Af TECH RELATIONS
Artiklen er sponseret af Dansk Standard.

Sikkerhedschef: Ensidigt fokus på hackerangreb kan overskygge større trusler mod virksomheders informationssikkerhed

17. august 2020 kl. 12:00
Sikkerhedschef: Ensidigt fokus på hackerangreb kan overskygge større trusler mod virksomheders informationssikkerhed
Illustration: Big Stock.
Informationssikkerhed handler om langt mere end blot beskyttelse mod udefrakommende angreb, men særligt små og mellemstore virksomheder har en tendens til at underprioritere vigtigere aspekter af informationssikkerhed, og det kan få alvorlige konsekvenser, advarer sikkerhedsekspert.

Illustration: Big Stock.

I de seneste år har der været stor fokus på cybersikkerhed og beskyttelse af informationer – ikke mindst på grund af indførelsen af Persondataforordningen – men trods dette er mange virksomheder ikke sikrede mod selv de mest basale sikkerhedshændelser. Det mener Rasmus Theede, der er selvstændig sikkerhedskonsulent med en fortid som sikkerhedsansvarlig i virksomheder som Mærsk, KMD og CSC og tidligere formand for Rådet for Digital Sikkerhed.

Illustration: Privatfoto.
"Et typisk eksempel er, at virksomheden har anskaffet nogle basale kontroller som antivirussoftware og en firewall, og så tror man, at man er sikret...", udtaler Rasmus Theede

”Jeg oplever ofte, at der mangler helt elementære sikkerhedskontroller. Man har simpelthen ikke tænkt over informationssikkerheden, og det bunder generelt i manglende tid og forståelse. Det gælder især for mindre virksomheder uden egen sikkerhedsafdeling, men også mellemstore og større virksomheder har en tendens til at underprioritere informationssikkerhed,” siger han.

Standarder for informationssikkerhed og risikostyring

Der findes flere standarder for informationssikkerhed og risikostyring, herunder ISO/IEC 27001, 27002 og 27005. Fordelen ved at benytte standarder er ifølge chefkonsulent i Dansk Standard Anders Linde, at man – foruden at sikre informationer – arbejder ud fra en fælles, international best practice og derfor kan dokumentere over for kunder og myndigheder, at man overholder kravene til informationssikkerhed.

ISO 27001: International standard for informationssikkerhed. Opstiller blandt andet krav til risikostyring, dokumentation af processer samt fordeling af roller og ansvar for informationssikkerhed.

ISO 27002: Vejledning i implementering af informationssikkerhedskontroller.

ISO 27005: Vejledning i risikoledelse for informationssikkerhed.

De fleste sikkerhedshændelser sker internt

Det grundlæggende problem, mener sikkerhedseksperten, er, at overvejelser om informationssikkerhed ofte ikke indgår i risikostyringen på linje med eksempelvis markedsrisici og operationelle risici.

”Et typisk eksempel er, at virksomheden har anskaffet nogle basale kontroller som antivirussoftware og en firewall, og så tror man, at man er sikret. Der er en tendens til at fokusere på hackertruslen, da det er disse angreb, vi hører om i medierne, men langt de fleste brud på informationssikkerheden sker faktisk internt, fordi en medarbejder for eksempel kommer til at slette en database eller klikke på et link med ransomware. Det kan føre til store økonomiske tab og svække virksomhedens omdømme,” siger Rasmus Theede.
Han understreger, at det ikke er nok at købe et stykke sikkerhedssoftware. At sikre information kræver også uddannelse af medarbejdere, rapportering, revision, osv.

”For de fleste virksomheder er det ikke højeste prioritet at sikre sig mod målrettede angreb fra Rusland eller Kina. For at finde ud af, hvilke risici der skal nedbringes, og hvilke der kan accepteres, er man nødt til at gennemføre en grundig vurdering af de potentielle trusler, sandsynligheden for at blive ramt og konsekvenserne af et brud på sikkerheden,” forklarer sikkerhedskonsulenten.

Risikostyring kobler informationssikkerhed til forretningen

For fem år siden var udfordringen at få organisationer til at forstå vigtigheden af informationssikkerhed, men i dag er udfordringen snarere at forstå, hvordan man i praksis sikrer informationer, siger Anders Linde, chefkonsulent i Dansk Standard. Illustration: Dansk Standard.

For en mindre eller mellemstor virksomhed uden en sikkerhedsafdeling kan det være komplekst at navigere i det evigt omskiftelige digitale landskab, men det behøver ikke være svært at inddrage informationssikkerhed i risikostyringen, mener Rasmus Theede, der opfordrer til, at man begynder i det små ved blandt andet at sørge for regelmæssig backup og opdaterede systemer. Han råder også virksomheder til at konsultere standarder for informationssikkerhed og risikostyring.

Dansk Standard, som rådgiver virksomheder om arbejdet med standarder, oplever ligesom Rasmus Theede, at risikostyring er den største hurdle for mange virksomheder.


”For fem år siden var udfordringen at få organisationer til at forstå vigtigheden af informationssikkerhed, men i dag er udfordringen snarere at forstå, hvordan man i praksis sikrer informationer. Her er risikostyring et afgørende skridt,” siger Anders Linde, der er chefkonsulent i Dansk Standard, og uddyber:

”Risikovurderingen kobler informationssikkerhed til forretningen. Det er en cost-benefit-analyse, hvor man finder ud af, hvor man skal lægge sine kræfter. Derfor er det vigtigt at involvere hele forretningen i processen og løbende følge op på risikobilledet. Det kræver tid og ressourcer, men det er godt givet ud, hvis man vil sikre sig mod de enorme tab, der kan være forbundet med en sikkerhedshændelse.”

Klik her og tilmeld dig Dansk Standards MorgenBriefing om cybersikkerhed og risikostyring.

Vil du vide mere om cybersikkerhed og risikostyring?

Bliv klogere på, hvordan værktøjskassen af nye standarder understøtter virksomhedens arbejde med beskyttelse af data, herunder privatlivsbeskyttelse, risikostyring og valg af tekniske foranstaltninger.

Deltag i Dansk Standards online MorgenBriefing den 22. september

Tilmeld dig her

Emner
Omtalte virksomheder
Debatten er slået fra på dette indhold 

Fortsæt din læsning