Løft virksomhedens sikkerhedsniveau

 

Sikkerhedsstandard som værktøj

Omfanget af trusler mod virksomheders it-sikkerhed vokser hver eneste dag, men ved en systematisk styring af virksomhedens sikkerhed sikrer man sig, at sikkerhedsniveauet følger med. 

 

Danske virksomheder har typisk brug for at kigge på den internationale it-sikkerhedsstandard ISO 27001 og den danske DS 484.

 

Hvad er en sikkerhedsstandard?

Standarden kan bruges på to måder:

  1. Som et værktøj til at hjælpe virksomheder med at få styr på sikkerheden – uanset om de vil certificeres eller ej
  2. Som mål for virksomheder, der gerne vil certificeres.

 

Erfaringer har vist, at én ting er at få virksomhedens sikkerhed op på et vist niveau, og noget andet er at fastholde sikkerhedsniveauet. Her er styring et afgørende element som det fremgår af nedenstående illustration.

 

En sikkerhedsstyringsproces er derfor omdrejningspunktet for sikkerhedsstandarden. Den sikrer, at virksomheden  

 

  • kommer op på det nødvendige sikkerhedsniveau

 

  • holder øje med sikkerheden (monitorering)

 

  • lærer og bruger erfaringerne i den videre proces, så der sker en løbende forbedring.


Hvad, der er det nødvendige sikkerhedsniveau, er individuelt og afhænger af den enkelte virksomheds krav og behov.

sikkerhedsstyring_web

 

 

Hvorfor følge en it-sikkerhedsstandard?

Virksomheden får en lang række fordele ved at bruge en it-sikkerhedsstandard som værktøj - også selvom virksomheden ikke tager det sidste skridt og lader sig certificere.


Fordelene er blandt andet, at virksomheden

  • får styr på sikkerheden, da den får implementeret en sikkerhedsstyringsproces med løbende monitorering
  • sikrer kundedata og andre følsomme oplysninger
  • reducerer omfanget af svagheder i sikkerheden og dermed risikoen for hændelser, der kan få katastrofale følger
  • får konkrete anbefalinger til løsninger, da standarden henviser til best practice
  • er sikker på at dække alle aspekter af sikkerhedsområdet - antivirus, firewall og sikkerhedspolitik er ikke nok i sig selv!


Hvis virksomheden vælger at blive certificeret, giver det desuden mulighed for at dokumentere sikkerhedsniveauet over for samarbejdspartnere.

 

Hvem har brug for en sikkerhedsstandard?

Typisk er det virksomheder, som har konkrete krav til deres sikkerhedsniveau. Det kan være:

  • Interne krav
  • Eksterne krav fra
    • samarbejdspartnere
    • moderselskab eller ejere
    • lovgivningen.


Det skal understreges, at brugen af sikkerhedsstandard som værktøj ikke kun er relevant for store virksomheder, men i lige så høj grad kan være en nødvendighed for en mindre virksomhed – det afhænger helt af virksomhedens og omgivelsernes krav.

 

Hvordan kommer jeg videre med sikkerhedsarbejdet?

1. Startfasen

Første skridt er at virksomheden får defineret sine krav til sikkerhed og måler hvorvidt dens sikkerhed er i orden.

 

Her tilbyder C2IT en Gabanalyse foretaget af en certificeret ISO 27001 Lead Auditor. Der er tale om en udtømmende gennemgang af sikkerheden på basis af interviews der afdækker, hvordan virksomhedens sikkerhedsniveau ligger i forhold til det nødvendige niveau og hvor der er ”huller”.

Gabanalysen fra C2IT munder ud i en Smiley-rapport, hvor der tildeles en smiley til alle områder og underområder samt en smiley for det samlede indtryk af virksomhedens sikkerhed.

 smiley-forgrening

 

2. Implementeringsfasen

Herefter implementeres de nødvendige aktiviteter for at virksomheden kommer op på det nødvendige sikkerhedsniveau.


Hvis virksomheden ikke selv har kompetencer til selve implementeringen tilbyder C2IT ydelsen Lej en it-sikkerhedschef.

 

3. Monitoreringsfasen

Kontrol og tilbagevendende audits er en forudsætning for at fastholde det nødvendige sikkerhedsniveau. Hvis virksomheden er certificeret, er der decideret krav om, at den gennemfører audits med jævne mellemrum.

 

En certificeret ISO 27001 Lead Auditor kan gennemføre disse tilbagevendende audits. Som ved Gabanalysen leverer C2IT en Smiley-rapport over resultaterne.

 

4. Certificering

C2IT må ikke lave selve certificeringen, men forbereder jeres virksomheder til det og hjælper dem med at fastholde sikkerhedsniveauet.


Selve certificeringen kan laves af blandt andet Bureau Veritas Certification, som har indgået et samarbejde med C2IT.

Bureau Veritas gennemfører også audits, men som certificeringsvirksomhed, må Bureau Veritas Certification i modsætning til C2IT ikke komme med forslag til udbedringer.

 

Læs mere om Bureau Veritas Certification og ISO 27001 i artiklen Fortæl du er excellent – bliv certificeret efter ISO 27001.

 

 

Spørgsmål? 

Hvis du har spørgsmål til ISO 27001, DS 484 eller sikkerhedsstandarder generelt, så kontakt sikkerhedsekspert Bjarke Nielsen hos C2IT allerede i dag.

 

 Du er også meget velkommen til at udfylde vores kontaktformular.