I en tid, hvor teknologiske fremskridt fejer ind over os med rasende fart, er cybersikkerhed blevet en nødvendighed for organisationer i alle størrelser og brancher. Truslen om datalæk bliver desværre kun mere virkelig for hver eneste dag, og organisation er nødt til at træffe foranstaltninger for at beskytte deres data og dømme op for sårbarheder.
Et af de mest afgørende skridt mod at skabe en robust forsvarslinje mod cybertruslen er at implementere en overordnet IT-sikkerhedspolitik.
Hvad er en IT-sikkerhedspolitik?
En IT-sikkerhedspolitik udgør hjørnestenen i et omfattende sikkerhedsforanstaltningssystem, der arbejder målrettet og strømlinet i hele organisationen.
Politikken definerer klare retningslinjer, procedurer og sikkerhedsforanstaltninger, som er afgørende for at beskytte organisationens aktiver og informationer. Denne politik er udformet til at dæmme op for sårbarheder og lade organisationen operere efter hovedprincipperne for informationssikkerhed - fortrolighed, integritet og tilgængelighed.
Retningslinjerne i IT-sikkerhedspolitikken er skræddersyet til at adressere de specifikke risici, der er forbundet med organisationens område og følger ideelt set ISO 27001, den internationale ledelsesstandard for informationssikkerhed, som en vejledning.
IT-sikkerhed handler ikke kun om teknologi, men også om adfærd og organisatoriske tiltag - IT-sikkerhedspolitikken fastsætter derfor rammerne for organisationens arbejde og klart definerer ansvarlige for at opnå de fastsatte IT-sikkerhedsmål og engagerer alle ansatte i organisationen.
Indhold i din IT-sikkerhedspolitik
Formålet med en it-sikkerhedspolitik er at danne et strategisk overblik over arbejdet, og politikken skal definere målsætninger, placere ansvar og sætte krav til måling af resultater.
For at komme hele vejen rundt bør din IT-sikkerhedspolitik indeholde seks punkter:
- Formål
- Målgruppe
- Målsætning
- Ansvar og ejerskab
- Måling af resultater
- Overtrædelse
Nedenfor gennemgår vi punkterne én for én og kommer med konkrete eksempler på, hvad de kan indeholde.
1) Formål med IT-sikkerhedspolitikken
Først og fremmest skal politikkens formål defineres, og du skal vurdere de risici, du vil fokusere på. I de fleste tilfælde er det helt enkelt at sætte rammerne for, hvordan organisationen styrer og kontrollerer it-sikkerheden.
Formålet kan formuleres:
”Politikken for organisationens it-sikkerhed definerer rammerne for styring og kontrol af it-sikkerheden i XXX (indsæt organisationens navn).”
2) Målgruppen
Næste trin er at definere, hvem i organisationen der berøres af politikken. Ofte vil det være alle ansatte, men det kan være nødvendigt at inkludere eksterne samarbejdspartnere, konsulenter eller lignende, som på den ene eller anden måde har adgang til organisationens it-systemer.
Punktet kan eksempelvis formuleres:
”Politikken for organisationens it-sikkerhed gælder for alle ansatte i XXX samt for alle eksterne samarbejdspartnere, der har adgang til XXXs it-systemer.”
3) Målsætningen for sikkerhedsindsats
Det fundamentale omdrejningspunkt i it-sikkerhedspolitikken er målsætningerne. Med klart definerede mål kan resultaterne vurderes. Derfor er det vigtigt at overveje nøjagtigt, hvilke mål organisationen har, og om de er realistiske at nå.
Formuleringen af din målsætning kan eksempelvis lyde:
”XXX anvender en risikobaseret tilgang til it-sikkerhed. Sikkerhedsniveauet besluttes på grundlag af en forretningsmæssig risiko- og konsekvensanalyse, der som minimum foretages hvert år.”
4) Ansvar og ejerskab
For at sikre it-sikkerhedspolitikkens efterlevelse skal ansvaret placeres på tværs af organisationen. Mens den it-ansvarlige sidder med den daglige drift, er der andre, der også skal have ansvar, hvis arbejdet skal lykkes.
Ansvarsfordelingen kan formuleres:
- Bestyrelsen har det overordnede ansvar for vedtagelse og implementering af informationssikkerheden i XXX.
- Direktionen har ansvar for it-sikkerhedspolitikkens efterlevelse samt uddelegering af specifikke ansvarsområder – herunder ejerskab.
- Ejerskab fastsættes for hvert enkelt kritisk it-system. Ejeren klarlægger nødvendige sikkerhedsforanstaltninger og administrerer dem i forhold til it-sikkerhedspolitikken.
- It-afdelingen har ansvar for rådgivning, koordinering, kontrol og rapportering, og it-afdelingen udarbejder retningslinjer for it-anvendelse i organisationen.
- Den enkelte medarbejder er ansvarlig for at overholde gældende retningslinjer i it-sikkerhedspolitikken.
LÆS OGSÅ: Sådan sikrer du et succesfuld implementering af dit complianceprojekt
5) Måling af resultater
Måling af resultater er en vigtig del af en velfungerende politik for it-sikkerhed, da det sikrer kontinuitet og fremgang. Dette punkt skal ses som et værktøj, der dokumenterer arbejdet med målsætningerne.
Det kan for eksempel se således ud:
”It-afdelingen informerer direktionen om alle væsentlige sikkerhedsbrud, ligesom der årligt afleveres en statusrapport. Direktionen behandler statusrapporten og rapporterer til bestyrelsen.”
6) Overtrædelse af politikken
Det sidste punkt i It-sikkerhedspolitikken handler om, hvad der skal ske ved bevidst overtrædelse af reglerne. Det skal både være tydeligt, om overtrædelse kan medføre sanktioner, og hvem der har ansvaret for at følge overtrædelserne til dørs. Det kan eksempelvis være HR-afdelingen.
Punktet om overtrædelse kan formuleres:
”Forsætlig overtrædelse af it-sikkerhedspolitikken rapporteres af it-afdelingen til HR-afdelingen samt nærmeste leder. Overtrædelse af politikken eller de understøttende retningslinjer for it-anvendelse kan føre til sanktioner og få ansættelsesretlige konsekvenser."
LÆS OGSÅ: Sådan kommer du i gang med at blive ISO 27001-certificeret
