Informationssikkerhed får en større og større betydning for den morderne organisation. Historier om sikkerhedsbrud og cyberangreb hos store organisationer og offentlige institutioner rammer jævnligt overskrifterne. Et forkert klik, en glemt computer eller manglende overholdelse af GDPR. Selvom langt de fleste organisationer har sikkerhedssystemer, der burde forebygge risici, er det ikke alle, der har tilstrækkelige sikkerhedsfunktioner.
Det er op til ledelsen at sikre informationssikkerheden, og vi har samlet en række best practices til dig, der gerne vil tage temperaturen på arbejdet med organisationens informationssikkerhed.
Tag udgangspunkt i ISO 27001
Der findes en række standarder, der kan hjælpe med at sikre organisationens informationssikkerhed, og den mest udbredte er naturligvis ISO 27001.
Standarden stiller høje krav til ledelsessystemet for informationssikkerhed, der med en systematisk tilgang til håndtering af virksomhedsinformation skal sørge for, at data forbliver sikre.
ISO 27001 kan implementeres i både små og store organisationer i enhver branche, og der er en række best practices, du med fordel kan følge. Inden du når så langt, bør organisationen dog tage et grundigt kig på, hvilke værdifulde informationer organisationen ligger inde med, og hvordan de opbevares – en omfattende kortlægning af det nuværende arbejde med informationssikkerhed er afgørende for et godt resultat med standarden.
Med kortlægningen på plads kan du med fordel have følgende i baghovedet:
1) Sørg for ledelsens opbakning
Informationssikkerheden kan hverken implementeres eller vedligeholdes uden ledelsesstøtte. Det er et projekt, der starter i toppen og bevæger sig ned. Ledelsens engagement skal sikre, at der er tilstrækkelige ressourcer til at implementere, administrere, udvikle og vedligeholde informationssikkerheden.
Hvis din organisation er underlagt NIS2 bliver dette trin især vigtigt. NIS2 sætter nemlig specifikke krav til ledelsen - så de kan ikke længere affærdige det og kaste ansvaret videre. Ledelsen skal sikre compliance og være drivkraften bag udviklingen og implementeringen af sikkerhedsforanstaltningerne.
LÆS OGSÅ: 4 råd til at få ledelsens opbakning, når informationssikkerheden skal sikres
2) Risikovurderinger som udgangspunkt
Uanset hvilken del af informationssikkerheden der skal behandles, er det essentielt, at det altid foregår med udgangspunkt i en risikobaseret tilgang. Sårbarheder og trusler skal identificeres, således at risikovurderinger kan foretages i forhold til organisationens risikoappetit.
Målet er at få et samlet billede af de risici, organisationen står overfor, så ressourcerne kan prioriteres, og ikke mindst at de identificerede risici mitigeres.
3) Udarbejdelse af SoA
Standarden kræver, at der udarbejdes en SoA, der dokumenterer omfanget af kontroller på det respektive punkt.
Med SoA software sikrer du, at organisationen kommer omkring alle relevante punkter, og ikke mindst at arbejdet og beslutningerne er dokumenteret korrekt.
4) Uddannelse af medarbejdere
Informationssikkerheden står og falder med medarbejderne, og derfor bør uddannelse og oplysningsprogrammer gives med jævne mellemrum.
Der er ingen teknologi, som kan sikre informationerne mod menneskelige fejl – for eksempel et klik på et forkert link – og medarbejdernes adfærd skal derfor tages alvorligt.
5) Jævnlig gennemgang og opdatering
For at informationssikkerhedssystemet skal være effektivt, bør det med faste intervaller gennemgås af ledelsen som en del af den interne revision.
Resultaterne af revision og periodisk gennemgang dokumenteres og vedligeholdes, ligesom eventuelle anbefalinger sættes i værk.
Hvorfor anvende ISO 27001?
At anvende ISO 27001 kan virke som en omfattende proces, men der følger mange fordele med at implementere standarden.
Først og fremmest fungerer ISO 27001 som en systematisk tilgang til styring af informationssikkerheden. Det er et styringsværktøj, der hjælper virksomheder til at beskytte værdifulde informationer – herunder persondata – på en sikker og troværdig måde.
Derudover gør ISO 27001 det muligt at undgå dyre bøder og økonomiske tab i forbindelse med utilsigtede fejl i eller angreb på informationssikkerheden.
Sammenhold værktøjer med virksomhedens ambitioner
I arbejdet med at sikre informationssikkerhed og compliance med ISO 27001, står virksomheder over for en omfattende opgave. En opgave som indebærer en række komplekse processer, hvor virksomheder hurtigt kan miste overblikket over aktiviteterne på tværs af afdelinger – især, hvis man anvender Excel. Det kan føre til ineffektivitet og øge risikoen for datatab samt menneskelige fejl, når informationen skifter hænder.
Det er afgørende, at virksomheder forholder sig til deres ambitionsniveau, inden selve arbejdet informationssikkerhed går i gang. Dette niveau danner nemlig grundlaget for hele processen og bør styre, hvor mange ressourcer der dedikeres. Heriblandt valget af de værktøjer og systemer, der er til rådighed for ansvarlige. Virksomheden skal derfor definere dens behov og identificere de ISMS-løsninger, der giver mest mening for dem.
Samtidig er det vigtigt, at virksomheden forholder sig til om løsningen er skalerbare og har kan udvikle sig i takt med organisationens behov for bedre informationssikkerhed. Fleksibiliteten til at tilpasse sig nye trusler og regulative krav vil sikre, at virksomheden forbliver beskyttet i den foranderlige verden af informationssikkerhed.
LÆS OGSÅ: GDPR: Lær af de fejl, andre har begået
