Informationssikkerhed (ISO 27000-serien)
I takt med digitaliseringen af forretningsgange er risikoen for databrud, cyberangreb og IT-relateret kriminalitet steget markant. Det medfører et øget behov for fokus på informationssikkerhed da det kan få store konsekvenser hvis sikkerheden kompromitteres. Foruden erstatningskrav og bøder, kan det få negative konsekvenser for din virksomheds forretningsgange, troværdighed og renommé, hvis ikke der er styr på informationssikkerheden. For at beskytte din virksomheds informationer hjælper ChangeGroup med at gennemføre en risikovurdering af dine informationsaktiver, samt udarbejde en strategi for implementering, styring og vedligeholdelse af et passende informationssikkerhedsniveau jf. ISO 27000-serien.
Bo Kinch Andersen
Styring af informationssikkerhed
Informationssikkerhed er et systematisk arbejde med at sikre fortroligheden, integriteten og tilgængeligheden af forretningskritiske informationer. Ved at benytte en risikobaseret tilgang, som fx ISO 27000-serien lægger op til, opnår din virksomhed ledelsesmæssig transparens i hvordan ressourcer til sikkerhed anvendes og at ressourcerne anvendes hvor effekten er størst.
Når din virksomhed implementerer en standard for informationssikkerhed fx ISO 27000-serien, arbejder I med etablering, implementering, vedligeholdelse og løbende forbedring af et effektivt kontrolmiljø til beskyttelse af jeres informationer. Arbejdet med informationssikkerhed organiseres og styres ved hjælp af et ledelsessystem (ISMS), som bl.a. består af politikker, retningslinjer og andre kontrolforanstaltninger. Et centralt element i ledelsessystemet er risikoprocessen (fx baseret på ISO 27005), som danner grundlag for prioritering og handleplaner. Informationssikkerhed baseret på fx ISO 27000-serien skaber værdi ved at:
- Lægge sig op ad internationale standarder og dermed best practice
- Kortlægge, risikovurdere og beskytte jeres informationer i forhold til deres værdi, dvs. (1) beskyttet fra uvedkommende, (2) korrekte og kun mulige at ændre af autoriserede personer og (3) tilgængelige for autoriserede personer
Sikkerhed giver flere kunder
Informationssikkerhed bliver en konkurrenceparameter. Det kan få negative konsekvenser, både økonomisk og for din virksomheds renommé, hvis ikke der er styr på informationssikkerheden. Hvis kunder, brugere, eller leverandører ikke har tillid til din virksomheds informationssikkerhed, er de mindre villige til at dele informationer og indgå samarbejde. Passende informationssikkerhed kan betyde større tillid og i sidste ende flere kunder.
Virksomheder der arbejder med styring og vedligeholdelse af informationssikkerheden kan opnå nogle af disse fordele:
- Bevare eksisterende kunder og vinde nye
- Beskytte og øge troværdighed og renommé
- Undgå erstatningskrav og bøder, fx fra EU persondataforordningen (GDPR)
- Omkostningsreduktion pga. forbedrede processer, færre nedbrud og sikkerhedsmæssige hændelser
- Overholdelse af kommercielle, kontraktuelle og lovgivningsmæssige forpligtelser
Informationssikkerhed er ikke et IT problem. Det er et organisatorisk problem, der også omfatter IT.
Andy Krüger, rådgiver om data- og informationssikkerhed hos ChangeGroup
Få styr på informationssikkerheden
Gennem en 4 trins implementeringsmodel tager vi din virksomhed sikkert igennem risikoprocessen, hjælper med at prioritere risikobilledet og sikrer at I opnår et passende informationssikkerhedsniveau.
Trin 1: Foranalyse
For at komme i gang med risikovurderingen er det vigtigt at afklare mål for projektet, scope samt afstemme forventninger. En rådgiver fra ChangeGroup hjælper med at analysere og kortlægge virksomhedens sikkerhedsmål og rammer ud fra forretningsstrategi og målsætninger. Foranalysen skaber afsæt for etablering af et sikkerhedsudvalg samt afklaring af mål for informationssikkerhed og dermed risikovurderingen.
Trin 2: Risikovurdering
Vi kortlægger din virksomheds informationssikkerhedsrisici i samarbejde med procesejere, systemejere, platformsejere og brugere inden for rammerne og de foruddefinerede kriterier. Analysen klarlægger risikobilledet med prioriteret liste over risici.
Trin 3: Udarbejdelse af risikohåndteringsplan
Efter analysen udarbejder vi en plan for håndtering af dine risici ud fra et cost / benefit perspektiv og din sikkerhedsmålsætning. Det indebærer bl.a. afklaring af om den enkelte risiko skal accepteres, flyttes, helt undgås eller inddæmmes yderligere, fx ved hjælp af kontroller fra ISO 27000 kontrolkatalog.
Trin 4: Implementering og forankring
Planen fødes ind i implementeringsprojektet, som eksekveres gennem fokus på projektledelse og forandringsledelse, der sikrer at målsætninger realiseres. Vi arbejder med virksomhedens processer, arbejdsgange, politikker, retningslinjer og kontroller. Gennem fokus på forandringsledelse skaber vi en kulturforandring omkring håndtering af informationssikkerhed og sikrer høj forankring af det nye årshjul i organisationen.
Trin 5: Opretholdelse af niveau
I forbindelse med styring og vedligeholdelse af et passende informationssikkerhedsniveau jf. ISO 27000-serien er det et krav, at man løbende opretholder et passende niveau af kompetencer og ressourcer inden for informationssikkerhed. I den forbindelse tilbyder vi løbende uddannelse af dine medarbejdere gennem vores virksomhedskurser ISO 27001 med PECBs Foundation-kursus eller vores PECBs kursus i NIS2-direktiv Lead Implementer.
Øg informationssikkerheden sammen med os
Hos ChangeGroup hjælper vi flere kunder med at beskytte deres virksomheds informationer. 150 af vores dygtige konsulenter er bl.a. certificeret i EU persondataforordningen. Vores rådgivere og subject matter eksperter hjælper med at udarbejde en risikovurdering der kortlægger informationssikkerhedsrisici. Det skaber et solidt afsæt for din sikkerhedsstrategi, samt effektiv udnyttelse af ressourcer i de områder hvor din virksomhed er mest sårbar, jf. ISO 27000-serien.