Vi har stillet 3 skarpe spørgsmål til underviserne på Cyber- og Informationssikkerhedsuddannelsen: proces- og implementeringskonsulenten fra Implement, juristen fra Kammeradvokaten/Advokatfirmaet Poul Schmidt og eksperten i ledelsessystemer fra DNV GL. Læs deres bud på, hvordan virksomheder og myndigheder skal forholde sig til informationssikkerhed i deres organisation.
3 skarpe til juristen
Emil Bisgaard
Erhvervsjuridisk rådgiver hos Kammeradvokaten
1. Hvad er det væsentligste i lovgivningen, som du ser, at danske virksomheder og myndigheder bør være særligt opmærksomme på?
Det er gennemgående i lovgivningen, at virksomheder og myndigheder skal arbejde risikobaseret med sikkerhed. Det indebærer, at de skal arbejde kontinuerligt med risikovurderinger, så de løbende og konkret får defineret, hvilke sikkerhedsforanstaltninger der er relevante. I praksis betyder det, at sikkerheden skal indgå i organisationens ”årshjul”, måske endda ”månedshjul”, og at sikkerheden skal være en del af hverdagen i alle dele af organisationen.
2. Hvad er det bedste, man kan gøre, hvis man er i tvivl om, om man lever op til lovgivningen på sikkerhedsområdet?
Ført og fremmest skal man finde ud af, hvilken lovgivning man er omfattet af på området, og forholde sig konkret til de krav, der stilles. Der opstår hurtigt myter om, hvad kravene i fx GDPR indebærer. Derefter skal man finde ud af, hvad man allerede gør på sikkerhedsområdet, så man kan identificere og lukke et eventuelt ”GAP” til lovgivningens krav. Endelig skal man huske på, at det ofte er et krav i lovgivningen, at man skal kunne dokumentere, at der er styr på sikkerheden.
3. Og hvis man tager skridtet videre end blot at leve op til lovgivningen, hvad skal man så især være opmærksom på?
Man skal indse, at der er en rigtig god business case i at få styr på sikkerheden. Sikkerhed er for de fleste en nødvendig del af at drive virksomhed. Mange vil derudover opleve, at den proces, det indebærer at arbejde med sikkerhed og komme i compliance med relevante regelsæt, afstedkommer gode indsigter i ens egen virksomhed. Man får styr på, hvilke data man har, og hvad der er ens kronjuveler. Man får måske også forsimplet nogle aktiviteter, der er blevet meget komplekse.
3 skarpe til proces- og implementeringskonsulenten
Christian Ehlers Mikkelsen
Management Consultant hos Implement
1. Hvordan får man bedst styr på håndtering af informationssikkerhed?
Det handler om at få etableret en forståelse for forretningens risikovillighed og sikkerhedsbehov i ledelsen. Så det starter og slutter med forretningen, for informationssikkerhed er i virkeligheden en støtteservice til forretningen. Hvis man glemmer det, løber det ud i sandet relativt hurtigt, for så har man ikke de nødvendige ressourcer. Hele organisationen herunder også ledelsen og bestyrelsen skal med og eje det. Det skal ikke bo ude i hjørnet af en organisation.
2. Hvilke erfaringer har jeres kunder gjort sig i forbindelse med informationssikkerhed?
På den mest positive side oplever vi, at når man gør det her, bliver organisationen ofte styrket og i stand til at lave forandringer og nye initiativer, man ellers ikke kunne gennemføre. Det kan med andre ord være en effektiv ’enabler’. Man kan sætte noget nyt i gang. Ofte ser vi, at det, der starter som reguleringskrav, medfører, at virksomheden får styr på noget, de gerne ville have haft styr på længe.
3. Hvordan får man maksimal forretningsmæssig effekt ud af det arbejde, lovgivningen pålægger en i forbindelse med informationssikkerhed?
Det er vigtigt at have fokus på den forretningsmæssige værdi, fordi informationssikkerheden hele tiden skal konkurrere med andre vigtige aktiviteter i virksomheden. Man skal vide, hvilken værdi informationssikkerhed bidrager med til forretningen. Hvorfor er det lige, at vi gør det her? Er det et lovkrav, en konkurrencefordel eller en gevinst for vores kunder? Dem, der står med udfordringerne og de største sikkerhedsbrister, er ofte dem, der ikke har formidlet til organisationen, hvorfor, hvornår og hvor informationssikkerhed er vigtigt for forretningen.
3 skarpe til eksperten i ledelsessystemer
Pernille Hansen
Lead Auditor hos DNV GL
1. Hvordan sikrer man bedst, at informationssikkerhed bliver integreret i virksomhedens sikkerhedsarbejde?
Der er to ting, som er rigtig vigtige. Planlægning af arbejdet er den ene. Og så skal man ikke glemme, hvor vigtigt det er, at man har de rigtige mennesker på de rigtige pladser. Det andet er, man får lavet nogle grundige risikovurderinger, så man er sikker på, at man får sat ind de rigtige og mest nødvendige steder. Du kan sagtens skyde med spredehagl og købe dyrt udstyr, men det er langt bedre at sætte ind der, hvor man ved, at man er sårbar.
2. Hvordan kommer man skridtet videre med sikkerhedsarbejdet?
Der er ingen tvivl om, at det er en rigtig god idé at starte med at bede en tredjepart om lave en GAP-analyse. Når man får sådan en gennemgang, kan man hurtigt se, hvor man er sårbar, og hvor man skal sætte ind. Det er altid sundt at få friske øjne på sit eget arbejde, for det kan være meget svært at pege på sig selv.
3. Hvad er dit bedste råd til virksomheder, der skal i gang med at implementere ISO 27001?
Mit bedste råd er at få fundet det certificeringsorgan, man gerne vil bruge, og starte dialogen op tidligt. På den måde får man hurtigt aflivet nogle myter. Mange tror, at en audit er noget kedeligt noget, der skal overstås. Men i virkeligheden kommer vi auditorer for at give værdi til virksomheden. Så se positivt på det – der er masser af viden at hente på en audit.