøj, som giver indblik i de arbejdsgange og foranstaltninger, som organisationer bør etablere for at opnå en passende beskyttelse af personoplysninger.
Bestyrelser og direktioner bør prioritere cyber- og informationssikkerhed som en afgørende del af forretningen.