Forestil dig, at din organisation bliver ramt af et nedbrud i cloud-infrastrukturen. Ingen adgang til mails, ERP-system eller kundedata. Supportteamet aner ikke, hvilke leverandører der er ansvarlige, og ledelsen står uden overblik. Dagen efter lander der en henvendelse fra datatilsynet for hvordan håndterer man datasikkerhed uden styr på sine IKT-tjenester?
Situationen er desværre ikke urealistisk. Og netop derfor er det afgørende at vide, hvilke IKT-tjenester organisationen benytter, og hvordan de er forbundet til forretning, compliance og risikostyring.
Hvad er IKT-tjenester?
Informations- og kommunikationsteknologi (IKT) dækker over alle teknologiske løsninger og tjenester, der muliggør digital kommunikation og informationsbehandling.
Begrebet omfatter blandt andet:
- Hardware: servere, computere, mobile enheder
- Software: applikationer, databaser og operativsystemer
- Netværk: internetforbindelser, firewalls, VPN, routere
- Cloud-løsninger: Microsoft 365, AWS, Google Cloud
- Telekommunikation: telefoni, videokonference, VoIP
IKT-tjenester danner med andre ord fundamentet for digital drift, og svigt eller nedbrud kan få alvorlige konsekvenser.
Hvorfor er det vigtigt at kende sine IKT-tjenester?
Det er afgørende at have styr på organisationens IKT-tjenester for at kunne tage gode beslutninger. Når du ved, hvilke systemer og tjenester der anvendes, bliver det muligt at identificere svage led i den digitale infrastruktur og dermed styrke risikostyringen. Samtidig er det en forudsætning for at leve op til compliancekrav, herunder dokumentation af databehandlere og overholdelse af GDPR, og overblikket giver desuden mulighed for at prioritere investeringer der, hvor de gør størst forskel for eksempel i forhold til cybersikkerhed eller systemrobusthed.
Uden kendskab til IKT-tjenester er det svært at identificere, hvilke systemer der er forretningskritiske, dokumentere tilsynspligt over for myndigheder og reagere rettidigt, hvis der opstår driftsforstyrrelser eller sikkerhedsbrud.
Lovgivning stiller nye krav
De seneste år har lovgivningen udviklet sig markant med øget fokus på cybersikkerhed og driftssikkerhed, og det har direkte betydning for, hvordan organisationer skal håndtere deres IKT-tjenester. To centrale regulativer er DORA og NIS2, som begge stiller skærpede krav til overblik, risikovurdering og ledelsesforankring.
DORA-forordningen retter sig mod den finansielle sektor og kræver blandt andet, at virksomheder dokumenterer alle deres IKT-tjenester, tester deres digitale robusthed og har beredskabsplaner klar i tilfælde af hændelser. Her er det ikke nok at vide, hvilke systemer man bruger man skal også kunne bevise, hvordan de styres og sikres.
NIS2-direktivet rammer et bredere udsnit af både offentlige og private organisationer og lægger vægt på risikobaseret cybersikkerhed, hurtig hændelsesrapportering og styrket governance. For begge reguleringer gælder, at ledelsen spiller en aktiv rolle i at integrere IKT og cybersikkerhed i den overordnede styring.
Fælles for både DORA og NIS2 er, at de forudsætter, at organisationen har styr på sine IKT-tjenester. Uden overblik bliver det umuligt at leve op til de kravene og svært at dokumentere compliance, når tilsynet banker på.
LÆS OGSÅ: Forsyningskædesikkerhed: Kom i gang med Third Party Risk Management
Hvordan kortlægger og klassificerer du dine IKT-tjenester?
Kortlægning af IKT-tjenester er en struktureret øvelse i at forstå, hvordan de enkelte teknologier understøtter forretningen, hvor sårbarhederne ligger og hvordan de skal prioriteres.
En systematisk tilgang til IKT-kortlægning bør indeholde:
1) Identifikation af IKT-tjenester
Lav en samlet liste over al relevant software, hardware, netværk og eksterne leverandører.
2) Klassificering af risici
Hvilke tjenester er forretningskritiske? Hvilke behandler personoplysninger? Hvor er driftsafhængigheden størst?
3) Risikovurdering
Vurder sandsynlighed og konsekvens ved svigt. Brug evt. en skala fra lav til høj og visualiser det i en risikomatrix.
4) Dokumentation og ansvar
Hvem har ejerskab for hver tjeneste? Hvor findes kontrakter og databehandleraftaler? Hvor hyppigt skal det revideres?
