Med fire konkrete steps får du her opskriften på, hvordan I kommer godt i mål med jeres it-sikkerhed – uden hverken at gøre for lidt eller for meget ud af det.
Når det kommer til it-sikkerhed, er kontekst Kongen. Ingen virksomheder er ens og derfor bør I tilpasse jeres it-sikkerhedsindsats til den virkelighed, I befinder jer i. It-sikkerhed handler om at reducere it-relaterede sårbarheder overfor de it-relaterede trusler, I står overfor. De sårbarheder og trusler vil unægteligt være præget af, hvilken type virksomhed I er, branchen I befinder jer i, de informationer I opbevarer og de it-løsninger i benytter. Ved at fokuserer indsatsen, der hvor jeres trusler er størst, får I mest it-sikkerhed for pengene.
Kom rigtig fra start
Som I måske har opdaget, så findes der ikke et quick fix på it-compliance. Det kan være frustrerende, når jeres it-leverandører, kunder og myndigheder “råber” på, at I skal etablere persondata-, cyber-, forsyningskæde- og it-sikkerhedsprocesser med tilhørende dokumentation, politikker, procedurer og strategier (suk).
Til gengæld findes der et smart fix – eller i hvert fald en måde at gribe arbejdet an på, som sikrer at jeres it-sikkerhed bliver cirkulær og bæredygtig – også i takt med at jeres virksomhed og omverden udvikler sig.
Den gode proces for it-sikkerhed
Det første I IKKE skal gøre, er at kaste jer over en risikostyring baseret på hvilken vej vinden blæser lige den dag. I stedet skal I starte med Step 1 – Udarbejd en tilstandsrapport og strategi for it-sikkerhedsindsatsen i jeres virksomhed (se nedenstående model). Dvs. at I skal afdække tilstanden for jeres it-sikkerhed og med afsæt i den lægge en strategi for jeres it-sikkerhedsindsats. Ved at starte arbejdet på et mere overordnet og strategisk niveau bliver det muligt for ledelse og bestyrelse at tage ejerskab for it-sikkerhedsindsatsen. Og det vil bidrage til, at I får tilpasset it-sikkerhedsindsatsen til jeres unikke trusler nu og i fremtiden.
Når I er godt i mål med step 1, har I de bedste forudsætninger for at arbejde målrettet med
Step 2 – jeres risikostyring. Derfra kan I fortsætte med Step 3 – Implementeringen af de tekniske og organisatoriske foranstaltninger, som risikostyringen peger på.
Og fordi I kom rigtig fra start med Step 1 kan I, i Step 4 – genbesøge og opdatere tilstandsrapporten, så den til alle tider afspejler jeres it-sikkerheds nutidige tilstand og dermed også udgør grundlaget for ledelsens strategiske styring af processen.
Figur 1: Lakeside model til realisering af IT-sikkerhed.
Modellen illustrerer to cirkulærer processer for det gode arbejde med it-sikkerhed. Det første tilbageløb fra Step 3 til 2 udføres med en frekvens, der er tilpasset arbejdet med risikoanalysen – eksempelvis kvartalvis. Det andet tilbageløb mellem Step 4 og 2 udføres med den frekvens, som ledelsen og bestyrelsen har it-sikkerhed på dagsordenen – eksempelvis årligt. Med denne proces, vil arbejdet med jeres it-sikkerhed blive cirkulær og bæredygtig og med tiden vil det kræve færre ressourcer at opretholde jeres it-sikkerhedsproces. Alt sammen, fordi I kom rigtig fra start.
I det næste afsnit udfolder vi Step 1 og konkretisere, hvordan I udarbejder en tilstandsrapport og strategi, der er tilpasset jeres virkelighed.
Tilstandsrapport og strategi for it-sikkerhed
Nedenstående figur illustrerer de tre overordnede elementer, som I skal have med i jeres tilstandsrapport: 1) En kortlægning af jeres it-sikkerhedstilstand, 2) en inititel vurdering af sårbarheder og 3) en strategi for jeres it-sikkerhedsindsats.
Figur 2: Elementer i udarbejdelsen af tilstandsrapport og strategi for sikkerhedsindsatsen
Kortlæg jeres it-sikkerhedstilstand
Kortlægningen består af fem elementer. I bør forholde jer til dem alle og vurdere, hvilke og hvordan de er relevante for jeres virksomhed. Det er i kortlægningen, at I lægger fundamentet for at tilpasse jeres it-sikkerhed til lige netop jeres virkelighed.
Kortlæg jeres primære virksomhedsaktiver
Det vil sige de forretningskritiske processer og de tilhørende informationer, som er vigtige for jer at beskytte.
Kortlæg fortrolige og personfølsomme data
Fortrolige data er data, som I ikke må miste eller videregive til konkurrenter og kunder. Dvs. data som er vigtig for jeres konkurrencesituation. Personfølsomme data er information vedr. jeres kunder og ansatte mht. alder, køn, seksuel orientering, religion og sundhed.
Se infografik over klassifikation af data og deres grad af følsomhed her.
Kortlæg jeres interne og eksterne it-landskab
Det vil sige de it-løsninger og den it-infrastruktur I benytter og som understøtter jeres virksomhedsaktiver. Lav som minimum:
- En liste med de interne og eksterne it- applikationer I benytter. Til hver it-applikation skal I specificere de forretningskritiske processer, informationer og personfølsomme informationer, som applikationen behandler eller opbevarer.
- Et overblik over hvilke informationer I udveksler med andre løsninger og hvilke løsninger, der er outsourcet til underleverandører.
Kortlæg eksterne krav som I er underlagt
I bør som minimum forholde jer til krav fra:
- GDPR (på dansk Persondataforordningen). GDPR står for General Data Protection Regulation, og er en lovgivning, som er indført af EU. Helt konkret handler persondataforordningen om, at I skal have styr på sikkerheden af de personoplysninger, som jeres virksomhed behandler.
- Net- og Informationssikkerhedsdirektiv (NIS2-direktivet). Virksomheder der er underlagt NIS2, skal lave en vurdering af risici for samfundet. Dvs. at en NIS2-risikovurdering ikke omhandler virksomhedens risici, men derimod de risici og konsekvenser, som samfundet har ved angreb på virksomheden.
- Kontraktuelle krav til og fra kunder og leverandører. Eksempelvis krav i forhold til forsyningssikkerhed, oppetid, ansvar eller ISO 27000 certificering.
Kortlæg eksisterende sikkerhedspolitikker, -procedurer og -retningslinjer
Det vil sige sikkerhedspolitikker som fx politikker for sikre passwords, brugerrettigheder, segmentering af netværk, opdatering af software, backup og logning. Procedurer og retningslinjer beskriver, hvordan sikkerhedspolitikkerne er implementeret i jeres virksomhed.
Initiel vurdering af jeres sårbarheder
Baseret på ovenstående kortlægning laver I en initiel vurdering af jeres sårbarheder. Hvor er hullerne i jeres it-sikkerheds ost så at sige? Vær opmærksom på, at jeres it-landskab kan have en række sårbarheder, hvoraf nogle kan være fjernet via eksisterende sikkerhedsprocedure.
Jeres it-sikkerhedsindsats skal fokusere på at beskytte jeres primære aktiver samt fortrolige og personfølsomme data. Samtidig skal indsatsen sikre at I lever op til de eksterne krav, som jeres virksomhed er underlagt. Som minimum bør I forholde jer til om jeres sikkerhedsprocedure lever op til best practice fra Center for Cybersikkerhed.
Strategi for jeres it-sikkerhedsindsats
Med udgangspunkt i kortlægningen og vurderingen af jeres sårbarheder udarbejder I en strategi for it-sikkerhedsindsatsen. Strategien bør definere:
- de overordnede mål som indsatsen sigter mod at opnå
- en styringsstruktur med klare roller og ansvar
- metoder og værktøjer som skal benyttes
- plan eller årshjul for arbejdet.
