23. august 2022
- Med standarden for informationssikkerhed kan kunderne tjekke boksen af ud for, at vi gør tingene ordentligt. Når de spørger, hvordan vi håndterer informationssikkerhed, kan vi sige, at vi lever op til standarden for informationssikkerhed, altså ISO 27001, fortæller Johnny Dalgaard, medindehaver i virksomheden ViSikrer, der hjælper havne med at leve op til FN-reglerne for terrorsikring.
ISO 27001 er nemlig med til at vise kunderne, at virksomheden har en hensigtsmæssig sikkerhedsadfærd.
- Hvis vi har en time til at tale med en kunde, hvor de skal beslutte sig for at købe vores ydelser, vil vi ikke bruge al tiden på at diskutere sikkerheden. Vi vil gerne frem til at tale om de behov, kunden har, og hvordan vi kan hjælpe med at dække behovene, siger Johnny Dalgaard, der med en fortid i Politiet er vant til at tænke i sikkerhed.
Johnny Dalgaards virksomhed, ViSikrer, er kun to faste mand, men alligevel er de i samme situationen, som de godt og vel 300.000 andre små og mellemstore privatejede virksomheder: Kriminaliteten rykker (også) over på nettet, og det kræver, at ens normale, fornuftige adfærd følger med. Låser man skrivebordsskuffen med underskrevne kontrakter, strategipapirer og alle kundeoplysninger, skal man være lige så vaks digitalt til regelmæssigt at opdatere kodeord på sine devices og gennemskue, hvornår et link i en e-mail er et phishing-link.
- Den sikkerhedsadfærd bør være hverdag for danske SMV’er, og det er her, standarden har en vigtig rolle at spille, siger Jens Heiede, der er adm. direktør i Dansk Standard. Niveauet bør dog tilpasses den enkelte virksomheds behov, så den kan drive sin forretning uforstyrret og prioritere sikkerhedsressourcer til de områder, som er særligt kritiske for forretningen.
Det kan Anders Linde, ekspert og underviser i informationssikkerhed hos Dansk Standard, nikke genkendende til.
- Standarden for informationssikkerhed er en samling af gode praksisser, man bør etablere for at opnå et passende beskyttelsesniveau i virksomheden - ikke for at bygge Fort Knox, siger han og fortsætter:
- Organisationen bør tage afsæt i de produkter eller services, som de er sat i verden for at levere. Dernæst forholde sig til ønsker og forventninger fra deres omgivelser. Med det afsæt skal der tages stilling til de risici, som virksomheden kan blive ramt af. Hvor bør man være særligt bekymret? Hvilke uacceptable risici truer virksomhedens informationer og bør forebygges for at beskytte forretningen? Herunder vil der ofte skulle afses midler til at justere på medarbejderadfærden, siger han.
Sagt lidt mere firkantet, lægger standarden op til, at man udvikler en sikkerhedsbevidsthed, som sætter én bedre i stand til at vurdere egne risici og udpege passende foranstaltninger.
Anders Linde vurderer, at virksomheder i størrelsesordenen af Johnnys (såkaldte mikrovirksomheder med op til ti medarbejdere) generelt halter bagud, når det gælder om at beskytte oplysninger i virksomheden. Og det er uanset, om det er den viden, som medarbejderne opbevarer i hovedet, på skrivebordet eller harddisken.
- De fleste virksomheder med meget få ansatte er udfordret på it- eller informationssikkerhed, siger han.
Den enkelte virksomhed er selv ansvarlig for at vurdere, hvad væsentlig sikkerhed er for dem. I den forbindelse vil særlige lovkrav dog øge ”trykket” for de virksomheder, som bidrager til samfundskritiske sektorer, fx leverandører af livsvigtig medicin, finansielle services eller el- og vandforsyning.
- For virksomheden bør standarden føre til en erkendelsesproces, hvor en række fundamentale spørgsmål ryddes af vejen: På basis af dem vi er, de informationer vi behandler, den branche vi er i, og de lovkrav vi er underlagt, vores samarbejdspartnere og -myndigheder, hvad er så god informationssikkerhed for os? Slutproduktet er en række sikkerhedsforanstaltninger, der er tilpasset virksomhedens profil, siger Anders Linde.
- Det er i høj grad et spørgsmål om at etablere en række processer. Den løbende risikostyring er en nøgleaktivitet, og så man skal følge op på effektiviteten heraf, tilføjer han.
I Johnny Dalgaards virksomhed er en stor del af informationerne belagt med krav om fortrolighed. Johnny udarbejder blandt andet planer for terrorsikring af havne, og her giver det sig selv, at planerne ikke bidrager med megen nytte, hvis de ligger frit fremme.
- Når vi udarbejder beredskabsplaner og laver planer for, hvor sikkerhedskamerarer skal sættes op, skal det godkendes af Trafikstyrelsen. Og de kræver, at vi lever op til standarden, siger han.
Trafikstyrelsen er blot én ud af mange offentlige styrelser og instanser, der forlanger, at samarbejdspartnere, leverandører m.fl. lever op til netop ISO 27001-standarden.
Selvom Johnny og hans kompagnon begge har en baggrund inden for politi og forsvar og derfor har lidt kilometer i benene, hvad angår sikkerhed, kan de sagtens se behovet for, at mindre virksomheder får en bevidsthed om informationssikkerhed.
- Alle os, der er specialister og arbejder med det, vi har forstand på, kan ikke samtidig være eksperter i den brede informationssikkerhed med krav om dokumentation af processer, siger Johnny Dalgaard.
Modsat større virksomheder, der kan have specialiserede afdelinger med styr på informations-sikkerhed, er SMV’er ofte kendetegnet ved, at færre ansatte bærer flere kasketter. Og med flere roller er det mindre sandsynligt, at man er decideret ekspert på ét område, som for eksempel inden for dokument- og informationssikkerhed.
- Men hvis du har en standard for informationssikkerhed, bliver du tvunget ud i at lave det tæt på optimalt. Kan det gøres bedre af andre, ja, men standarden hjælper dig den rigtige vej, siger Johnny Dalgaard.
Selvom det er endnu en kasket, han skal bære i virksomheden, anerkender han vigtigheden af informations- og cybersikkerhed.
- Det er jo et absurd vigtigt område. Center for Cybersikkerhed og Forsvarets Efterretningstjeneste har jo lige skærpet risikoen for cyberangreb pga. Rusland-Ukraine-krigen, siger han og fortsætter:
- Jeg ved, hvor mange der er er blevet hacket, og hvor mange der har betalt på fejlagtige phishing-links, de har trykket på. Hvis SMV'er havde haft 27001, ville det have hjulpet dem. Ikke beskyttet dem, men hjulpet, og de ville have mere tanke for, hvad der kunne gå galt.
Få en introduktion til en helt ny guide, der skal hjælpe SMV’er med at håndtere de lovkrav, der kommer fra EU i forhold til cyber- og informationssikkerhed.
Med de mange cyberangreb på virksomheder, der har digitaliseret deres forretning, er cybersikkerhed blevet en nødvendig faktor. Alligevel mangler mange små og mellemstore virksomheder ressourcer og ekspertise til at tackle emnet, især med de nye l...
Torsdag den 3. oktober afholdt Dansk Standard for tredje gang den populære DS Cyberdag – en begivenhed, der tiltrak over 600 deltagere (fysisk og online) fra både private virksomheder og offentlige organisationer. Den store interesse for DS Cyberd...
Se eller gense webinaret om de nye standarder under radioudstyrsdirektivet, hvor vi sætter fokus på, hvordan de styrker cybersikkerheden.