ANNONCE

Cyberkriminalitet er den største bekymring for 85 procent af de danske topledere, som har langt større fokus på datasikkerhed end tidligere.

Virksomheder bliver bedre til at beskytte sine informationer. Gør du?

At få styr på cyber- og informationssikkerhed kan virke uoverskueligt for mange virksomheder. Ingen kan gøre alt, så det handler om at gøre det klogeste, lyder det fra eksperterne, som også har et værktøj, der kan hjælpe.

Mængden af data, som danske virksomheder genererer, håndterer og opbevarer, vokser med lynets hast. Ifølge eksperter stiger virksomhedernes datamængde med hele 61 procent hvert år. Dermed bliver behovet for databeskyttelse også større, og i PWC’s ”CEO Survey 2019” svarer 85 pct. af de danske topledere, at deres største bekymring er cybertrusler.

Mængden af data, som danske virksomheder genererer, håndterer og opbevarer, vokser med lynets hast. Ifølge eksperter stiger virksomhedernes datamængde med hele 61 procent hvert år. Dermed bliver behovet for databeskyttelse også større, og i PWC’s ”CEO Survey 2019” svarer 85 pct. af de danske topledere, at deres største bekymring er cybertrusler.

”Virksomhederne forstår, at det er afgørende for deres forretning at have styr på cyber- og informationssikkerhed, og det fylder langt mere på direktionsgangen. I takt med at digitaliseringen øges, er de kriminelle nemlig fulgt med over i cyberspace, og det giver nye og andre risici end tidligere,” siger Anders Linde, chefkonsulent i Dansk Standard.

Netop standarder kan være et nyttigt værktøj for virksomheder til at strukturere og dokumentere deres arbejde med risikostyring, it-sikkerhed og databeskyttelse.

”Alle virksomheder – uanset størrelse – bør kortlægge, hvilke informationer de har, og hvordan de behandler dem. Men ingen kan ikke gøre alt, og derfor handler det om at gøre det klogeste,” siger Anders Linde, der anbefaler virksomheder at spørge sig selv: Hvad er vi sat i verden for at lave? Hvordan ser vores kerneprocesser ud, hvilke informationer er nødvendige for at lykkes, og hvad bekymrer os allermest?

”Det er vigtigt at gøre sig klart, om der er noget, der kan ramme virksomheden, som betyder, at informationer går tabt, bliver ukorrekte eller falder i hænderne på nogen, der ikke skal have adgang til dem.”

 

Standarder strukturerer sikkerheden

Det er vidt forskelligt, hvilke data der er vitale for forretningen, og dermed hvilken risikostyring der er behov for. For virksomheder, der f.eks. sælger nøgleringe eller joggingtøj, er det måske kunder og leverandørers kontakt- og betalingsinformation, der er vigtigst at beskytte. Mens virksomheder, der sælger avanceret sikkerhedsudstyr eller intelligent beklædning, som kan gå på nettet, må have endnu større fokus på produktsikkerhed, f.eks. at de indsamlede data er korrekte og ikke er tilgængelige for uvedkommende.

”Det er især standarden ISO 27001 om cyber- og informationssikkerhed, der kan hjælpe virksomheder med at strukturere og dokumentere deres indsats. Hele den offentlige sektor er underlagt denne standard, men den er relevant for både små og store, offentlige og private organisationer. Og man behøver ikke lade sig certificere, men kan nøjes med at følge principperne i standarden og bruge den som værktøj til bedre at beskytte sine data og prioritere sin indsats,” forklarer Anders Linde.

Det er afgørende, at virksomhedens it-sikkerhedsledelse tager udgangspunkt i forretningen og i slutbrugernes virkelighed, mener Jens Jakob Andersen fra Cobham SATCOM.

 

It-sikkerhedsledelse er en vedvarende indsats

En af de virksomheder, der har stor erfaring i at arbejde med ISO 27001 og andre standarder, er Cobham SATCOM, der leverer og supporterer satellit- og radiokommunikationsudstyr til fly, skibe, rumfart og forsvaret.

”Man skal huske, at standarder er en målestok og ikke en handlingsplan. Det nytter ikke at gennemgå standarden, skrive en flot manual og smide den i en skuffe. It-sikkerhedsledelse er et vedvarende arbejde, som bør implementeres som en naturlig del af den generelle ledelse,” siger Jens Jakob Andersen, Global SHE Lead & cybersecurity SME.

Som leverandør til meget regulerede industrier, hvor kravene kan betyde forskellen på liv og død, er Cobham SATCOM underlagt en lang række standarder, og virksomheden arbejder med en risikobaseret tilgang, hvor trusler, sårbarheder og angrebsvektorer løbende bliver analyseret.

”Men det virker ikke at slå op på side 1 og arbejde sig igennem standarden derfra. Man må starte med virksomhedens præmis og de risici-scenarier, der er relevante for slutbrugerne. I de maritime produkter er det f.eks. vigtigt at tænke sømanden på havet og hans arbejdsforhold ind i valget af sikkerhedsforanstaltninger. Man kan ikke låse for adgangen til kritisk kommunikationsudstyr midt i en hård kuling, fordi kodeordet er indtastet forkert tre gange i træk,” forklarer Jens Jakob Andersen og tilføjer:

”Den sikkerhed, vi skaber med vores produkter, skal rammer plet i hverdagen, så den bliver brugt. Uden at tænke slutbrugerne ind i sikkerhedsarbejdet, er der alt for stor risiko for at lave løsninger, som ikke bliver anvendt, eller måske endda bliver omgået. Det handler dels om at implementere it-sikkerhedsledelse på et niveau, der fungerer, dels om at gøre alle til ambassadører for god sikkerhed. For den gode sikkerhed skabes i hverdagen og i alle virksomhedens lag – ikke kun på direktionsgangen,” fastslår han.

Arbejdet med cyber- og informationssikkerhed kan virke uoverskueligt for især mindre virksomheder. Men der er hjælp at hente i standarder, pointerer Anders Linde, chefkonsulent hos Dansk Standard.

 

Få hjælp til større it-sikkerhed

Cyber- og informationssikkerhed strækker sig altså ud over hele virksomheden – og også ud over it.

”En stor del af opgaven handler om at lære sine medarbejdere god adfærd, f.eks. at man ikke må klikke på alle links eller have fortrolige data stående frit tilgængeligt. Derfor handler ISO 27001 heller ikke kun om it, men også om noget så lavpraktisk som lås på arkivskabe og retningslinjer for medarbejdere,” siger Anders Linde.

Han råder virksomheder, der gerne vil have bedre styr på deres cyber- og informationssikkerhed til at hente hjælp på sikkerdigital.dk og sikkerhedstjekket.dk – og at tilmelde sig Dansk Standards Morgenbriefing den 2. april, som sætter fokus på, hvordan mindre virksomhed med begrænsede ressourcer kan få styr på data- og it-sikkerheden i produkter, tjenester og processer.

Se mere på ds.dk/morgenbriefing

Dansk standard
Göteborg Plads 1 
2150 Nordhavn