Informationssikkerhed som strategisk fundament

Styrk informationssikkerheden med en integreret tilgang til teknologi, mennesker og forretning

Informationssikkerhed er blevet en kritisk del af nutidens forretningslandskab, og for mange virksomheder er det en udfordring at navigere i de mange krav og direktiver, der skal sikre deres datasikkerhed og modstandsdygtighed over for trusler. Hvis du vil opnå en holdbar informationssikkerhedsstruktur i din virksomhed, kræver det en integreret tilgang, hvor teknologi, mennesker og forretningsmål sammentænkes fra begyndelsen.

Mennesker, adfærd og forandringsledelse

Selvom tekniske løsninger spiller en væsentlig rolle i informationssikkerhed, må du ikke undervurdere betydningen af medarbejderes adfærd og bevidsthed. Uden den rette kultur og forståelse kan selv de mest avancerede systemer og processer risikere at svigte. Derfor er ledelsens rolle og medarbejdernes engagement afgørende. At skabe en informationssikkerhedspositur, der favner adfærd, træning og sikkerhedskultur, er ofte nøglen til en velfungerende sikkerhedsstrategi.

"Min erfaring viser, at tekniske løsninger alene ikke skaber den nødvendige sikkerhed. Uden en tilsvarende fokus på medarbejdernes adfærd og forståelse for sikkerhed er teknologien i sig selv ikke nok. For at skabe reel værdi og modstandsdygtighed må informationssikkerhed forankres i hele organisationen – fra systemer til kultur og daglig praksis."

Thomas Hæstrup

Thomas Hæstrup
Senior konsulent i informationssikkerhed, kaastrup|andersen

 

Informationssikkerhed som ledelsesansvar

Informationssikkerhed er ikke kun en teknisk opgave, men et strategisk ledelsesansvar. Ledelsen skal sikre, at der er tilstrækkelige ressourcer og opbakning til at etablere og vedligeholde et effektivt ISMS (Information Security Management System). Dette kræver, at du aktivt fremmer en sikkerhedskultur, hvor alle medarbejdere forstår deres rolle i at beskytte organisationens informationer og arbejder i overensstemmelse med sikkerhedsprocedurerne.

Fra ledelsen til teknologien: Informationssikkerhed som et fælles ansvar

Når informationssikkerhed betragtes som en fælles opgave på tværs af organisationen – fra ledelsen til den enkelte medarbejder – skaber du en sikkerhedsstruktur, der ikke blot er teknisk funderet, men også organisatorisk og kulturelt forankret. Med en sådan tilgang kan du bedre beskytte virksomhedens aktiver og data, samtidig med at du sikrer compliance med gældende lovgivning og direktiver.

Sådan griber vi projektledelsen an

At lede et informationssikkerhedsprojekt kræver en struktureret og strategisk tilgang. Her er de centrale trin, vi følger:

Business Case: I samarbejde med virksomheden udarbejder eller tryktester vi business casen, der tydeligt skal beskrive projektets formål, forventede fordele, omkostninger og risici. Dette dokument er afgørende for at sikre ledelsens opbakning og ressourcer, og for udarbejdelsen af det rette scope.

Scope: Vi hjælper med at definerer opgavens omfang (scope) ved at identificere de specifikke mål, forventede leverancer og afgræsninger, der giver den bedste værdi for pengene i forhold til business casen. Dette trin sikrer, at alle parter har en fælles forståelse af, hvad projektet indebærer. Scopet vil med stor sandsynlighed skulle reevalueres løbende, når der bliver klarhed over virksomhedens informationsaktiver og processer.

Interessentanalyse: Vi gennemfører en interessentanalyse for at identificere alle relevante interessenter og deres forventninger. Dette skaber forudsætning for at lave en målrettet og værdifuld GAP-analyse, og danner grundlag for en effektiv planlægning af indsatser efterfølgende.

GAP-analyse: Vi vurderer virksomhedens nuværende compliance-status og modenhedsniveau inden for informationssikkerhed. Denne vurdering danner grundlaget for at identificere huller og prioritere indsatsen. Vi vil typisk tage udgangspunkt i ISO 27001, da denne standard dækker alle facetter af informationssikkerhed.

Road map og planlægning af indsatser: Vi hjælper med at udvikle et road map, der skitserer de forskellige indsatser i projektet, fra planlægning til implementering og overdragelse til drift. Planen bør have klare mål og milepæle, der hjælper med at styre fremdriften.

Implementering og eksekvering: Under eksekveringsfasen styrer vi de planlagte aktiviteter, overvåger fremskridt og håndterer eventuelle udfordringer. Effektiv kommunikation og løbende risikostyring er nøglen til succes i denne fase.

Det er afgørende at tænke den efterfølgende drift ind i implementeringen, så overgangen forløber så smertefrit som muligt. Derfor er det essentielt, at implementeringen sker af medarbejdere i organisationen. Konsulenter bør kun vejlede, rådgive og styre processen.

Afslutning og overdragelse til drift:
Når implementeringen er afsluttet, sikrer vi en glidende overgang til drift ved at lave en grundig overdragelse af de opgaver, der stadig måtte være uløste, så ingen er i tvivl om, hvem der har ansvaret for hvad. Dette trin sikrer, at de opnåede resultater bliver bæredygtige.

"Når vi indtager rollen som projektledere hos virksomheder, der skal have styr på deres informationssikkerhed, er en af de første ting, vi gør at lave en grundig stakeholder mapping. Det sikrer, at vi har hele det organisatoriske overblik fra starten, som vi bruger til at vurdere hver enkelt stakeholder-gruppe: Hvor vigtig er gruppen for projektets succes? Hvor langt er de i forståelsen af deres rolle i forhold til projektet? Hvad skal der til for at få dem det sidste stykke? Det arbejde danner hele grundlaget for projektplanen"

Peter Budolfsen

Peter Budolfsen
Senior projektleder i informationssikkerhed, kaastrup|andersen

 

Standarder og direktiver – tænk dem sammen fra starten

Overholdelse af kravene i standarder og direktiver som NIS2, ISO 27001, IEC 62443 og Cyber Resilience Act (CRA) kan hurtigt blive komplekst, især hvis de håndteres hver for sig. Et sammenhængende og integreret setup er ofte både mere effektivt og robust, når det kommer til informationssikkerhed. Standarden ISO 27001 giver en god ramme for sikkerhedsstyring, mens NIS2-direktivet stiller krav, der er målrettet specifikke sektorer og tjenester. IEC 62443-standarden fokuserer derimod på kontrolsystemer i industrien, og CRA-lovgivningen har særlig betydning for produkter med digitale elementer.

"Ved at tænke disse standarder og direktiver sammen opnår man ikke blot bedre compliance – man skaber en solid base for informationssikkerhed, som er tilpasset virksomhedens specifikke risici og behov"

Peter Budolfsen

Peter Budolfsen
Senior projektleder i informationssikkerhed, kaastrup|andersen

 

ISO 27001: Fundamentet for en samlet tilgang til informationssikkerhed

ISO 27001 fungerer som en solid ramme for informationssikkerhed, der rækker langt ud over tekniske løsninger og fokuserer på både systemer, mennesker og processer. Standarden opdeler sikkerheden i fire hovedtemaer:

  1. IT-sikkerhed: Beskyttelse af digitale data og systemer mod Cyber- og Informationssikkerhedstrusler.
  2. Fysisk sikkerhed: Sikring af fysiske faciliteter og udstyr mod uautoriseret adgang og skader.
  3. Personalesikkerhed: Beskyttelse af medarbejdere og sikring af, at de er bevidste om sikkerhedsprocedurer.
  4. Organisatorisk sikkerhed: Implementering af politikker og procedurer, der understøtter en sikkerhedskultur i hele organisationen.

ISO 27001 fremhæver vigtigheden af en balanceret tilgang, hvor alle aspekter af organisationen spiller en rolle. Ved at anvende ISO 27001 kan virksomheder identificere og styre sikkerhedsrisici på en struktureret måde og samtidig opbygge en sikkerhedskultur, hvor medarbejdere er bevidste om deres ansvar. Denne helhedstilgang sikrer ikke kun compliance med sikkerhedsstandarder, men bidrager også til en mere modstandsdygtig organisation, der er bedre rustet til at håndtere potentielle trusler.

Områder, hvor ISO 27001 ikke dækker NIS2 fuldt ud

Selvom ISO 27001 giver en grundig ramme for informationssikkerhed, er der områder, hvor den ikke dækker NIS2’s specifikke krav:

  • Sektorspecifikke krav: NIS2 er målrettet sektorer som energi, transport og sundhed, hvilket ISO 27001 ikke specifikt adresserer.
  • Hændelsesrapportering: NIS2 kræver mere detaljeret og hurtigere rapportering af sikkerhedshændelser sammenlignet med ISO 27001.

For organisationer i sektorer, der er omfattet af NIS2, er det derfor afgørende at supplere ISO 27001 med tiltag, der opfylder de særlige krav i NIS2.

Sammenhæng med IEC 62443 og produktcompliance

IEC 62443-standarden fokuserer på sikkerhed i industrielle kontrolsystemer (ICS) og supplerer ISO 27001 ved at tilbyde specifikke tekniske kontroller for OT-miljøer (Operational Technology). Hvor ISO 27001 omfatter krav til processer, systemer, ledelsesstrukturer og fysisk sikkerhed, leverer IEC 62443 konkrete retningslinjer for, hvordan man opnår de nødvendige sikkerhedsforanstaltninger – lidt som ISO 27002, men med fokus på produktet frem for processerne. En kombination af ISO 27001 og IEC 62443 skaber en omfattende sikkerhedsstrategi, der dækker både IT og OT. IEC 62443 indeholder i alt 13 delstandarder, hvoraf der i øjeblikket kun kan opnås certificering inden for fire.

 

Cyber Resilience Act (CRA)

Cyber Resilience Act (CRA) er en ny EU-lovgivning, der stiller krav til cybersikkerhed for produkter med digitale elementer. CRA-compliance er en forudsætning for CE-mærkning af sådanne produkter og sigter mod at sikre, at sikkerhed er indbygget fra starten, hvilket beskytter forbrugerne i hele EU. For produktionsvirksomheder betyder dette, at produkterne skal designes og produceres med passende sikkerhedsforanstaltninger, herunder håndtering af sårbarheder og hændelsesberedskab gennem hele produktets livscyklus. CRA supplerer NIS2-direktivet ved at styrke cybersikkerheden for digitale produkter, hvilket også hjælper virksomheder med at overholde NIS2-krav og øger sikkerheden i forsyningskæden.

Ved at integrere ISO 27001, IEC 62443 og CRA kan virksomheder etablere en helhedsorienteret sikkerhedsstrategi, der favner både IT og OT-miljøer. CRA-compliance bliver dermed en "License to Operate." De første elementer i CRA træder i kraft i efteråret 2024, med fuld ikrafttrædelse og rapporteringsforpligtelser i 2026/27.

 

Sådan påvirker standarder og lovgivning din organisation

Det kan være svært at danne sig et fuldkomment overblik over, hvor de forskellige direktiver og standarder påvirker din organisation. Se figur 1 nedenfor.

Grafisk overblik over informationssikkerhed - direktiver og standarder

 

"Når vi leder projekter, der handler om informations- og cybersikkerhed, er det vigtigste for mig at sikre, at informationssikkerhed bliver en integreret del af hele organisationen - fra teknologi til kultur. Informationssikkerhed er ikke blot en teknisk opgave, men en ledelsesmæssig og menneskelig disciplin, der kræver samarbejde på tværs. Mit mål er at skabe en løsning, der gør virksomheden robust og modstandsdygtig, samtidig med at medarbejderne føler sig engageret og medansvarlige for sikkerheden."

Thomas Hæstrup

Thomas Hæstrup
Senior konsulent i informationssikkerhed, kaastrup|andersen

 

10 vigtige elementer til en styrket informationssikkerhedsstrategi

  1. Ledelsesengagement: Topledelsen skal aktivt støtte og engagere sig i informationssikkerhedsinitiativer.
  2. Risikostyring: Løbende vurdering og håndtering af sikkerhedsrisici for at sikre virksomhedens modstandsdygtighed.
  3. Sikkerhedspolitikker: Udarbejdelse og implementering af klare, omfattende sikkerhedspolitikker.
  4. Medarbejderuddannelse: Kontinuerlig træning og oplysning af medarbejdere om sikkerhedsbevidsthed og procedurer.
  5. Adgangskontrol: Implementering af strenge adgangskontroller for at beskytte følsomme oplysninger.
  6. Incident Management: Etablering af effektive processer og procedurer for håndtering af sikkerhedshændelser.
  7. Leverandørstyring: Sikring af, at leverandører og tredjeparter overholder virksomhedens sikkerhedskrav.
  8. Fysisk sikkerhed: Beskyttelse af fysiske faciliteter og udstyr mod uautoriseret adgang og skader.
  9. Kontinuerlig forbedring: Regelmæssig evaluering og opdatering af sikkerhedsforanstaltninger for at sikre konstant forbedring.
  10. Compliance: Overholdelse af gældende love og standarder som ISO 27001 og NIS2 for at sikre korrekt sikkerhedsniveau.

Med fokus på disse elementer kan virksomheden opbygge en solid informationssikkerhedsposition, der beskytter aktiver og sikrer compliance med relevante standarder og lovgivning.

 

Implementering af nyt direktiv eller standard inden for informationssikkerhed

I denne e-bog tager vi udgangspunkt i, hvordan vi leder og implementerer NIS2. Vores tilgang kan nemt tilpasses andre direktiver, standarder og lovkrav.

Download e-bogen her

Hvordan kan vi hjælpe?

Hos kaastrup|andersen kan du få hjælp til at implementere en sammenhængende informationssikkerhedsstrategi, der favner både teknologi, mennesker og adfærd. Vi har værktøjerne, ekspertisen og erfaringen, der skal til for at hjælpe dig med at skabe overblikket. Vi kan også hjælpe dig med at blive compliant med gældende og lovgivning og blive certificeret i de nyeste standarder.

Vi viser vejen og sørger for, at du har styr på informationssikkerheden. Så kan du strege den af på din to-do-liste og i stedet lægge dit fokus på de områder, der bidrager til at udvikle og effektivisere forretningen.

Kontakt Simon Søgaard Jensen på ssj@kaastrupandersen.dk eller +45 4412 7191 for at få en uforpligtende snak om din informationssikkerhed.