Dine medarbejdere er jeres største trussel

Introduktion

I denne blog og i et opfølgende blogindlæg giver vi dig en komplet guide til hvilke steps, som du skal igennem for at klæde dig og dine medarbejdere optimalt på til at nå sikkert i mål – bogstaveligt talt. 

Denne blog beskriver de fire steps i processen. 

Du kan også downloade vores e-bog, hvor vi har samlet de fire steps PLUS, at vi giver dig adgang til konkrete værktøjer og skabeloner, som du kan benytte i processen.

Indholdsfortegnelse

Forord

Kulturændring igennem 4 trin 

  • Organisationens kulturændring er en trinvis udviklingsproces – der varer ved…

IT-sikkerhedstruslen opstår og løses indefra

  • Den IT-sikkerhedsmæsstige risiko kommer indefra – på medarbejderniveau
  • Derfor skal sikkerhedsløsningerne også komme indefra – og starte hos medarbejderne

#1 Tydelig medarbejderkommunikation er forudsætning for succes

  • Vær klar i spyttet over for dine medarbejdere – med tydelig kommunikation

#2 Lad IT-retningslinjer guide dine medarbejdere

  • Konkrete retningslinjer til medarbejderne betaler sig – bogstaveligt talt

#3 Awareness from for alt

  •  Awareness is everything – skab og fasthold opmærksomhed omkring IT-sikkerheden i organisationen
  • Fysiske møder eller oplæg – få engageret dine medarbejdere i praksis
  • Plakater – giv medarbejderne syn for (IT-)sagen i hverdagen
  • Awareness-træning (e-læring) – få fastholdt det (høje) opmærksomhedsniveau
  • Phishin-træning – skab awareness igennem simulering af angreb
#4 Måling er vejen til fremtidssikring af organisationens IT-sikkerhed
  • Mål på jeres fremgang – “hvis ikke vi måler, aner vi ikke, hvor vi er…”
  • Statistik fra den virkelige verden – IT-sikkerheden er (stadig) udfordret

Konklusion – kom sikkert i mål med træningen af jeres medarbejdere

  • De 4 steps til opmærksomme medarbejdere
  • CyberPilot – din personlige sparringspartner på IT-sikkerhed og persondata

Forord

Når man hører ord som for eksempel ”IT-sikkerhedstrussel”, ”IT-kriminelle angreb” og ”IT-sikkerhedsbrist” i virksomheder og organisationer, er det nok de færreste, der i første omgang tænker på medarbejderne som problemets hovedårsag. 

Men faktum er, at netop medarbejderne udgør den primære kilde til IT-sikkerhedsbrister på arbejdspladsen. Størstedelen af disse sikkerhedsbrister kan spores direkte tilbage til medarbejdernes uvidenhed om og manglende bevidsthed i forhold til forsvarlig og korrekt håndtering af IT- og datasikkerhed i dagligdagen.  

Derudover er det også medarbejderne, der i langt de fleste tilfælde ubevidst laver fejl, som kan føre til overtrædelse af reglerne vedrørende Persondataforordningen (GDPR). 

Med andre ord: Medarbejderne er paradoksalt nok din virksomheds største risiko i forhold til IT-sikkerhed. 

Denne risiko kan resultere i svære økonomiske omkostninger, bøder og utilsigtet brug af interne ressourcer. Og den er såmænd lige reel, aktuel og alvorlig for store, mellemstore såvel som små virksomheder og organisationer i dag. Det vil sige alle arbejdspladser – også jeres. 

Men hvordan dæmmer I mest effektivt op for denne risiko? Det gør I ved at skabe en kultur i jeres organisation, der beror på et fælles ansvar for og en bevidsthed omkring IT-sikkerhed. 

Guiden er bygget op omkring fire centrale områder, som I bør fokusere på: 

  • Klar kommunikation til medarbejderne
  • Retningslinjer til medarbejderne
  • Fokus på at skabe og fastholde opmærksomhed
  • Måling af jeres fremgang

Rigtig god læselyst!

Forfatter
Rasmus Vinge
CyberPilot

Kulturændring igennem 4 trin

Organisationens kulturændring er en trinvis udviklingsproces – der varer ved… 

At få skabt bevidsthed og opmærksomhed omkring de IT-sikkerhedsmæssige risici og udfordringer samt udbedring af problemerne er langt fra noget, der sker over natten. Tværtimod. Det er en længerevarende proces, der kræver arbejde og målrettede indsatser – på ledelsesniveau, men i den grad også på medarbejderniveau. 

Denne udviklingsproces skal starte fra ledelsen og hele vejen ud til alle medarbejdere. Målet er at få denne (nye) kultur naturligt integreret som en del af medarbejdernes mindset og deres daglige håndtering af IT-systemer og data. 

Men for at kunne nå dette mål må du og dine medarbejdere nødvendigvis gennemgå en række trin – lidt firkantet sagt fire trin. Eller måske rettere lidt ”trekantet” sagt, da du med fordel kan forstå og visualisere denne udviklingsproces som en firedelt pyramide: 

Pyramide

Arbejdsprocessen for medarbejderne forløber altså igennem følgende fire trin i prioriteret, kronologisk rækkefølge: 

Kommunikation fra ledelsen – retningslinjer – awareness  måling 

Modellen skal læses som en slags ”behovspyramide”, hvor de nederste (behovs)trin nødvendigvis skal dækkes for at kunne nå de øverste trin. Men arbejdet stopper ikke ved fjerde og sidste trin. Kulturændringen er nemlig en ongoing arbejdsproces, der kræver løbende vedligeholdelse, opdatering og tilpasning på tværs af de forskellige indsatsområder. 

I den resterende del af denne e-bog vil vi tage dig igennem de fire trin og give dig inspiration til, hvordan du bedst muligt igangsætter og realiserer kulturændringen i din organisation.  

IT-sikkerhedstruslen opstår og løses indefra

Den IT-sikkerhedsmæssige risiko kommer indefra - på medarbejderniveau

Inden vi kaster os ud i de fire grundlæggende procestrin, vil vi lige indledningsvis træde et skridt tilbage og kort fokusere på dét, som det hele handler om: Den IT-sikkerhedsmæssige risiko. 

I en digital tidsalder, hvor de fleste arbejdspladser i en eller anden udstrækning opererer med IT-systemer og data, er denne risiko mere virkelig end nogensinde før. Helt instinktivt tillægger vi typisk udefrakommende hackere, svindlere og andre IT-kriminelle aktører skylden – og skænker sjældent de ansatte en tanke i denne sammenhæng.  

Men prøv lige at betragte følgende statistik: 

9 ud af 10 IT-sikkerhedsbrud i virksomheder og organisationer starter hos medarbejderne

Forsiden_910

Lige så overraskende og foruroligende tallene er, lige så præcist beskriver de den overhængende fare, danske virksomheder og organisationer står overfor i dag.  

Truslen opstår altså indefra i form af datahåndteringsfejl eller målrettede angreb mod den enkelte medarbejder. Det kan eksempelvis være phishing og Social Engineering såsom CEO-fraud eller lignende svindel- og manipulationsnumre, der giver ondsindede aktører adgang til jeres fortrolige data og IT-systemer. 

Senere vil vi præsentere dig for reelle statistikker, der viser, hvor mange medarbejdere der rent faktisk ”hopper” i fælden, når man udsætter dem for et simuleret phishing-angreb.  

Spoiler alert: Det er en overraskende stor andel! 

Men hvordan imødekommer du denne risiko, og hvor skal du overhovedet starte? 

Det skal vi sige dig… 

Derfor skal sikkerhedsløsninger også komme indefra - og starte hos medarbejderen

Ligesom at truslen hovedsageligt opstår indefra i din organisation, skal selve løsningen på IT-sikkerhedsproblemerne også findes og udvikles indefra. Og dette projekt starter logisk nok hos dine medarbejdere. Det vil sige lige akkurat dér, hvor problemerne typisk bliver født i første omgang. 

Det handler om at højne din virksomheds tekniske og adfærdsmæssige IT-sikkerhedsniveau ved at arbejde med den enkelte medarbejder. Den førnævnte kulturændring kræver, at der rykkes ved medarbejdernes gamle rutiner, vaner og ”plejer”-adfærd – både på det teoretiske og det (lav)praktiske plan. 

Det handler desuden også om at træne og uddanne dine medarbejdere Persondataforordningen. Dette punkt vil vi ikke gå yderligere i detaljer med her, men hvis du er interesseret i at lære mere om denne del, kan du læse om awareness-træningens rolle i forhold til Persondataforordningen lige her. 

Ved at indarbejde og indlære nye, sunde og sikre IT-sikkerhedsvaner i organisationen kan du således styrke dine medarbejderes evne til at kunne: 

  • Handle proaktivt og identificere potentielle risici, før de bliver aktualiserede og skadelige
  • Reflektere over og tænke rationelt i forhold til IT- og datasikkerhed i hverdagen
  • Spare med hinanden og tale åbent og ærligt om fejl og sikkerhedsbrud

En række egenskaber, der over tid vil kunne bidrage til øget awareness, reducering af fejl – og ikke mindst mindske den IT-sikkerhedsmæssige risiko indefra. 

Men lad os komme til sagen og se nærmere på de fire trin, der skal bringe dig og dine medarbejdere sikkert i mål og skabe konkrete resultater.

#1 Tydelig medarbejderkommunikation er forudsætning for succes

Vær klar i spyttet overfor dine medarbejdere - med tydelig kommunikation

Deallerførste skridt ved enhver indsats i forhold til ændring og forbedring af IT-sikkerhed og datahåndtering er at rette fokus mod medarbejderkommunikationen. Det vil sige, hvordan ledelsen kommunikerer og informerer medarbejderne. 

Selvom forandring ofte fryder, kan nye tiltag og procedurer også give anledning til frygt, usikkerhed og tvivl hos dine medarbejdere. De finder typisk tryghed ved det gamle og vante (det vil sige ”plejer”) og kan let blive afskrækkede af nye krav. Og netop denne forbeholdenhed udgør en stor udfordring, der kan være vanskelig at overkomme, når nye IT-sikkerhedsforanstaltninger skal implementeres. 

Det bedste råd er kort sagt at adressere dine medarbejderes potentielle usikkerhed og tvivl ved at italesætte dem direkte, åbent og eksplicit. Kun på den måde kan du forberede medarbejderne grundigt, så de bliver mere omstillingsparate og modtagelige over for de nye tiltag. 

Det mest effektive middel til at nedbringe dine medarbejderes forbeholdenhed er klar og tydelig kommunikation – formidlet direkte i øjenhøjde. Det gælder om at skabe klare linjer fra starten, så ingen medarbejdere er det mindst i tvivl om tiltagenes (gode) formål og vejen dertil. 

Der er mange måder, hvorpå du konkret kan formidle dette. Fælles for alle metoderne er, at kommunikationen ultimativt skal klarlægge: 

  • Hvad der kommer til at ske
  • Hvad formålet er
  • Hvad der forventes af dem

Det handler altså grundlæggende om forventningsafstemning og at være klar i spyttet. På den måde sikrer du, at medarbejderne er med ombord og klar til jeres fælles rejse. 

Når det er sagt, handler det ikke udelukkende om medarbejderne. Det er altafgørende, at du også sikrer dig, at ledelsen bakker 100% op omkring projektet og er med ombord. 

Hvis du mangler inspiration til, hvordan du kan udforme kommunikationen til dine medarbejdere, kan du downloade vores e-bog og se vores bud på en skabelon lige her.

#2 Lad IT-retningslinjerne guide dine medarbejdere

Konkrete retningslinjer til medarbejderne betaler sig - bogstaveligt talt

Det næste vigtige step er at få sikret, at medarbejderne har et veldefineret sæt af målrettede og skarpe retningslinjer, der beskriver, hvad der er ”god praksis i jeres organisation. 

Det vil sige et slags internt ”regelsæt”, der tydeligt kortlægger, hvordan medarbejderne må og skal agere i forhold til (korrekt) brug af IT-systemer-udstyr, data og platforme.   

Måske har I allerede udarbejdet retningslinjer i jeres organisationder dog godt kunne trænge til at blive opdateret og præciseretDet kan også være, at I aldrig har fået udtænkt og implementeret retningslinjer for medarbejderne og derfor står på bar bund 

Uanset hvilken situation, der gør sig gældende for jer, er det nødvendigt at få etableret gode og konkrete retningslinjer, som kan fungere som guidelines og konkrete holdepunkter for den enkelte medarbejder.  

Uden klare retningslinjer kan det være vanskeligt for medarbejderne at vide, hvordan de skal agere i hverdagen. Omvendt vil retningslinjer kunne bidrage til at skabe klarhed omkring de IT-relaterede procedurer inhouse, hvilket i sidste ende gør det nemmere for den enkelte medarbejder at udføre sit arbejde sikkert. 

Med tydeligt optegnede retningslinjer kan du blandt andet besvare følgende potentielle tvivlspørgsmål hos medarbejderne:

  • Er det tilladt at bruge virksomhedens IT-udstyr til privat brug?
  • Tillader vi brugen af OneDrive, Dropbox og lignende?
  • Tillader vi brugen af Facebook, LinkedIn osv., og hvad bruger vi platformene til?
  • Tillader vi, at medarbejderne selv installerer programmer på egen hånd?
  • Er det i orden, at medarbejderne gemmer lokalt på deres enheder?

Det handler altså om at klæde medarbejderne på med den nødvendige viden, der skal til for at kunne udføre deres arbejde sikkertVed at besvare alle disse spørgsmål kan I minimere risikoen for, at medarbejderne begår uhensigtsmæssige fejl, der i værste tilfælde kan føre til IT-kriminelle angreb, bøder eller lignende uønskede omkostninger. 

Samtlige af ovenstående punkter og flere til kan du finde i vores skabelon for IT-retningslinjer. Du kan downloade vores e-bog og få adgang til den samlede liste lige her eller ved at kontakte os online, pr. telefon eller e-mail.

#3 Awareness frem for alt

Awareness is everything - skab og fasthold opmærksomhed omkring IT-sikkerheden i organisationen

Én af de største udfordringer i forhold til IT-sikkerhed er ofte at få skabt den nødvendige opmærksomhed blandt medarbejderne i jeres organisation. Det vil sige at sikre et tilstrækkeligt og højt awareness-niveau hos hver enkelt medarbejder. 

Når først I har fået kommunikeret klart og tydeligt, hvad der forventes af medarbejderne, og hvilke retningslinjer der definerer praksissen i jeres organisationer næste step at gøre en fokuseret indsats for at skabe og ikke mindst fastholde den nødvendige opmærksomhed på IT-sikkerheden og håndteringen af persondata.  

Mange begår den alvorlige (begynder)fejl, at de opfatter denne opgave med at skabe opmærksomhed som en éngangsforestilling. Når først retningslinjerne er skrevet ned og kommunikeret ud, anses opgaven som færdig, hvilket ofte har den konsekvens, at de hurtigt ender i glemmebogen. Det gælder om at gøre en aktiv indsats for løbende at genopfriske og opdatere dem kontinuerligt for på den måde at vedligeholde det høje awareness-niveau. 

Til dette formål findes der en lang række værktøjersom du med fordel kan gøre brug af for fastholde og udvikle medarbejdernes security awareness. På de følgende sider har vi samlet et udvalg af gratis og brugbart inspirationsmateriale i form af konkrete skabeloner samt gode råd til, hvordan du kommer godt i gang. 

Forslag til tiltag, der kan skabe og vedligeholde opmærksomheden:

  • Fysiske møder eller oplæg (eksempelvis til jeres personalemøde)
  • Awareness-træning (e-læring)
  • Phishing-træning
  • Plakater

Men lad os knytte et par uddybende ord til hver af disse tiltag.

Fysiske møder eller oplæg - få engageret dine medarbejdere i praksis

Al begyndelse er svær. Og det gælder bestemt også, når man taler om implementering af nye IT-sikkerhedstiltag såsom at skabe awareness blandt medarbejderne.  

Derfor er det også afgørende, at I gør en målrettet indsats for, at de nye aktiviteter bliver ordentligt sat i søen. Her kan det være yderst formålstjenligt at gøre brug af fysiske møder, oplæg eller praktiske workshops som en slags effektiv ”kick-off i forhold til aktiviteterne. 

De fysiske møder, workshops eller oplæg kan tage meget forskellige form og sætte fokus på forskellige delområder afhængig af jeres aktuelle situation og behov, hvad angår IT-sikkerhed og Persondataforordningen.  

Det kan eksempelvis være et oplæg til personalemødet fra en intern medarbejder eller et ledelses/bestyrelsesmedlem. Det kan også være en ekstern foredragsholder eller fagekspertder kommer og fortæller om IT-sikkerhed, så I bliver opdateret på feltet. 

Fordelen ved denne type tiltag er, at du får aktiveret og engageret medarbejderne i praksis, så der bliver skabt en opmærksomhed omkring jeres konkrete retningslinjer og behovet for security awareness. 

Hos CyberPilot har vi udarbejdet forskellige typer inspirationsmateriale, der kan hjælpe dig på vej i denne proces, og som vi gerne deler ud afVi tilbyder blandt andet: 

  • Skabelon til PowerPoint-præsentation, som kan bruges til oplæg
  • Quiz med 10 sandt/falsk spørgsmål til jeres medarbedjere, der kan fungere som en lille quiz til jeres næste personalemøde

Download vores e-bog hvis du vil have adgang til overnstående materiale. E-bogen kan du finde her:

Kontakt os endelig, hvis du er interesseret i at høre mere og ønsker at modtage materialerne

Awareness-træning (e-læring) - få fastholdt det (høje) opmærksomhedsniveau

Det tredje værktøj, vi vil fremhæve, er det absolut vigtigste: Nemlig awareness-træning til at skabe og fastholde opmærksomheden. 

Opgaven med at skabe og fastholde den IT-sikkerhedsmæssige opmærksomhed samt de nødvendige kompetencer kræver en dedikeret og kontinuerlig indsats over tid. 

Fysiske møder er ofte ressourcekrævende i forhold planlægning, logistik og afvikling. Det kan være svært og omstændeligt at koordinere aktiviteterne, så alle medarbejdere har mulighed for at deltage – eksempelvis på grund af separate afdelinger og geografisk adskilte kontorerDerudover er der jo konstant ændring i medarbejderstaben, hvilket gør det vanskeligt at sikre, at alle de nye medarbejdere også har modtaget træning. 

Og selvom fysiske møder ofte er en god idé at gøre brug af for at skabe den indledende opmærksomhed hos medarbejdernekan det tilsvarende være vanskeligt at fastholde denne opmærksomhed over tid igennem de fysiske møder. 

Det er netop her, awareness-træning igennem e-læring kommer ind i billedet som effektiv løsning. 

Grundet de store koordineringsudfordringer vælger mange virksomheder og organisationer nemlig anvende awareness-træning via e-læring. Denne digitale træningsform er en smart metode til at sikre den løbende opmærksomhed uden alt det praktiske besvær. 

E-læring gør det nemt at planlægge og gennemføre træningen, da medarbejderne kan foretage trænings-sessionerne når og hvor som helst – lige når det passer ind i deres hverdag. Derudover kan træningen tilrettelægges, så den er skræddersyet nøjagtig til den enkelte medarbejders (lærings)behov.  

Hvis du ønsker at teste vores awareness-træning eller søger inspiration til jeres eget træningsforløb, kan du med fordel tjekke CyberPilots awareness-træning ud, som både dækker IT-sikkerhed og Persondataforordningen. Her kan du ganske gratis og 100% uforpligtende afprøve vores awareness-træning i din virksomhed. 

Awareness-træning i praksis – hvad siger kunderne?  

Hvad får man egentlig ud af awareness-træning og e-læring – og hvordan virker det i praksis? Det vil vi sådan set overlade til vores kunder at sætte ord på. 

Nedenfor kan du se en række udtalelser fra nogle af vores kunder. 

Phishing-træning - skab awareness igennem simulering af angreb

Det fjerde værktøj, vi vil præsentere, er såkaldt phishing-træning. Phishing er den største trussel i forhold til IT-kriminalitet i dag. Som tidligere nævnt starter 9 ud 10 angreb med et målrettet forsøg på at ramme og skade medarbejderne. Retningslinjer, kurser og e-læring kan være en god metode til at lære og gøre medarbejderne bevidste om, hvilke udtalte faresignaler og kendetegn, de bør være opmærksomme på. 

Vores erfaring er dog, at godt nok kan man læse og træne sig til meget, men intet slår den ”ægte vare” – det vil sige håndtering af (næsten) virkelighedstro IT-kriminelle angreb. Derfor anbefaler vi ofte, at der gennemføres phishing-træning som separat tiltag, så medarbejderne kan afprøve i praksis, hvordan de ideelt set skal (eller ikke skal) agere, når uheldet er ude.  

Phishing-træning handler kort sagt om at udsætte de ansatte for simulerede phishing-angreb, hvilket kan tjene til at: 

  • Teste medarbejdernes nuværende beredskab
  • Skabe endnu mere opmærksomhed omkring denne trussel

Eksempler på phishing-træning i praksis 

Men hvordan ser disse simulerede phishing-angreb ud i praksis? 

Nedenfor præsenterer vi dig for to klassiske case-eksempler, der kan anvendes til phishing-træning, og som viser, hvordan et phishing-angreb typisk ser ud, hvis medarbejderne møder det i dagligdagen. Begge eksempler har det til fælles, at de forsøger at være personlige i henvendelsesformen og opfordrer eksplicit til interaktion og klik.  

I disse tilfælde skal medarbejderne ideelt set kunne opfange den mistænkelige aktivitet og dermed undgå at falde i fælden ved at ignorere og slette mailen. Men derudover skal de også gerne gøre de andre kollegaer opmærksomme på truslen,  de heller ikke falder i fælden.  

Eksempel nr. 1 - Julegaven

Eksempel nr. 2 - Mistænkelig aktivitet

Du kan lære meget mere om phishing-træning, og hvorfor det er vigtigt for din organisation, på vores hjemmeside eller ved at kontakte os. 

Plakater - giv medarbejderne syn for (IT-sagen) i hverdagen

Et andet brugbart værktøj til at skabe, fastholde og højne awareness-niveauet blandt medarbejderne i jeres organisation er fysiske plakater eller lignende visuelle præsentationsformater. 

Dette er en effektiv måde at gøre eksplicit opmærksom på IT-sikkerheden i det ”fysiske rum” på arbejdspladsen. Fordelen ved plakater og lignende grafiske materialer er, at de skaber øjeblikkeligt blikfang og nemt kan sættes op hvor som helst. Eksempelvis på kontoret ved de enkelte skriveborde eller kantinen. 

På den måde giver du populært sagt medarbejderne syn for (IT)sagen og sikrer, at – hver eneste dag. 

Hvis du mangler inspiration til, hvordan sådanne awareness-plakater kan se ud, har vi hos CyberPilot produceret en række plakater, som du kan se et udpluk af nedenfor. 

Plakat_HvilketPassword
Plakat_BetragtPersondata

Ønsker du at modtage plakaterne i bedre kvalitet og opløsning, kan du downloade vores e-bog og få adgang til vores plakater her eller blive sendt din vej ved at kontakte os direkte. 

#4 Måling er vejen til fremtidssikring af organisationens IT-sikkerheden

Måling på jeres fremgang - "hvis ikke vi måler, aner vi ikke, hvor vi er..."

Nu er vi endelig nået til det fjerde og øverste trin i pyramiden, der omhandler en meget vigtig del af det samlede arbejde med IT-sikkerhed: Måling af jeres fremgang. 

Vi ser ofte, at man i virksomheder og organisationer implementerer en lang række tiltag uden at gøre sig selv den tjeneste lige at stoppe op en gang imellem og betragte resultaterne af de konkrete tiltag. 

Uden specifikke målinger er det umuligt for jer at vide, hvor I rent faktisk befinder jer lige nu og her – og endnu vigtigere om I er på rette vej. Det drejer sig ikke om, at I nødvendig skal måle på alle aktiviteter og parametre. Det ville være uoverskueligt og ikke konstruktivt. Det handler derimod om at udvælge nogle enkelte og simple mål, som giver bedst mening for jer, og som kan give en god indikation på, om indsatserne går den rigtige vej. 

Uanset hvad jeres behov måtte være, er det vigtigste, at aktivt forholder jer til effekten af de udvalgte tiltag.  

Statistik fra den virkelige verden - IT-sikkerheden er (stadig) udfordret

Selvom vi i dag generelt oplever et øget fokus på IT-sikkerhed og Persondataforordningen inden for erhvervslivet, er der ingen tvivl om, at virksomhederne og organisationerne stadig er voldsomt udfordrede på dette felt. 

Det kan være vanskeligt at sætte eksakte tal på disse udfordringerMen ikke desto mindre har vi hos CyberPilot udarbejdet vores eget lille research-studie, der netop belyser (eller rettere bekræfter) det faktum, at IT-sikkerheden forsat er et sensitivt område inden for erhvervslivet – og særligt på medarbejderniveau.  

På baggrund af en lang række simulerede phishing-angreb mod virksomheder og organisationer tegner nedenstående statistik et tydeligt billede af, at de fleste danske virksomheder stadig er relativt uforberedte i forhold til phishing-angreb. 

Ud af det samlede antal sendte mails blev hele 56% åbnet af medarbejdere, 27% klikkede på et link og 17% opgav deres e-mailadresse og private passwords til uautoriserede kilder. Disse tal er med til at understrege hele denne e-bogs grundlæggende og vigtigste pointe: 

Den største IT-sikkerhedsmæssige risiko er dine medarbejdere – ikke teknikken. 

Derfor er det også netop på medarbejderniveauet, at du i første omgang bør lægge dine kræfter og ressourcer i form af målrettede tiltag, der skal forbedre jeres IT-sikkerhed.  

Kun på den måde kan I etablere et effektiv ”IT-sikkerhedsværn” i organisationen og afværge potentielle angreb.

Konklusion - kom sikkert i mål med træningen af jeres medarbejdere

De 4 steps til opmærksomme medarbejdere

Uanset hvilken grad af IT-sikkerhedsmæssig modenhed din virksomhed afspejler, og uanset om jeres medarbejdere er meget eller mindre opmærksomme på dette område, vil IT-sikkerhed og datahåndtering uden tvivl have stor betydning for jeres hverdag fremadrettet. 

IT-sikkerhed er et område, som er kommet for at blive, og det er et område, som virksomheder og organisationer bliver nødt til at arbejde med aktivt – og kontinuerligtHvis I forsømmer denne indsats, vil jeres arbejdsplads være særligt udsat og sårbar over for IT-kriminelle angreb, og I vil ende i højrisikozonen med hensyn til potentielle bøder, lovovertrædelser og lignende. 

Heldigvis findes der nogle simple tiltagI som virksomhed eller organisation kan tage i brug for at mindske denne risiko. 

denne blog har vi adresseret de indsatsområderder ud fra vores erfaringer har den største effekt og skaber de bedste resultater 

Hvis du ønsker at arbejde videre med træning af jeres medarbejdere, så download vores e-bog her, hvor vi har remlagt en række konkrete redskaber og forskellige typer inspirationsmateriale, der får jer godt i gang (eller videre) med IT-sikkerhedsarbejdet i netop jeres organisation.  

Alt dette kan sammenfattes i følgende fire punkter, der handler om at sikre:

  • Klar kommunikation fra ledelsen til medarbejderne
  • Klare retningslinjer til medarbejderne
  • Fokus på at skabe og fastholde opmærksomhed i forhold til IT-sikkerhed
  • Måling af jeres fremgang

Det gælder ultimativt om at få implementeret alle fire ovenstående steps. Hvis dette lykkes, vil I således være godt på vej i forhold til at skabe den kulturændring, der skal til for at reducere den risiko, som medarbejderne udgør. 

CyberPilot - din personlige sparringspartner på IT-sikkerhed og persondata

Står du og mangler en uvildig og fagligt kompetent sparringspartner og trusted advisor, der kan vejlede og hjælpe dig og dine medarbejdere med at få styrket jeres IT-sikkerhed og persondatahåndtering? Hos CyberPilot har vi den rette løsning – som passer til jer. 

CyberPilot er et specialiseret IT-sikkerhedsfirma, der hjælper både små, mellemstore og store virksomheder og organisationer til effektiv IT-sikkerhed ud fra en stålsat vision om at uddanne medarbejdere i sikker anvendelse af IT på arbejdspladsen. 

Vi har årelang erfaring med vejledning, træning og uddannelse af medarbejdere i IT-sikkerhed og Persondataforordningen (GDPR), og vores specialer tæller blandt andet: 

  • Awareness-træning (e-læring)
  • Sårbarhedsscanning
  • Phishing-træning
  • Log-management/SIEM
  • IT-sikkerhedsrådgivning

Vi arbejder altid med udgangspunkt i overbevisningen om, at IT-sikkerhed ikke kun er et spørgsmål om teknik, men i den grad også handler om mennesker og processer. Og dét kan mærkes på vores services og løsninger, der tager udgangspunkt i menneskers adfærd, bevidsthed og viden. 

Vi tilbyder kurser, trænings- og uddannelsesforløb, der er tilpasset dine medarbejderes IT-sikkerhedsmæssige behov, udfordringer og ståsted. Vores træning og materialer er tilrettelagt ud fra ambitionen om at gøre det komplekse fagfelt så konkret, håndterbart og relaterbart for den enkelte medarbejder.  

Kontakt os til en uforpligtende snak om, hvad vi kan gøre for din virksomhed eller organisation. 

Vi ser frem til at høre fra dig. 

Rasmus Hangaard Vinge
rhv@cyberpilot.dk
Tlf: 71993703

Bliv klogere på IT-sikkerhed og Persondataforordningen

Bliv opdateret når vi udgiver nye artikler

Hvad er sammenhængen mellem ISO27001 og GDPR (Persondataforordningen)?

Sådan sikrer du, at jeres IT-sikkerhed lever op til kravene i persondataforordningen.

Hvorfor er det vigtigt?

I denne artikel vil jeg beskrive, hvordan du kan sikre at jeres organisations it-sikkerhed lever op til kravene i persondataforordningen (også kaldet persondataloven eller GDPR).  

Når du har læst denne artikel, vil du selv være i stand til at påbegynde eller fortsætte jeres arbejde med at få etableret de sikkerhedstiltag, som skal til for at leve op til de nye regler. 

Der vil være fokus på de indledende processer omkring risikovurdering. 

Artiklen er delt op i følgende dele: 

  • Kort introduktion til persondataforordningen ift. it-sikkerhedskrav
  • Det direkte link mellem persondataforordningen og it-sikkerhedsstandarden ISO27001
  • Gennemgang af Datatilsynets vejledning i behandlingssikkerhed  
  • Uddybende forklaring af ISO27001  
  • Risikovurdering  
  • Den traditionelle metode kendt fra ISO27001
  • Persondata” metode fra persondataforordningen/Datatilsynet  
  • Eksempler på aktiviteter og tiltag, som kan være relevante for jer ift. at opnå det nødvendige it-sikkerhedsniveau  

Hvordan hænger persondata sammen med IT-sikkerhed?

Persondataloven, Persondataforordningen eller GDPR – kært barn har mange navne…. Det korrekte navn er dog persondataforordningen, som trådte i kraft maj 2018 og afløste den tidligere persondatalov. GDPR er blot en forkortelse af den engelske oversættelse – General Data Protection Regulation. 

Persondataforordningen drejer sig grundlæggende om at organisationer, som behandler persondata i Europa, skal leve op til en række regler, således at borgerne kan føle sig sikre på, at deres personlige data ikke bliver misbrugt, lækket eller på anden måde behandlet på en måde, som ikke er i deres interesse. 

Persondataforordningen gælder både det fysiske og det digitale, men fordi der de seneste år er så mange organisationer, som netop behandler persondata i digitale systemer, så har den ”digitale” del af persondataforordningen fyldt det meste fra start – og med god grund. 

Og når man snakker beskyttelse af data i det digitale, så snakker man jo it-sikkerhed. Derfor har der været en klar sammenhæng mellem organisationers arbejde med it-sikkerhed og deres evne til at leve op til de nye regler.  

I denne artikel vil jeg gå mere i dybden med hvordan persondataforordningen stiller krav til organisationers it-sikkerhed og hvordan organisationer jf. de nye regler skal gå til opgaven med at sikre, at man lever op til reglerne. 

Heldigvis – har forfatterne til persondataforordningen ikke genopfundet den dybe tallerken ift. it-sikkerhed i forbindelse med persondataforordningen. De har derimod søgt stor inspiration fra de eksisterende standarder, som fastsætter rammerne for god praksis indenfor arbejdet med it-sikkerhed. Her har man kigget imod informationssikkerhedsstandarden ISO27001, som i mange år har været den mest anvendte og anerkendte standard indenfor dette område. 

Derudover har Datatilsynet været så behjælpelige at lave en vejledning i ”behandlingssikkerhed”, som også viser konkrete metoder til hvordan arbejdet kan tilrettelægges. Her er der også direkte henvisninger til ISO27001. 

Jeg vil derfor i denne artikel forsøge at vise hvordan persondataforordningen og ISO27001 smelter sammen og hvordan man helt praktisk kan gå til værks i arbejdet med implementering af it-sikkerhed. 

Hvad er det direkte link mellem persondataforordningen og IT-sikkerhedsstandarden ISO27001?

Som det første vil jeg dog gerne vise hvordan der er et direkte link mellem persondataforordningen og ISO27001. Dette ses i formuleringen af sikkerhedskrav og sikkerhedsforanstaltninger i lovteksten i persondataforordningen. 

Der er tydelige link mellem de to: 

Der er således ikke nogen tvivl om at it-sikkerhed og persondataforordningen hænger sammen. Lad os nu dykke dybere i hvordan man konkret griber opgaven an med at få etableret det nødvendige it-sikkerhedsniveau for at leve op til kravene.  

Hvad siger Datatilsynets vejledning i behandlingssikkerhed? 

I juni 2018 udgav Datatilsynet deres vejledning til danske organisationer i behandlingssikkerhed. Dette er en stor hjælp for danske organisationer, da denne vejledning netop forsøger at gøre de mere ”overordnede principper for sikkerhedskrav og sikkerhedsforanstaltninger til mere konkrete tiltag, som man kan forholde sig til. Derudover stilles der mere skarpt ind på forventningen til selve processen for arbejdet med it-sikkerhed, hvilket igen trækker tråde til ISO27001. 

Lad os kigge nærmere på hvad der står i vejledningen – https://www.datatilsynet.dk/media/6879/artikel25og32-vejledning.pdf 

Behandlings

Først og fremmest gøres det klart i vejledningen at man skal tage udgangspunkt i en ”risikobaseret tilgang”. Dette kommer vi også tilbage til under ISO27001.  

Denne risikobaserede tænkning kendetegnes ved implementeringen af processer, der tager højde for løbende identifikation af både risici og muligheder samt den efterfølgende overvågning, måling, evaluering og analyse af disse. 

Datatilsynet gør det altså klart i vejledningen, at processen for arbejdet med behandlingssikkerhed (it-sikkerhed) skal følge følgende steps: 

Vurdering af risici  passende tekniske og organisatoriske foranstaltninger  overvågning, måling – evaluering og analyse. 

Vi kommer senere tilbage til hvordan man helt konkret kommer i gang med de ovenstående steps. Men først kan vi tage et kig på hvordan ISO27001 lægger op til samme præcis samme proces, nemlig igennem:  

Plan  Do  Check  Act 

Hvad siger ISO27001?

 ISO27001 er en anerkendt international standard, som bruges i arbejdet med informationssikkerhed. ISO27001 er den mest anvendte standard i Europa og derfor har det også været oplagt for lovgiverne at kigge på denne standard, når man har skullet definere sikkerhedskrav og foranstaltninger i både persondataloven (den tidligere lov) og persondataforordningen (den nuværende lov). 

ISO27001 er delt op i fire overordnede steps: 

Plan – risikovurdering 

Do – Implementering af tiltag 

Check – Måling af de implementerede tiltag 

Act – Evaluering og tilretning af tiltag 

Som beskrevet ovenfor, så er det præcis samme proces, som Datatilsynet ligger op til i deres vejledning i behandlingssikkerhed. 

Helt grundlæggende, så definerer ISO27001 den kontinuerlige proces med arbejdet med it-sikkerhed. Den fungerer ikke som en tjekliste, men lister dog en række områder, som er relevante at tage højde for. Men kernen i ISO27001 er, at man altid skal arbejde ud fra en risiko-baseret tilgang – dvs. vi skal kun implementere de tiltag, som er relevante for os ift. de risici, som vi har. 

ISO27001 lister dog en række områder, hvor der er inspiration til hvordan man kunne arbejde med tingene, hvis det er relevant for ens egen organisation.  

Disse områder er defineret i Bilag a til ISO27001: 

  • Information Security Policies 
  • Organization of Information Security 
  • Human Resource Security 
  • Asset Management 
  • Access Control 
  • Cryptography 
  • Physical and Environmental Security 
  • Operations Security 
  • Communications Security 
  • System Acquisition, Development and Maintenance 
  • Supplier Relationships 
  • Information Security Incident Management 
  • Information Security Aspects of Business Continuity Management 
  • Compliance 

 

Man kan arbejde med ISO27001 på forskellige niveauer: 

  1. Man kan følge standarden – dvs. at man blot selv står inde for at man har implementeret processerne og tiltagene 
  1. Man kan få en revisionserklæring – ISAE3402 på at man følger standarden – det betyder, at man har fået en revisor til at gennemgå ens setup og indestå for at man følger processerne og har de relevante tiltag implementeret. 
  1. Man kan blive ISO-certificeret – hvilket betyder at man får en autoriseret ISO-auditør til at at tjekke hele ens setup og sikrer at alt følger ISO-standarden fra A-Z. Dette er enormt omfattende og kun meget få organisationer vælger at gøre dette. 

Der er dog som udgangspunkt ikke noget krav til certificeringer i persondataforordningen. Men det kan være relevant overfor eksterne samarbejdspartnere og kunder. 

Du kan læse mere om de forskellige typer af certificeringer her. 

 

Efter denne introduktion til Datatilsynets vejledning i behandlingssikkerhed og ISO27001 er det nu relevant at kigge nærmere på selve processen omkring risikovurdering. 

Hvad siger ISO27001?

Lad os først starte med at definere risiko: 

Risiko er altså sandsynligheden for at en specifik begivenhed forekommer sammenholdt med konsekvensen hvis en specifik begivenhed forekommer. Det er således vigtigt altid at have begge aspekter med – sandsynlighed og konsekvens. 

Risikovurderingen er den proces, som man gennemgår for at identificere de relevante risici, som er tilstede i netop jeres organisation. Man kan således godt søge inspiration fra andre organisationer, men man skal altid lave risikovurdering med udgangspunkt i egne forhold. 

Ofte vil man gennemføre en risikovurdering på et møde eller workshop, hvor de relevante stakeholdere fra organisationen er til stede 

Målet er at kunne udfylde en risikomatrix som denne: 

Når man har udfyldt risikomatrixen, er det nemt at vurdere, hvor man skal prioritere sine tiltag – det skal man selvfølgelig gøre hvis der er risici i de røde felter, og dernæst de gule. 

Det er vigtigt at være opmærksom på at der ift. ISO27001 og persondataforordningen er en vigtig forskel, som man skal tage hensyn til ift. processen for risikovurdering. 

Den traditionelle metode for risikovurdering, som man kender fra ISO27001, tager udgangspunkt i konsekvenserne for organisationenaltså hvilke økonomiske, omdømmemæssige, markedsmæssige, juridiske etc. konsekvenser, som en givende begivenhed for opleve. 

 

I den I Datatilsynets vejledning lægges der op til at man tager udgangspunkt i konsekvensen for den registrerede – altså den enkelte person – ikke organisationen. 

Dette er vigtigt at have for øje når man laver sin risikovurdering. 

Risikovurderingen for organisationen laver man således for at identificere hvilke risici, som kan have en afgørende betydning for organisationen fremtidige liv. Dette er en værdifuld øvelse at gennemføre, da det ofte giver en række åbenbaringer. Det giver ofte også anledning til at man identificerer en række områder, hvor relativt simple tiltag kan reducere meget risiko. 

Risikovurderingen for den registrerede laver man for at sikre at man lever op til reglerne og for at sikre at ens behandling af persondata ikke udgør en væsentlig risiko for de personer, hvis data man behandler. Hvis dette er tilfældet og der forekommer sikkerhedsbrud, så kan man blive ramt af hårde bødestraffe, hvilket derigennem kan true organisationens fremtidige liv. 

Datatilsynet har lavet en liste over konsekvenser, som man bør overveje i sin risikovurdering: 

  • Fysisk skade 
  • Materiel skade 
  • Immateriel skade 
  • Forskelsbehandling 
  • Identitetstyveri 
  • Identitetssvig 
  • Økonomisk konsekvenser  
  • Skade på omdømme 
  • Sociale konsekvenser 
  • Indflydelse på privatliv 
  • Skade på menneskelig værdighed 
  • Skade på legitime interesser 
  • Begrænsning/krænkelse af fundamentale rettigheder og frihedsrettigheder 
  • Forhindring i udøvelse af kontrol med egne personoplysninger 

 

Derudover har de beskrevet hvordan man bør vurdere påvirkningsgraden: 

 

For at få både perspektivet for både organisationen og for den registrerede bør man derfor lave to risikovurderinger – en for organisationen og en for den registrerede. 

Se datatilsynets vejledning for en gennemgang af en risikovurdering, hvor der tages udgangspunkt i den registrerede – https://www.datatilsynet.dk/media/6879/artikel25og32-vejledning.pdf 

I denne artikel vil vi vise en risikovurdering, som tager udgangspunkt i en organisation. 

Denne risikovurdering tager udgangspunkt i konsekvensen for organisationen og baseres på organisationens aktiver eller processer. 

Risikovurderingen gennemføres ved at udfylde nedenstående skema: 

Definitioner: 

Aktiv/proces: Jeres fysiske eller digitale aktiver eller processer – f.eks. servere, data eller salgsproces, markedsføringsproces. Ofte er det bedst at tage udgangspunkt i enten aktiver eller processer. I det videre vil der blive taget udgangspunkt i aktiver. 

TrusselDen relevante trussel, som kan ramme det pågældende aktiv. Det kan f.eks. være ransomware, nedbrud, phishing-angreb eller uautoriseret adgang til data. Trussel beskriver således ”hvad” der kan ske. 

Sårbarhed: Her er det målet at identificere, ”hvorfor” en trussel kan ramme det pågældende aktiv. Der er således en sammenhæng mellem trussel og sårbarhed. Hvad” (trussel) kan der ske og hvorfor” (sårbarhed) kan det ske. Relevante sårbarheder kan være: ikke-opdaterede systemer, manglende redundans, ikke-opmærksomme/trænede medarbejdere,  manglende adgangskontroller etc. 

SandsynlighedHvad er den vurderede sandsynlighed for at en specifik begivenhed forekommer. Jo mere sårbarheder og trussel – jo hørere sandsynlighed 

Konsekvens: Hvad er den vurderede konsekvens for at en specifik begivenhed forekommer. Jo mere alvorlige sårbarheder og trussel + plus jo mere kritiske/værdifulde det pågældende aktiv [Symbol] jo højere konsekvens. 

Øvelsen er således herfra at liste organisationens relevante aktiver og så arbejde sig igennem en for en. 

Se nedenfor udfyldt skema med eksempler på hvordan det kunne se ud for en given organisation.  

Dette er naturligvis kun få af organisationens aktiver, som i en virkelig case ville være meget længere. Men det viser den anvendte metodik.  

Hernæst er det muligt at udfylde risikomatrixen for at få overblikket over prioritering:

Det sidste step i ”Plan”-fasen er således at planlægge de tiltag, som skal adressere de risici, som skal håndteres.  Som det ses ovenfor, er der i dette tilfælde to aktiver, som befinder sig i de røde felter – medarbejdere og server. Derfor bør man som minimum forsøge at implementere tiltag, som kan reducere risikoen for disse to aktiver. 

Det er herefter vigtigt at man får dokumenteret hvilket tiltag, som man ønsker at implementere og får udpeget en ansvarlig for implementeringen. I dette tilfælde kunne en sådan actionliste se således ud: 

Vi ser ofte, at netop medarbejdere udgår en væsentlig risiko både ift. den generelle it-sikkerhed, men også ift. overholdelse af reglerne i persondataforordningen. 

Vi har derfor udarbejdet en guide til hvordan du kommer i gang med at træne dine medarbejdere i it-sikkerhed og persondataforordningen. I guiden får du gratis adgang til en række skabeloner og værktøjer, som du kan bruge i jeres organisation.

Hvad har vi gennemgået? 

  • Der er en klar sammenhæng mellem it-sikkerhed og persondataforordningen 
  • Datatilsynets vejledning i behandlingssikkerhed lægger op til samme proces som ISO27001: Plan, Do, Check og Act 
  • Nøgleordet er risikovurdering – start derfor altid her 
  • Husk at der er forskel mellem risikovurdering for it-sikkerhed og persondata 
  • Lav begge og sikr derved det fulde overblik 
  • Medarbejderne er altid en risiko – læs mere her 
Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.

Få besked når vi udgiver nye artikler

Certificering i it-sikkerhed for organisationer: Revisionserklæring (ISAE3402) eller ISO-certificering?

Indledning

Mange organisationer oplever at der bliver stillet krav til deres arbejde med it-sikkerhed. Det er ofte fra eksterne samarbejdspartnere eller kunder, som ”kræver” at jeres organisation kan leve op til kravene eller er certificeret i ”ISO27001” eller lignende. 

 

Formålet med denne blog er at afdække forskellige muligheder for certificering inden for IT-sikkerhed. Dernæst er det formålet at skabe et overblik over de opgaver, som er forbundet med etablering af en it-sikkerhedscertificering. 

 

Sidst men ikke mindst er det formålet vise de videre skridt imod implementering og egentlig udarbejdelse af certificering. 

 

Afdækning af forskellige typer for certificering omhandler følgende: 

 

  • ISO-certificering eller revisionserklæring (ISAE 3402 erklæring)?

  • Type-1 eller type-2 (ift. revisionserklæring)? 

  • Anvendt standard: ISO27001 eller ISO27002? 

 

En ”typisk køreplan” for at etablere en revisionserklæring: 

 

  • Afstemning af revisionserklæringsomfang med udvalgte kunder og samarbejdspartnere.

  • Formålet er at sikre, at disse samarbejdspartnere accepterer det tiltænkte erklæringsniveau.

  • Indled dialog med revision for at få estimeret omkostningsniveau for deres udarbejdelse af revisionserklæring

  • Endelig intern beslutning omkring valg af revisionserklæringstype og valg af standard 

  • Udarbejdelse af dokumentation, herunder IT-sikkerhedspolitik, IT-sikkerhedshåndbog og relevante retningslinjer og politikker 

  • Aftale med revision omkring udarbejdelse af revisionserklæring 

  • Implementering af nye tiltag/processer 

  • Udarbejdelse af selve revisionserklæring (type-1) 

  • Drift af det nye ledelsessystem i 6-12 måneder 

  • Evt. udarbejdelse af revisionserklæring (type-2) 

Indhold

  1. Indledning
  2. Hvorfor arbejde med certificering som ISO27001 eller ISAE 3402 revisionserklæringer?
  3. Certificering, erklæring eller ej?
  4. ISO-certificering eller ISAE 3402 revisionserklæringer?
  5. ISO27001 eller ISO27002?
  6. Hvad er ISO27001?
  7. Hvad er ISO27002?
  8. ISO27001 vs. ISO27002?
  9. Type-1 vs. type-2?
  10. Hvilken form for erklæring bør du arbejde med?
  11. Forventede opgaver
  12. Opgaver forbundet med at etablere ISAE 3402 erklæring – type 1 ift. ISO27002
  13. Forventede ekstraopgave for at udvide fra type-1 til type-2 erklæring
  14. Forventede esktraopgave for at udvide fra ISO27002 til ISO27001
  15. Hvordan ser en projektplan for en organisation der vil være certificeret i IT-sikkerhed ud?​​

Hvorfor arbejde med certificering som ISO27001 eller ISAE 3402 revisionserklæringer?

Det overordnede formål med denne blog er at skabe et overblik omkring at opnå certificering eller revisionserklæring op imod ISO27001/2.  

 

Baggrunden for at udarbejde dette notat er, at vi her hos CyberPilot i stigende omfang oplever, at vores kunder bliver mødt af eksterne samarbejdspartneres og klienters krav til deres IT-sikkerhed og specifikt spørger til certificering eller revisionserklæring på området. 

 

Denne blog vil hjælpe dig til at forstå forskellene imellem de forskellige certificeringer og erklæringer. Det kan hjælpe dig til at forstå om I skal arbejde mod certificering elle ej. Derudover vil du være i stand til at planlægge jeres egen proces, hvis det er relevant for jer. 

 

Disse certificeringer og erklæringer er en måde at vise overfor eksterne partnere, at I lever op til god praksis indenfor IT-sikkerhed og at ”I har styr på jeres ting”. 

 

Nogle gange bliver erklæringerne brugt i markedsføringen og andre er det helt konkrete krav fremsat af samarbejdspartnere, som gør det nødvendigt at arbejde med. Det kan f.eks. være i databehandleraftaler eller lignende. 

 

Det er et komplekst område, hvor det er nødvendigt at være helt skarp på de forskellige definitioner og forhold for at kunne tage den rette beslutning. 

 

Hvor skal I starte, hvis I som organisation vil certificeres i IT-sikkerhed – f.eks. ISO27001?

Inden selve arbejdet mod en certificering eller revisionserklæring sættes i gang, er der først og fremmest et behov for at afstemme det præcise omfang, hvilket kan brydes ned i følgende parametre: 

 

  • Certificering eller ej?

  • Hvilken type certificering skal I arbejde imod? 

  • ISO-certificering eller en ISAE 3402-revisionserklæring?
     
  • ISO27001 eller ISO27002?

  • Type-1 eller type-2-erklæring (dvs. uden eller med kontroller)? 

  • Anbefalinger ift. certificering/erklæring, ISO27001/2 og type-1/2. 

  • Hvad er de forventede opgaver for de forskellige typer certificeringer/erklæringer? 
 
 

Certificering, erklæring eller ej?

Det første step er naturligvis at afklare om det overhovedet er en prioritet for jeres organisation at blive certificeret eller få en revisionserklæring eller ej?  

 

Baggrunden for at blive certificeret er ofte en af følgende: 

 

  • Lovkrav 

  • Krav fra eksterne samarbejdspartnere (ofte kunder) 

  • Krav fra bestyrelse/ejere 
 

 

Arbejdet med at blive certificeret eller få etableret en revisionserklæring kræver ressourcer og derfor er det vigtigt, at I har afdækket det faktiske behov inden I går i gang.  

 

Det er dog vores erfaring, at processen imod en certificering/erklæring ofte er en rigtig sund proces for de fleste organisationer, da det tvinger dem til at overveje alle relevante aspekter af deres egen it-sikkerhed. Det betyder ofte, at I bliver opmærksom på forhold, som I normalt ikke ville få adresseret uden kravet om certificering/erklæring, men som skabet værdi for jeres organisationen på den lange bane. 

 

ISO-certificering eller ISAE 3402-revisionserklæring?

Som det næste bør det afklares, hvorvidt der er behov for en fuld ISO-certificering eller om I kan ”nøjes” med den mere simple (og mindre omkostningstunge) revisionserklæring. 

 

En fuld ISO-certificering stiller krav til et fuldt implementeret ledelsessystem, som er dokumenteret og som efterleves dagligt. Der stilles således store krav til både implementering, drift samt indledende og fortløbende certificeringsproces. Certificeringsprocessen omfatter en fuld gennemgang af alle processer og dokumentation. 

 

En ISAE 3402-erklæring er en revisionserklæring på, at en given organisation efterlever en specifik standard. Der stilles således stadig krav til både dokumentation og daglig drift, men i væsentlig mindre omfang end ved en fuld ISO-certificering. Dette ses også i selve certificeringsprocessen, som for revisionserklæring består af stikprøver og interviews.  

 

Ressourceforbrug (omkostningen) mellem fuld ISO-certificering og revisionserklæring vil i sagens natur variere fra organisation til organisation, afhængig af en række parametre som omfang af scope, modenhed af organisationen ift. IT-sikkerhed, interne ressourcer, kompetencer osv. Som udgangspunkt skal det dog forventes, at ressourcerne (og derved også omkostningen) til fuld ISO-certificering vs. revisionserklæring udgør en faktor 4-5 både – før, under og efter.  

 

Det er desuden vigtigt at være opmærksom på, at den fulde ISO-certificering kun i meget begrænset omfang anvendes i Danmark i dag. Langt oftere ser man anvendelsen af revisionserklæringer. Dette kan ses som et udtryk for, at ”markedet” ofte accepterer disse revisionserklæringer. 

 

Det er således CyberPilots anbefaling og vurdering, at en ISAE 3402 erklæring ofte vil være det rigtige valg for langt de fleste af stræbe imod. Dette skyldes følgende: 

 

  • Meromkostningen før, under og efter en fuld ISO-certificeringsproces forventes at overstige den merværdi, der opnås ved en fuld certificering frem for en revisionserklæring. 

  • Hvis I senere ønsker at ”opgradere” til den fulde ISO-certificering, vil revisionserklæringen under alle omstændigheder fungerer som et godt udgangspunkt. 

ISO27001 eller ISO27002?

Det er vigtigt at være opmærksom på, at der skelnes mellem hhv. ISO27001 og ISO27002, som reelt er to forskellige standarder. Standarderne er dog meget nært beslægtede og er begge anerkendte til netop det formål at implementere rammer for informationssikkerhed. 

 

Nedenfor vil vi kort beskrive de to standarder og forskellen mellem de to, for derefter at vurdere det bedste valg for ”den typiske danske organisation”. 

 

 

 

Hvad er ISO27001? 

 

ISO27001 definerer rammeværket for processen omkring arbejdet med informationssikkerhed. Standarden ligner andre lignende standarder, som kendes fra f.eks. kvalitetssikring i industrivirksomheder, hvor hovedformålet er, at arbejdet bliver en løbende proces og ikke en engangsforestilling. Der er således fokus på den kontinuerlige proces og løbende forbedringer.  

 

Man kan opsummere ISO27001 som værende en proces, der omfatter følgende faser: Plan, Do, Check og Act 

 

Se figur nedenfor:

Den grundlæggende metodik i ISO27001 er, at der anvendes en risikobaseret tilgang. Der stilles således ikke specifikke krav til, at en organisation lever op til krav X, Y, Z etc. Der stilles derimod krav til, at der implementeres passende tekniske og organisatoriske tiltag. Det er således op til den enkelte organisation at vurdere, hvad disse passende tiltag er. Nøglen her er ”risikovurderingen”. 

 

Derudover består ISO27001 af ”Anneks A”, som definerer 18 enkeltvise områder inden for IT-sikkerhed, man bør arbejde med, bl.a..: 

 

  • Etc. 

Anneks A er således en implementeringsguide til ”best practice”-forhold inden for de enkelte områder.  

 

 Hvad er ISO27002? 

 

ISO27002 består reelt kun af Anneks A fra ISO27001. ”Plan-Do-Check-Act”-delen indgår altså ikke i ISO27002. 

 

Det vil sige, at ISO27002 er fokuseret på de definerede områder og selve implementeringen af tiltag, hvorimod ISO27001 også omfatter retningslinjer til selve processen for arbejdet. 

 

ISO27002 er således mindre omfattende end ISO27001. 

 

ISO27002 stiller, ligesom ISO27001, ikke krav til, at organisationerne opfylder krav X, Y, Z etc. Her skal igen anvendes en risikobaseret metode, hvor der tages stilling til, hvad der er passende for den enkelte organisation.  

ISO27001 vs. ISO27002? 

 

Eksterne samarbejdspartnere vil typisk ikke have klare holdninger til, om der anvendes ISO27001 eller ISO27002. Ofte anvendes en formulering som f.eks. ”anerkendt ISO-standard inden for informationssikkerhed”. 

 

Det er derfor CyberPilots vurdering og anbefaling, at ofte bør forsøge at arbejde mod at følge ISO27002, da dette er mindre omfattende end ISO27001. Hvis I senere ønsker at udvide til at følge ISO27001, vil arbejdet med ISO27002 tjene som et godt fundament. 

 

Type-1 eller type-2?

En ISAE 3402-erklæring kan være enten af type1 eller type2.  

 

Hvad er en type-1-erklæring? 

 

En type1-erklæring omfatter en gennemgang af dokumentationen, dog uden egentlig kontrol af selve implementeringen. En type-1-erklæring er således udtryk for et øjebliksbillede på en given dato. 

 

Omkostningen til en type-1-erklæring består af to dele: 

 

  • Den interne forberedelse, implementering og dokumentation 

  • Gennemgang, udarbejdelse og løbende vedligeholdelse af erklæring – denne opgave skal varetages af en autoriseret it-revisor. 

  • Kan variere fra revisionshus til revisionshus. Estimat: 100.000 dkk 

 

Hvad er en type-2-erklæring? 

 

En type-2-erklæring består af en gennemgang af både dokumentation og kontrol af den faktisk implementering – typisk vil denne kontrol være i form af stikprøver og gennemgang af dokumentation, systemer osv. En type-2-erklæring dækker typisk en periode på 6 eller 12 måneder, og giver således et billede af situationen i hele perioden – på samme vis som et årsregnskab. 

 

En type-2erklæring er således mere omfattende end en type-1. 

 

Omkostningen til type-1-erklæring består af tre dele: 

 

  • Den interne forberedelseimplemetering og dokumentation 

  • Det løbende arbejde med at overholde/dokumentere kontrollerne 

  • Gennemgang, udarbejdelse og løbende vedligeholdelse af erklæring 

  • Kan variere fra revisionshus til revisionshus. Estimat: 150.000-200.000 dkk 
 

 

Type-1 vs. type-2? 

 

Eksterne samarbejdspartnere vil typisk stille krav om en revisionserklæring, men det vil ofte ikke være specifikt angivet, hvorvidt denne erklæring skal være af type-1 eller type-2.  

 

Ofte ses det desuden, at man først udarbejder en type-1-erklæring, for derefter at udvide denne til en type-2.  

 

Erfaringen viser, at ved først at arbejde imod en type-1-erklæring og derefter ”opgradere” til type-2, har mulighed for at modne organisationens dokumenter og processer, før man når til type-2-erklæringen. Hvis I derimod går direkte til en type-2-erklæring, risikerer I, at der kommer anmærkninger i revisionserklæringerne, hvis dokumentationen og kontrollerne ikke lever op til revisorkravene, da der jo erklæres inden for en given periode. Ved en type-1-erklæring er der således bedre mulighed for at sætte processen på ”pause”, tilrette dokumentation og processer, og derefter gentage processen. 

 

En anden fordel ved at gå efter en type-1-erklæring først er, at I i løbet af relativt kort tid kan få udarbejdet revisionserklæring. Type-1 stiller ikke krav om, at I kan påvise dokumentationen over en længere periode, som det er tilfældet med en type-2. 

 

En væsentlig del af beslutningen omkring at vælge type-1 vs. type-2 afhænger af den omkostning, som skal allokeres til den eksterne part – revisorDet vil derfor være relevant at afstemme det faktiske omkostningsniveau med netop revisor.  

 

Under alle omstændigheder vil der dog være lavere omkostninger fra revisors side ift. at udarbejde en type-1 vs. type-2-erklæring. 

 

Det er således CyberPilot vurdering og anbefaling, at I i langt de fleste tilfælde først arbejder imod en type-1-erklæring og dernæst udvider til en type2. 

 

Dette giver følgende fordele: 

 

  • Omkostningen for en revisor til en type-1-erklæring er mindre end til en type2 (ca. faktor 1,5-2). 

  • I får mulighed for at ”modne organisationens processer og dokumentation og opnå en revisionserklæring uden anmærkninger. 

  • I opnår hurtigt en erklæring. Hvis I går efter en type-2, vil det tage en periode på ca. 3-6 måneder, hvor I skal være i drift, inden erklæringen kan udarbejdes. 

  • Mange eksterne samarbejdspartnere vil ikke stille specifikt krav til type-2 ift. type-1, og derfor vil I i de fleste tilfælde kunne ”nøjes” med en type-1. 
 

Hvilken form for erklæring bør du arbejde imod?

Jf. ovenstående argumentation, er det CyberPilots vurdering og anbefaling, at du i de fleste tilfælde arbejder imod følgende: 

 

ISAE 3402 erklæring – Type-1 ift. ISO27002 

 

Dette vil efter vores vurdering være tilstrækkeligt over for langt de fleste kunder og samarbejdspartnere. I tilfælde, hvor der stilles strengere krav, vil det sandsynligvis være noget, som kan forhandles. 

 

Det anbefales ALTID, at du tager kontakt til de kunder og samarbejdspartnere, som stiller krav og afstemmer, inden du går i gang med selve arbejdet med erklæringen. 

 

 

Hvad er de forventede opgaver?

Enhver beslutning omkring udarbejdelse af certificeringer eller revisionserklæringer skal naturligvis afvejes ift. de opgaver, som det medfører. Kun igennem et indblik i de forbundne opgaver, kan beslutninger omkring et bestemt certificerings/erklæringsniveau tages. 

 

Som nævnt ovenfor, kan det være vanskeligt at redegøre præcis hvilke opgvaer, der er forbundet med at implementere, vedligeholde og opretholde certificeringen/erklæringen, da det vil være forskelligt fra organisation til organisation. 

 

Vi vil dog forsøge at give et bud ud fra den typiske situation. 

 

Estimatet vil tage udgangspunkt i det erklæringsniveau (som også er det anbefalede for de fleste organisationer, som tager hul på denne opgave):  

 

ISAE 3402 erklæring – Type-1 ift. ISO27002 

 

Herefter vil det blive estimeret hvilke opgaver, der er forbundet med ”opgraderingen” til hhv. type-2 og ISO27001. 

 

 

 

 

Opgaver forbundet at etablere ISAE 3402 erklæring – Type-1 ift. ISO27002 

 

En erklæring vil typisk tage udgangspunkt i følgende dokumenter, som skal udarbejdes og gennemgås af revisor: 

 

  • Overordnet IT-sikkerhedspolitik (statement fra ledelsen), som indeholder målsætninger og ansvar.

     

  • Dokumentation af risikovurdering – dokumentation af, at denne proces er gennemført og godkendt af ledelsen.

     

  • IT-sikkerhedshåndbog, som beskriver overordnet proces og tiltag (ikke på procedure-niveau). Håndbogen følger kapitlerne i ISO27002. IT-sikkerhedshåndbogen er således dokumentation af de tiltag, som er implementeret for at håndtere informationssikkerheden. Det er et dokument til anvendelse i IT-afdelingen og til revisionen, ikke til den generelle medarbejderstab.

     

  • Diverse politikker, retningslinjer og procedurer inden for de specifikke kapitler i IT-sikkerhedshåndbogen – f.eks. en beredskabsplan, retningslinjer for medarbejdere osv.  
 
 

 

Det er således denne dokumentation, der skal være på plads, inden selve erklæringen kan udarbejdes af revisorDette er i stor udstrækning samme dokumentation, uanset om I vælger type-1 eller type-2. 

 

Gennem for-analyse og risikovurdering af de eksisterende tiltag og modenhed af jeres informationssikkerhed (som kan gennemføres gennem workshops), er det muligt at estimere en væsentlig del af de forventede omkostninger for netop jeres projekt.  

 

Da ISO27002 netop tager udgangspunkt i en risikobaseret tilgang, vil det endvidere være relevant at se på konklusionerne fra risikovurderingen, og vurdere hvilke nye indsatser, der skal implementeres for at nå et acceptabelt risikoniveau. 

 

 

  Forventede ekstraopgave for at udvide fra type-1 til type-2-erklæring 

 

Ekstraopgaver: 

 

  • Forarbejde: tilrettelæggelse og beskrivelse af kontroller

     

  • Løbende kontrol og dokumentation af aktiviteter (intern tid skal allokeres).

     

  • Omkostning til revisionserklæring – estimat: faktor 1,5 til 2 ift. type-1.
     

Der skal således forventes en væsentlig yderligere tid til opgaverbåde ift. forarbejde, løbende kontroller og en udvidet omkostning til revisor. Det skal desuden noteres, at der er risiko for, at revisor vil have indvending imod de implementerede kontroller, hvilket kan give anmærkninger i revisionserklæringen. 

 

Det anbefales dog, at I allerede ved etablering af samarbejdet omkring type-1-erklæringen indleder dialogen omkring fremtidigt ønske, om at få udarbejdet en type-2-erklæring.  

 

Igennem arbejdet med type-1-erklæringen vil det blive mere tydeligt hvilke yderligere tiltag og kontroller, der skal implementeres for at kunne opnå en type-2-erklæring. Revisor vil også have et bedre udgangspunkt for at estimere tidsforbrug. Ved at tage en trinvis tilgang kan I ofte reducere omkostningen til revisor væsentligt. 

 

 

 

  Forventet ekstraopgaver for at udvide fra ISO27002 til ISO27001 

 

Forskellen mellem ISO27001 og ISO27002 ligger som beskrevet i dokumentationen og etableringen af selve ledelsessystemet opdelt i de fire faser: Plan, Do, Check og Act. Det er denne del, der skal implementeres og driftes for at gå fra ISO27002 til ISO27001. Det er således kapitel 4-10 i ISO27001-standarden, som skal inkluderes i organisationens ledelsessystem for informationssikkerhed.  

 

Opgaverne forbundet med at etablere denne proces ligger delvist i dokumentationen og tilrettelæggelse af de interne processer for de fire faser, og delvist i den interne tid, som skal bruges til at implementere og gennemføre processerne. 

 

Den reelle forskel ligger i faserne check og act”. Her stiller ISO27001 krav til, at der skal implementeres en kontinuerlig proces for at opstille målsætninger for de enkelte tiltag, tjekke om disse tiltag er effektive, og løbende justere, hvis resultaterne afviger fra målsætningerne. 

 

Da rammerne for ISO27001 har et større omfang end ISO27002, kan det forventes, at revisionsomkostningerne vil være tilsvarende højere, da revisor også skal gennemgå og revidere dokumentationen fra kapitel 4-10 som en del af revisionserklæringen.  

 

Ekstraopgaver: 

 

  • Forarbejde: Dokumentation og beskrivelse af processer omfattet i kapitel 4-10 i ISO27001-standarden 

     

  • Implementering og gennemførelse af processerne forbundet med de fire faser

     

  • Revisionserklæring – bør afstemmes med revisor. 

 

Det er primært den ekstra interne tid, som forventes at udgøre forskellen mellem fra ISO27002 til ISO27001. 

 

Der kan på samme måde som ved type-1 vs. type-2 være en fordel i at udvide rammerne trinvist. Kravet til modenheden i organisationen er større ved ISO27001 end ISO27002, og derfor kan det være relevant at udvide i takt med at organisationen modnes. 

Hvordan ser en projektplan ud for en organisation der vil være en certificeret i IT-sikkerhed ud?

Nedenfor er en liste over de næste steps, som en ”typisk dansk organisation” bør arbejde på, for at komme videre med et sådant projekt: 

 

  • Afstemning af revisionserklæringsomfang med udvalgte kunder og samarbejdspartnere. Formålet er således at sikre at disse samarbejdspartnere acceptere det valgte certificeringsniveau – ofte anbefales det at starte med en ISAE 3402-erklæring type-1 op imod ISO27002