Informationssikkerhed som strategisk fundament

Mennesker, adfærd og forandringsledelse

Selvom tekniske løsninger spiller en væsentlig rolle i informationssikkerhed, må du ikke undervurdere betydningen af medarbejderes adfærd og bevidsthed. Uden den rette kultur og forståelse kan selv de mest avancerede systemer og processer risikere at svigte. Derfor er ledelsens rolle og medarbejdernes engagement afgørende. At skabe en informationssikkerhedspositur, der favner adfærd, træning og sikkerhedskultur, er ofte nøglen til en velfungerende sikkerhedsstrategi.

Informationssikkerhed som ledelsesansvar

Informationssikkerhed er ikke kun en teknisk opgave, men et strategisk ledelsesansvar. Ledelsen skal sikre, at der er tilstrækkelige ressourcer og opbakning til at etablere og vedligeholde et effektivt ISMS (Information Security Management System). Dette kræver, at du aktivt fremmer en sikkerhedskultur, hvor alle medarbejdere forstår deres rolle i at beskytte organisationens informationer og arbejder i overensstemmelse med sikkerhedsprocedurerne.

Fra ledelsen til teknologien: Informationssikkerhed som et fælles ansvar

Når informationssikkerhed betragtes som en fælles opgave på tværs af organisationen – fra ledelsen til den enkelte medarbejder – skaber du en sikkerhedsstruktur, der ikke blot er teknisk funderet, men også organisatorisk og kulturelt forankret. Med en sådan tilgang kan du bedre beskytte virksomhedens aktiver og data, samtidig med at du sikrer compliance med gældende lovgivning og direktiver.

Sådan griber vi projektledelsen an

At lede et informationssikkerhedsprojekt kræver en struktureret og strategisk tilgang. Her er de centrale trin, vi følger:

Business Case: I samarbejde med virksomheden udarbejder eller tryktester vi business casen, der tydeligt skal beskrive projektets formål, forventede fordele, omkostninger og risici. Dette dokument er afgørende for at sikre ledelsens opbakning og ressourcer, og for udarbejdelsen af det rette scope.

Scope: Vi hjælper med at definerer opgavens omfang (scope) ved at identificere de specifikke mål, forventede leverancer og afgræsninger, der giver den bedste værdi for pengene i forhold til business casen. Dette trin sikrer, at alle parter har en fælles forståelse af, hvad projektet indebærer. Scopet vil med stor sandsynlighed skulle reevalueres løbende, når der bliver klarhed over virksomhedens informationsaktiver og processer.

Interessentanalyse: Vi gennemfører en interessentanalyse for at identificere alle relevante interessenter og deres forventninger. Dette skaber forudsætning for at lave en målrettet og værdifuld GAP-analyse, og danner grundlag for en effektiv planlægning af indsatser efterfølgende.

GAP-analyse: Vi vurderer virksomhedens nuværende compliance-status og modenhedsniveau inden for informationssikkerhed. Denne vurdering danner grundlaget for at identificere huller og prioritere indsatsen. Vi vil typisk tage udgangspunkt i ISO 27001, da denne standard dækker alle facetter af informationssikkerhed.

Road map og planlægning af indsatser: Vi hjælper med at udvikle et road map, der skitserer de forskellige indsatser i projektet, fra planlægning til implementering og overdragelse til drift. Planen bør have klare mål og milepæle, der hjælper med at styre fremdriften.

Implementering og eksekvering: Under eksekveringsfasen styrer vi de planlagte aktiviteter, overvåger fremskridt og håndterer eventuelle udfordringer. Effektiv kommunikation og løbende risikostyring er nøglen til succes i denne fase.

Det er afgørende at tænke den efterfølgende drift ind i implementeringen, så overgangen forløber så smertefrit som muligt. Derfor er det essentielt, at implementeringen sker af medarbejdere i organisationen. Konsulenter bør kun vejlede, rådgive og styre processen.

Afslutning og overdragelse til drift:
Når implementeringen er afsluttet, sikrer vi en glidende overgang til drift ved at lave en grundig overdragelse af de opgaver, der stadig måtte være uløste, så ingen er i tvivl om, hvem der har ansvaret for hvad. Dette trin sikrer, at de opnåede resultater bliver bæredygtige.

Standarder og direktiver – tænk dem sammen fra starten

Overholdelse af kravene i standarder og direktiver som NIS2, ISO 27001, IEC 62443 og Cyber Resilience Act (CRA) kan hurtigt blive komplekst, især hvis de håndteres hver for sig. Et sammenhængende og integreret setup er ofte både mere effektivt og robust, når det kommer til informationssikkerhed. Standarden ISO 27001 giver en god ramme for sikkerhedsstyring, mens NIS2-direktivet stiller krav, der er målrettet specifikke sektorer og tjenester. IEC 62443-standarden fokuserer derimod på kontrolsystemer i industrien, og CRA-lovgivningen har særlig betydning for produkter med digitale elementer.

ISO 27001: Fundamentet for en samlet tilgang til informationssikkerhed

ISO 27001 fungerer som en solid ramme for informationssikkerhed, der rækker langt ud over tekniske løsninger og fokuserer på både systemer, mennesker og processer. Standarden opdeler sikkerheden i fire hovedtemaer:

1. IT-sikkerhed: Beskyttelse af digitale data og systemer mod Cyber- og Informationssikkerhedstrusler.
2. Fysisk sikkerhed: Sikring af fysiske faciliteter og udstyr mod uautoriseret adgang og skader.
3. Personalesikkerhed: Beskyttelse af medarbejdere og sikring af, at de er bevidste om sikkerhedsprocedurer.
4. Organisatorisk sikkerhed: Implementering af politikker og procedurer, der understøtter en sikkerhedskultur i hele organisationen.

ISO 27001 fremhæver vigtigheden af en balanceret tilgang, hvor alle aspekter af organisationen spiller en rolle. Ved at anvende ISO 27001 kan virksomheder identificere og styre sikkerhedsrisici på en struktureret måde og samtidig opbygge en sikkerhedskultur, hvor medarbejdere er bevidste om deres ansvar. Denne helhedstilgang sikrer ikke kun compliance med sikkerhedsstandarder, men bidrager også til en mere modstandsdygtig organisation, der er bedre rustet til at håndtere potentielle trusler.

Sammenhæng mellem ISO 27001 og NIS2

ISO 27001-standarden og NIS2-direktivet deler mange fælles krav, hvilket gør ISO 27001 til et stærkt fundament for NIS2-compliance. For eksempel kræver begge, at organisationer håndterer:

• Risikostyring: Identificerer, vurderer og håndterer sikkerhedsrisici for at sikre kontinuitet og integritet i tjenester og data.
• Incident Management: Har etablerede planer og procedurer til håndtering af sikkerhedshændelser.
• Leverandørstyring: Sikrer, at leverandører og tredjeparter opfylder definerede sikkerhedskrav.

Ved at implementere ISO 27001 som udgangspunkt kan virksomheder opnå et solidt beredskab, der understøtter kravene i NIS2.

Områder, hvor ISO 27001 ikke dækker NIS2 fuldt ud

Selvom ISO 27001 giver en grundig ramme for informationssikkerhed, er der områder, hvor den ikke dækker NIS2’s specifikke krav:

• Sektorspecifikke krav: NIS2 er målrettet sektorer som energi, transport og sundhed, hvilket ISO 27001 ikke specifikt adresserer.
• Hændelsesrapportering: NIS2 kræver mere detaljeret og hurtigere rapportering af sikkerhedshændelser sammenlignet med ISO 27001.

For organisationer i sektorer, der er omfattet af NIS2, er det derfor afgørende at supplere ISO 27001 med tiltag, der opfylder de særlige krav i NIS2.

Sammenhæng med IEC 62443 og produktcompliance

IEC 62443-standarden fokuserer på sikkerhed i industrielle kontrolsystemer (ICS) og supplerer ISO 27001 ved at tilbyde specifikke tekniske kontroller for OT-miljøer (Operational Technology). Hvor ISO 27001 omfatter krav til processer, systemer, ledelsesstrukturer og fysisk sikkerhed, leverer IEC 62443 konkrete retningslinjer for, hvordan man opnår de nødvendige sikkerhedsforanstaltninger – lidt som ISO 27002, men med fokus på produktet frem for processerne. En kombination af ISO 27001 og IEC 62443 skaber en omfattende sikkerhedsstrategi, der dækker både IT og OT. IEC 62443 indeholder i alt 13 delstandarder, hvoraf der i øjeblikket kun kan opnås certificering inden for fire.

Cyber Resilience Act (CRA)

Cyber Resilience Act (CRA) er en ny EU-lovgivning, der stiller krav til cybersikkerhed for produkter med digitale elementer. CRA-compliance er en forudsætning for CE-mærkning af sådanne produkter og sigter mod at sikre, at sikkerhed er indbygget fra starten, hvilket beskytter forbrugerne i hele EU. For produktionsvirksomheder betyder dette, at produkterne skal designes og produceres med passende sikkerhedsforanstaltninger, herunder håndtering af sårbarheder og hændelsesberedskab gennem hele produktets livscyklus. CRA supplerer NIS2-direktivet ved at styrke cybersikkerheden for digitale produkter, hvilket også hjælper virksomheder med at overholde NIS2-krav og øger sikkerheden i forsyningskæden.

Ved at integrere ISO 27001, IEC 62443 og CRA kan virksomheder etablere en helhedsorienteret sikkerhedsstrategi, der favner både IT og OT-miljøer. CRA-compliance bliver dermed en "License to Operate." De første elementer i CRA træder i kraft i efteråret 2024, med fuld ikrafttrædelse og rapporteringsforpligtelser i 2026/27.

Sådan påvirker standarder og lovgivning din organisation

Det kan være svært at danne sig et fuldkomment overblik over, hvor de forskellige direktiver og standarder påvirker din organisation. Se figur 1 nedenfor.