Sponseret indhold

Informationssikkerhed: Små og mellemstore virksomheder halter efter

Cyberangreb er en af de største trusler mod danske virksomheder, men mange SMV’er forholder sig ikke struktureret til informationssikkerhed. Heller ikke, selvom det er et krav fra flere kunders side. Et ledelsessystem kan give både tryghed og konkurrencefordele, mener dansk it-virksomhed.

Af TECH RELATIONS for Dansk Standard
»Vi oplever, at flere og flere kunder kræver, at vi har et informationssikkerhedssystem, og at vi kan fremvise dokumentation for det. Samtidig er systemet en nødvendig intern sikkerhedsforanstaltning. Det er en forsikring og et vigtigt konkurrenceparameter for os,« fortæller Christian Tange, Partner i Dain Partner og tidligere CFO i it-virksomheden Agillic. Illustration: Unsplash

Kravene til virksomheders håndtering af data bliver skrappere år for år. Vil man være leveringsdygtig til den offentlige sektor, skal man efterhånden kunne dokumentere, at man følger principperne i ISO/IEC 27001-standarden.

Alligevel afholder mange små og mellemstore virksomheder sig fra at arbejde struktureret med informationssikkerhed. Af Erhvervsstyrelsens rapport ‘IT-sikkerhed og datahåndtering i danske SMV’er’ fremgår det blandt andet, at knap en fjerdedel af alle danske SMV’er ikke har implementeret essentielle it-sikkerhedsforanstaltninger, herunder systematisk backup.

Det kan dels skyldes manglende viden om, hvad informationssikkerhed indebærer, dels manglende ressourcer, men man bør ikke udelukkende betragte implementering af sikkerhedsprocedurer som en udgift. Det mener Christian Tange, partner i Dain Partners og tidligere CFO i it-virksomheden Agillic, som har implementeret et ledelsessystem til informationssikkerhed, der bygger på ISO/IEC 27001-standarden.

»Vi oplever, at flere og flere kunder kræver, at vi har et informationssikkerhedssystem, og at vi kan fremvise dokumentation for det. Samtidig er systemet en nødvendig intern sikkerhedsforanstaltning. Det er en forsikring og et vigtigt konkurrenceparameter for os,« fortæller han.

Begynd med en risikovurdering

Selvom et ledelsessystem for informationssikkerhed kan give en økonomisk gevinst, kan det også udvikle sig til et papirhelvede, hvis det gribes forkert an. Christian Tange har erfaret, at det bedste udgangspunkt er et scope, som er tilpasset virksomhedens behov. Er man for ambitiøs, kræver det for mange ressourcer at bruge systemet, og det kan ende med ikke at blive brugt.

Ifølge Dansk Standard, som rådgiver virksomheder om arbejdet med standarder, er et af de første skridt at foretage en risikovurdering, hvor man evaluerer de trusler, virksomheden er udsat for, herunder sandsynligheden for at blive ramt og konsekvenserne af et angreb.

»Risikovurderingen er en grundlæggende øvelse, som alle virksomheder bør foretage, uanset om de har tænkt sig at arbejde med en standard eller ej,« mener Anders Linde, chefkonsulent i Dansk Standard. Han anbefaler virksomheder at konsultere sikkerdigital.dk for at få inspiration til, hvordan man laver en risikovurdering.

Alle udsættes for angreb

Ved at implementere en informationssikkerhedsstandard er man ikke blot i stand til at dokumentere over for kunder og myndigheder, at man lever op til krav og lovgivning. Man styrker også beredskabet mod de cyberangreb, som virksomheder, store som små, udsættes for: ransomware, industrispionage, tab af fortrolighed, driftsstop osv.

Der hersker imidlertid en forestilling om, at altødelæggende cyberangreb er noget, som kun større organisationer bør finde ressourcer til at værne sig mod. Men det er en myte, mener Anders Linde.

»Det er sandt, at større, succesfulde virksomheder kan have mere avancerede trusselscenarier at bekymre sig om – f.eks. industrispionage, som ofte er målrettet virksomhedens kendte værdier. Men mange af de angreb, som kan kompromittere virksomheders data, er netop ikke målrettede. Der skydes med spredehagl for at finde sårbarheder, og man vil blive udsat for angreb før eller siden,« forklarer chefkonsulenten.

Det kan være noget så simpelt som afarter af de berygtede Nigeria-breve, som på et ringe dansk informerer om, at man har arvet en større sum penge fra en afrikansk prins. De moderne versioner af Nigeria-brevene er langt mere professionelle i indhold og form – velkendte eksempler er dansksprogede mails fra banker, myndigheder eller streamingtjenester.

»Angrebene fortsætter, så længe nogen hopper på limpinden, og selvom de fleste forstår, at det er fup, kan en enkelt uopmærksom medarbejder være nok til at lægge virksomheden ned. Det er blandt andet den slags, man beskytter sig mod, når man formaliserer arbejdet med informationssikkerhed,« siger Anders Linde.

Læs mere om Dansk Standards arbejde med Informationssikkerhed her.