CyberPilot Community

- et netværk, hvor der er fokus på jer, som arbejder med It-sikkerhed og GDPR, og som ønsker at dele viden og skabe værdi for hinanden.

Mange af vores kunder ligner hinanden. Det er som oftest organisationer, som befinder sig i kategorien ”mellemstore organisationer” – og primært danske organisationer. Vi oplever derfor igen og igen, at de problemstillinger, som vores kunder står overfor ift. it-sikkerhed og GDPR-compliance ligner hinanden rigtig meget. Det har fået os til at tænke: ”hvordan kan vores kunder dele deres viden med hinanden (hvis de ønsker det) og derigennem skabe værdi for hinanden – uden at det skal være besværligt, omkostningsfuldt eller tage for meget tid?”.  

Vi tror på, at noget af det mest værdifulde, der findes, er personer, som deler deres viden og erfaring med andre. Så det vil vi gerne forsøge at facilitere igennem et ”online netværk/community”. Og efter de første snakke/stikprøver, hvor vi har præsenteret denne ide, er vi blot blevet bekræftet i at det potentielt kunne være et værdiskabende tiltag. 

Det skal som sagt være:

  • Online – således at det er effektivt ift. den tid, som skal investeres af de enkelte deltagende
  • Relevant – vi skal dele viden om relevante emner, som kan hjælpe jer i jeres hverdag
  • Frivilligt og gratis – det skal ikke koste noget ekstra at være medlem af. Og der er ikke nogen forpligtelse til at man SKAL bidrage. Men som altid så fungere de bedste netværk jo hvis der bidrages.

Helt konkret er tanken at: 

  • Vi samler en gruppe personer (som er kunder hos CyberPilot) og som til dagligt arbejder med it-sikkerhed og/eller GDPR-compliance i en (eller flere) TEAMS-kanal(er), som CyberPilot administrerer
  • I første omgang vil vi samle omkring 10 personer pr. kanal/gruppe
  • Efter en kort introduktion til hinanden vil vi forsøge at facilitere relevante diskussioner og vidensdeling
  • Efter en periode (f.eks. 6 måneder) evaluerer vi om netværket skaber værdi og vi skal fortsætte eller ej – evt. udvide til inkludere flere personer.

Derfor vil vi indenfor den nærmeste fremtid gå live med version 1.0 af vores CyberPilot-community. Det kommer til at være en ren ”prøve-ballon”, hvor vi tester om ideen også virker i praksis. Vi har allerede fundet de første kunder, som ønsker at deltage. Hvis du gerne vil deltage i denne omgang, så skriv en mail til mig på rhv@cyberpilot.dk. 

Med venlig hilsen  

Rasmus Vinge – Direktør CyberPilot 

Vil du holdes opdateret på IT-sikkerhed?

Cockpittet udvides! Ny customer success manager

Vi har udvidet cockpittet og er glade for at kunne præsentere Stine, som er vores nye Customer Success Manager! Hun vil fremover varetage kontakten med vores kunder og sikre, at de føler sig trygge og værdsatte hos os. Stine er uddannet i Leisure Management og har en erhvervsmæssigbaggrund inden for hospitality– og eventbranchen. Når hun ikke er på kontoret, kan du finde enten finde hende nede i fitnesscentret eller ude i byen til en svingom – det handler jo om den gode balance 😉 

 

Vi håber, at I vil lære Stine lidt bedre at kende og har derfor taget hende ind til et kort interview. Læs med videre og bliv klogere på vores nyeste pilot og betydningen af Customer Succes hos os: 

1. Hvorfor har du sagt ja til jobbet hos CyberPilot?

Fordi det er nice og taler lige ind i mit servicehjerte! Som Customer Success Manager hos CyberPilot får jeg lov til at mikse min interesse for mennesker og oplevelser samtidig med, at jeg r stillet min IT-nysgerrighedJeg har altid haft et udpræget servicegen samtidig med, at jeg er meget analytisk anlagt. At få mulighed for at kombinere disse to styrker i mit arbejde er en drøm, hvilket giver mig et kæmpe drive for at skabe de bedste resultater for vores kunder og en glæde ved at tage på arbejde hver dag. Her kan jeg bruge mine kompetencer til at give kunden værdi og sikre, at de lykkes med awareness-træningen. Derudover har jeg fået et hold søde og talentfulde kollegaer med i pakken, og det kan man jo ikke sige nej til! 

2. Hvad betyder det, at CyberPilot får en Customer Success Manager?

Det betyder, at vi har fingeren på pulsen med vores kunder og derved kan sikre, at de opnår deres ønskede resultater. Ved første øjekast kan det måske lyde lidt underligt at ansætte en Customer Success Manager for altså: Er IT-branchen ikke bare fyldt af gutter, der hacker sig ind i cyberspace i de sene nattetimer med en 1,5 liters cola på skrivebordet? Her er jeg glad for at skuffe dig, kære læser, for det er meget mere end det. Selvom IT-sikkerhedsløsninger har tendens til at lyde lidt tørt, så er det uhyre vigtigt at tage hånd om sine kunder, så de føler sig trygge igennem hele forløbet. Customer Success handler om, at vi skal skabe den gode relation med hver enkelt kunde,  de får succes med deres awareness-træning. Vi ønsker at tage deres bekymringer og udfordringer væk, så de lykkes med det forløb, vi i fællesskab har skræddersyet til dem. 

Der er stor forskel på, hvad vi som mennesker har behov for i sådan en relationog man skal derfor kunne mestre at navigere i dette – og det er netop dér, jeg kommer ind i billedet. Ved at implementere Customer Success hos CyberPilot er vi med til at sikre, at kundens individuelle behov bliver hørt, således de lykkes med awareness-træningen. Dette skaber værdi hos kunden og giver dem et smil på deres læber – og er noget, vi elsker, så er det smilende kunder! 😊 

3. Hvad vil du gerne opnå hos CyberPilot?

Det overordnede mål er jo at opnå glade og tilfredse kunder over hele linjen, hvad enten det er Hans fra HR eller Lene fra IT. Dette kræver en masse hårdt arbejde og gåpåmod, for selvom vi har en masse glade kunder nu, vil der altid være plads til forbedring. Kunderne skal sættes på dagsordenen, og ligesom de lærer af os, skal vi lære af dem. Hvilke bekymringer har de? Hvor ligger deres behov? Hvilke succesoplevelser har de haft med os? I mine nu 2 uger hos CyberPilot har jeg bidt mærke i, at vores kunder i den grad ønsker at gøre sig selv bedre, hvilket er et rigtig godt udgangspunkt for at opnå den succes for kunden, som vi stræber efter. Min fornemmeste opgave er at lytte til vores kunder og skabe de gode relationer, der skal til for at kunne optimere deres oplevelse og gøre dem bedre. Jeg håber derfor at få snakket med en masse af vores kunder i løbet af de næste måneder og lære dem og deres behov bedre at kende. 

Tak fordi, at du læste med! Hvis du har spørgsmål til Stine eller resten af truppen, er du selvfølgelig velkommen til at kontakte os via info@cyberpilot.dk.

Vil du holdes opdateret på IT-sikkerhed?

Sikker surfing

Surfer

Turist i et fremmed land

Lad mig starte et helt andet sted. Forestil dig, at du er turist i et fremmed land. Du kender ikke landets kultur, geografi eller byliv, så godt som dit hjemlands, og du har derfor antennerne ude for at undgå at blive bestjålet af lommetyve eller snydt af svindlere. Når du kommer til en skummel gyde eller en snusket beværtning kan du mærke, at her skal du passe ekstra godt på og ikke vifte med dollarsedlerne eller din dårlige engelske accent. Du holder lav profil, fordi du fysisk og intuitivt føler dig utryg, når du aflæser de små og store faresignaler. Din frygt er således et overlevelsesinstinkt, som sørger for du ikke kommer i problemer.

 

Surfing på internettet er ligesom at være turist i et fremmed land. Du suser ind og ud af hjemmesider, hvor du ikke aner, hvem der står bag. Det kan sagtens være en ærlig og hjælpsom sjæl, men kan også sagtens være kriminelle, som vil have dig til at begå fejl og få dig i fedtefadet. Problemet i den digitale verden er blot, at vores fysiske og intuitive alarmsystem ikke reagerer så stærkt. Vi sidder trygt foran skærmen med en kop kaffe og er ikke det mindste bekymrede. Det gør, at man glemmer den kritiske påpasselighed og er i risikozonen for at begå uheldige handlinger, som åbner døren for de kriminelle. 

Malware er vejen ind

Men hvad er det egentlig de kriminelle er ude på, og hvilke metoder benytter de? Kort sagt; er deres mål at stjæle, snyde og afpresse – og metoderne er mange. Den største trussel er dog, at de lykkes med at få installeret malware på din computer. Malware er et vidt begreb; men i bund og grund drejer det sig om et lille program eller et stykke kode, som er designet til at inficere din computer. Du har uden tvivl hørt om begreber, såsom ransomware, keyloggers, trojanske heste osv. Det er alt sammen malware – ondsindet software.

Det eneste der forhindrer de kriminelle i at lykkes med deres projekt, er en opdateret computer og sund fornuft hos brugeren som surfer. En opdateret computer og browser er et godt grundlæggende forsvar, men hvis brugeren ukritisk aktiverer, godkender, downloader, installerer, kører og accepterer alt muligt skrammel, så kan ingen opdateret computer klare skærene alene. Derfor er det vigtigt at surfe sikkert.

 

Surfing er usikkert, fordi man besøger hjemmesider, hvor der potentielt kan stå kriminelle i kulissen og gnide sig i hænderne. Punktum. Derfor er det afgørende, at man forstår deres taktik. De prøver på alle mulige måder, at få brugeren til at åbne computerens grundlæggende forsvare og blive ”inviteret” indenfor. Det gør de fx ved at placere malware i Office filer, få dig til at installere ”hjælpeprogrammer” eller aktivere ”nødvendige” funktioner, før du kan få lov at komme videre. Lad os tage et eksempel. 

”Uskyldige” Office filer

Særligt en metode går under radaren på de fleste. Det drejer sig om Makroer. En makro er i princippet et gavnligt hjælpeprogram, som kan integreres i en Office fil, som fx et Word dokument, et Excel ark eller en PowerPoint præsentation. Det kan fx være et lille stykke kode, som omregner data fra en slags til en anden. Makroen er således et lille program i filen, som selvstændigt får lov at gøre et eller andet. Det kan de kriminelle udnytte ved at placere et stykke skadelig kode i en ellers ufarligt udseende Office fil.

Derfor åbner Office filer hentet fra internettet som udgangspunkt i beskyttet visning.

BeskyttetVisning

Beskyttet visning sikrer, at makroer forhindres i at udføre noget. Aktiverer du redigering, tillader du manuelt at makroen (evt. malwaren) får lov til at gøre sit arbejde.

Jeg bruger dette eksempel af to årsager. Den første årsag er, at rigtig mange mennesker slet ikke overvejer, at en Office fil kan indeholde malware. Den anden årsag er, at selv om man er bevidst om risikoen, så kan man ende med at ignorere den, fordi den slags advarsler viser sig så ofte. Meddelelsen kommer jo også, når man åbner en fil sendt af en god kollega eller et referat fra chefen. Man holder ganske enkelt op med at tage advarslerne alvorligt, og man kan på en måde sige, at de fleste af os lider af en alt for høj advarselstolerance. Når man ikke længere skænker et faresignal en tanke, så er man godt på vej til at begå fejl.

Den menneskelige fejlmargin, når det kommer til Sikker Surfing, er derfor også den største. Surfing er lidt af en jungle og det kræver, at man er meget opmærksom på alle de kendte og ukendte scenarier, hvor man kan komme til at åbne døren for de kriminelle ved at foretage en handling, hvor computerens grundlæggende forsvar suspenderes, og de kriminelle bliver lukket ind. Makroer i en Office fil er blot én vej til at blive inficeret med malware. Listen er lang. 

Hvis du har andre gode eksempler på, hvornår man kan falde i en fælde, når man surfer, så send os en mail på info@cyberpilot.dk. 

Skrevet af Fredrik Nielsen.

Vil du holdes opdateret på IT-sikkerhed?

Kan Gamification og plakater skabe motiverede brugere?

PlakaterPåGulv

Verden er af lave

Vi lever i en digital verden, hvor skærme konstant søger at fange vores opmærksomhed med reklamer, kattevideoer og fake news. Det kan være svært at fange brugeres opmærksomhed med sagligt indhold, når man konkurrerer med ”Piano Cat” og den ophedede vaccinedebat, hvor Karl og Björk har besluttet sig for, at mæslinger er skabt af Mette Frederiksen i samarbejde med store onde kapitalistiske medicinalvirksomheder. 

CyberPilot vil skabe orden og glæde i kaos

Awareness-træning er, i al beskedenheden, en hjørnesten i vores fælles kamp for en mere it-sikker verden, hvor vores persondata bliver behandlet forsvarligt. Som et led i kampen er vores næste skridt at gøre awareness-træningen så spændende og sjov, at brugerne venter med kattevideoerne, til alle awareness-træningskurser er gennemført. Det forsøger vi i 2020 at gøre ved at implementere gamification og supplere det digitale indhold med fysisk indhold. Målet er at motivere brugerne til at blive endnu bedre til at gennemføre awareness-træningen og skabe bedre sikkerhedskulturer i danske organisationer. Læs mere om de to tiltag herunder, og hvordan vi har implementeret det i en testcase.  

Gamification – vi er alle gamere

Gamification er det nye sort, men hvad er det nu lige, at det er? Gamification er at tilsætte spilelementer til ting, der ikke er spil. Det kunne f.eks. være, at man kan stige i levels, når man gennemfører kurser, eller at man, som spejdere, får badges, når man har gennemført en gruppe af kurser indenfor et specifikt emne. Målet med spilelementer er at gøre relativt kedelige ting motiverende ved at belønne brugerne for deres indsats. Aksel på syv er mere motiveret for at tage opvasken, hvis han bliver belønnet med ros, hæder og præmier. Der er en lille Aksel inde i os alle.

CyberPilot vil gerne bidrage til at gøre IT-sikkerhedsundervisning mindre tørt og mere sjovt. Det er dog også vigtigt for os, at det ikke bliver useriøst og fjerner fokus fra vores primære mål – at skabe øget opmærksomhed om IT-sikkerhed og håndtering af persondata. Derfor vil vi løbende forsøge at implementere og teste elementer fra spilverdenen på udvalgte organisationer.

Vil du høre mere om, hvordan du kan bruge gamification til at motivere dine brugere? Så kontakt os på info@cyberpilot.dk og hør mere. 

Fysisk indhold skaber ekstra awareness

CyberPilot er en digital virksomhed, men vi eksisterer også virkeligheden, så det synes vi også, at awareness-træningen skal. Træningen udkommer i kurser hver anden måned, hvilket betyder, at der går lang tid mellem kurserne. Derfor har vi valgt at udvikle fysisk indhold, i form af plakater, der kan supplere den digitale undervisning. Plakaterne kan være til stede i brugernes dagligdag, og dermed minde brugerne om, hvad de har lært i awareness-træningen, og hvad de skal være opmærksomme på i hverdagen. På den måde kan plakaterne supplere og forstærke awareness-træningen og skabe en mere sikker adfærd og bedre IT-sikkerhedskultur. Du kan se de fire plakater her:

Case med gamification og plakater

Vi er, som nævnt, begyndt at udforske gamification og fysisk indhold. Det er sket i form af en case, der udformede sig således:

  • Vi udvalgte test-organisationer
  • Vi fandt de flittigste brugere i organisationerne
  • De flittige brugere modtag en mail om, at de havde vundet en valgfri plakat grundet deres flid
  • Brugerne valgte hvilken plakat, de gerne ville have
  • Vi sendte plakaterne til brugerne med posten

Casen skaber et ekstra incitament for brugerne for at gennemføre alle kurser, da de modtager en belønning, hvis de gør det. 33% af brugerne, der vandt en plakat valgte at bestille en plakat, hvilket gjorde at vi pludselig fik travlt med at printe, pakke og sende. Efter de var sendt, fik vi bekræftet, at plakaterne prydede deres vægge og ikke var blevet parkeret i en kælder ved siden af det gamle varmefyr, der kommer til live i natten

Brugerne går nu dagligt forbi plakaterne og bliver mindet om, hvad et stærkt password er, hvad persondata er, eller hvordan man bør behandle persondata. Plakaterne kan skabe en forbindelse med kurserne fra awareness-træningen, og forhåbentligt hjælpe brugerne med at huske, hvad de har lært. Vi tror på, at det skaber en bedre IT-sikkerhedskultur. Det viser også, at plakater og fysisk indhold har en værdi, og at alt awareness ikke nødvendigvis behøver at foregå i den digitale jungle side om side med kattevideoer, men at et samspil mellem awareness-træningen og plakater kan skabe en awareness-symbiose. 

Er du og din organisation interesseret i at få plakater op på jeres vægge eller at være med i den næste test af gamification? Så skriv til info@cyberpilot.dk

PlakaterPåGulv

Vil du holdes opdateret på IT-sikkerhed?

Året der gik… og året der kommer!

2020Blog

I denne blog vil jeg kort fortælle om nogle af de ting, som vi har arbejdet på i 2019, men endnu vigtigere vil jeg løfte sløret for noget af det, som 2020 vil byde på fra vores vedkommende. 

2019 – Platformsskifte

2019 har været et spændende år hos CyberPilot, hvor vi især har haft fokus på at forbedre oplevelsen på vores kerneprodukt Awareness-træning. Vi har arbejdet på at skabe en meget nem brugeroplevelse gennem redesign af træningsplatformen, som nu er blevet mere brugervenlig, intuitiv og flottere at kigge på. Derudover har vi arbejdet med selve kursusmaterialet, hvor især arbejdet med video har fyldt en del.  

 

Vi har også arbejdet på at skabe endnu mere værdi for dem, som er ansvarlige for træningen i organisationen, dvs. superbrugerne, ved at introducere forbedret rapportering og administration (AD-integrationer, Single-sign on osv.). 

 

Sidst men ikke mindst har vi i 2019 sat mere fokus på at dele ud af vores erfaringer og viden. Det har betydet, at vi bl.a. har lavet e-fagbøger og etableret CyberPedia, et site med guides og hjælp til awareness-træningen. Sidst men ikke mindst har vi startet vores egen podcast om it-sikkerhed. Alle disse ting er frit tilgængelige på vores hjemmeside. Målet er som sagt at dele ud af vores viden for at hjælpe dig mest muligt.  

2020 – Brugerne skal i fokus

I 2020 vil vi naturligvis fortsætte med arbejdet på ovenstående. Men vi vil samtidig sætte fokus på den enkelte brugers oplevelse og udbytte af træningen. I mange organisationer er Awareness-træningen i dag primært en compliance-aktivitet, som brugerne tager “fordi de skal”. Men vi oplever heldigvis også, at mange brugere er rigtig glade for træningen. Mange siger bl.a., at det giver dem viden, som de kan bruge både på deres arbejde såvel som i det private. Det vidner om, at Awareness-træningen kan blive mere end blot “compliance”. 

 

Vores mål for 2020 er, at endnu flere brugere skal have denne oplevelse og opfattelse. De skal gerne opleve så stor værdi med træningen, at de i endnu højere grad ønsker at deltage og lære.  

 

To eksempler på tiltag, som vi vil forsøge os med i 2020 er: 

  • Gamification: Gamification har længe været et hot ”buzzword”. Vi er måske lidt skeptiske overfor at gå linen helt ud på dette område, da det er en balancegang især, når det drejer sig om awareness-træningen indenfor it-sikkerhed og persondataforordning. Men vi vil forsøge os med diverse små tiltag indenfor dette område. Blot for at tilføje et lille konkurrenceelement eller gulerod for dem, som bliver motiveret af den slags.
  • Kurser som også gavner brugerne privat: Som nævnt ovenfor, så sætter mange af vores eksisterende brugere pris på, at de kan tage den viden, som de opnår i awareness-træningen med hjem og derved opnå højere it-sikkerhed for både dem selv og deres familie. Det vil vi gerne gøre endnu mere for at støtte op om i 2020. Det betyder, at vi kommer til at tilbyde brugere ekstra kurser, som primært indeholder viden omkring emner, som vedrører deres private it-sikkerhed. Vores ønske er, at brugerne i endnu højere grad skal kunne tage viden med hjem og få gavn af det. Og jo højere personligt udbytte, som brugerne oplever ved træningen, jo højere bliver opbakningen til kurserne. Win-win for alle!

Dette er blot to eksempler på tiltag, som vi kommer til at arbejde med allerede her fra starten af 2020. Der kommer masser af andre ting, som vi glæder os til at dele med jer. 

Tak for et godt 2019 og vi glæder os til 2020 sammen med både nye, gamle og potentielle kunder 😊

Vil du holdes opdateret på IT-sikkerhed?

Certificering i it-sikkerhed for organisationer: Revisionserklæring (ISAE3402) eller ISO-certificering?

Indledning

Mange organisationer oplever at der bliver stillet krav til deres arbejde med it-sikkerhed. Det er ofte fra eksterne samarbejdspartnere eller kunder, som ”kræver” at jeres organisation kan leve op til kravene eller er certificeret i ”ISO27001” eller lignende. 

 

Formålet med denne blog er at afdække forskellige muligheder for certificering inden for IT-sikkerhed. Dernæst er det formålet at skabe et overblik over de opgaver, som er forbundet med etablering af en it-sikkerhedscertificering. 

 

Sidst men ikke mindst er det formålet vise de videre skridt imod implementering og egentlig udarbejdelse af certificering. 

 

Afdækning af forskellige typer for certificering omhandler følgende: 

 

  • ISO-certificering eller revisionserklæring (ISAE 3402 erklæring)?

  • Type-1 eller type-2 (ift. revisionserklæring)? 

  • Anvendt standard: ISO27001 eller ISO27002? 

 

En ”typisk køreplan” for at etablere en revisionserklæring: 

 

  • Afstemning af revisionserklæringsomfang med udvalgte kunder og samarbejdspartnere.

  • Formålet er at sikre, at disse samarbejdspartnere accepterer det tiltænkte erklæringsniveau.

  • Indled dialog med revision for at få estimeret omkostningsniveau for deres udarbejdelse af revisionserklæring

  • Endelig intern beslutning omkring valg af revisionserklæringstype og valg af standard 

  • Udarbejdelse af dokumentation, herunder IT-sikkerhedspolitik, IT-sikkerhedshåndbog og relevante retningslinjer og politikker 

  • Aftale med revision omkring udarbejdelse af revisionserklæring 

  • Implementering af nye tiltag/processer 

  • Udarbejdelse af selve revisionserklæring (type-1) 

  • Drift af det nye ledelsessystem i 6-12 måneder 

  • Evt. udarbejdelse af revisionserklæring (type-2) 

Indhold

  1. Indledning
  2. Hvorfor arbejde med certificering som ISO27001 eller ISAE 3402 revisionserklæringer?
  3. Certificering, erklæring eller ej?
  4. ISO-certificering eller ISAE 3402 revisionserklæringer?
  5. ISO27001 eller ISO27002?
  6. Hvad er ISO27001?
  7. Hvad er ISO27002?
  8. ISO27001 vs. ISO27002?
  9. Type-1 vs. type-2?
  10. Hvilken form for erklæring bør du arbejde med?
  11. Forventede opgaver
  12. Opgaver forbundet med at etablere ISAE 3402 erklæring – type 1 ift. ISO27002
  13. Forventede ekstraopgave for at udvide fra type-1 til type-2 erklæring
  14. Forventede esktraopgave for at udvide fra ISO27002 til ISO27001
  15. Hvordan ser en projektplan for en organisation der vil være certificeret i IT-sikkerhed ud?​​

Hvorfor arbejde med certificering som ISO27001 eller ISAE 3402 revisionserklæringer?

Det overordnede formål med denne blog er at skabe et overblik omkring at opnå certificering eller revisionserklæring op imod ISO27001/2.  

 

Baggrunden for at udarbejde dette notat er, at vi her hos CyberPilot i stigende omfang oplever, at vores kunder bliver mødt af eksterne samarbejdspartneres og klienters krav til deres IT-sikkerhed og specifikt spørger til certificering eller revisionserklæring på området. 

 

Denne blog vil hjælpe dig til at forstå forskellene imellem de forskellige certificeringer og erklæringer. Det kan hjælpe dig til at forstå om I skal arbejde mod certificering elle ej. Derudover vil du være i stand til at planlægge jeres egen proces, hvis det er relevant for jer. 

 

Disse certificeringer og erklæringer er en måde at vise overfor eksterne partnere, at I lever op til god praksis indenfor IT-sikkerhed og at ”I har styr på jeres ting”. 

 

Nogle gange bliver erklæringerne brugt i markedsføringen og andre er det helt konkrete krav fremsat af samarbejdspartnere, som gør det nødvendigt at arbejde med. Det kan f.eks. være i databehandleraftaler eller lignende. 

 

Det er et komplekst område, hvor det er nødvendigt at være helt skarp på de forskellige definitioner og forhold for at kunne tage den rette beslutning. 

 

Hvor skal I starte, hvis I som organisation vil certificeres i IT-sikkerhed – f.eks. ISO27001?

Inden selve arbejdet mod en certificering eller revisionserklæring sættes i gang, er der først og fremmest et behov for at afstemme det præcise omfang, hvilket kan brydes ned i følgende parametre: 

 

  • Certificering eller ej?

  • Hvilken type certificering skal I arbejde imod? 

  • ISO-certificering eller en ISAE 3402-revisionserklæring?
     
  • ISO27001 eller ISO27002?

  • Type-1 eller type-2-erklæring (dvs. uden eller med kontroller)? 

  • Anbefalinger ift. certificering/erklæring, ISO27001/2 og type-1/2. 

  • Hvad er de forventede opgaver for de forskellige typer certificeringer/erklæringer? 
 
 

Certificering, erklæring eller ej?

Det første step er naturligvis at afklare om det overhovedet er en prioritet for jeres organisation at blive certificeret eller få en revisionserklæring eller ej?  

 

Baggrunden for at blive certificeret er ofte en af følgende: 

 

  • Lovkrav 

  • Krav fra eksterne samarbejdspartnere (ofte kunder) 

  • Krav fra bestyrelse/ejere 
 

 

Arbejdet med at blive certificeret eller få etableret en revisionserklæring kræver ressourcer og derfor er det vigtigt, at I har afdækket det faktiske behov inden I går i gang.  

 

Det er dog vores erfaring, at processen imod en certificering/erklæring ofte er en rigtig sund proces for de fleste organisationer, da det tvinger dem til at overveje alle relevante aspekter af deres egen it-sikkerhed. Det betyder ofte, at I bliver opmærksom på forhold, som I normalt ikke ville få adresseret uden kravet om certificering/erklæring, men som skabet værdi for jeres organisationen på den lange bane. 

 

ISO-certificering eller ISAE 3402-revisionserklæring?

Som det næste bør det afklares, hvorvidt der er behov for en fuld ISO-certificering eller om I kan ”nøjes” med den mere simple (og mindre omkostningstunge) revisionserklæring. 

 

En fuld ISO-certificering stiller krav til et fuldt implementeret ledelsessystem, som er dokumenteret og som efterleves dagligt. Der stilles således store krav til både implementering, drift samt indledende og fortløbende certificeringsproces. Certificeringsprocessen omfatter en fuld gennemgang af alle processer og dokumentation. 

 

En ISAE 3402-erklæring er en revisionserklæring på, at en given organisation efterlever en specifik standard. Der stilles således stadig krav til både dokumentation og daglig drift, men i væsentlig mindre omfang end ved en fuld ISO-certificering. Dette ses også i selve certificeringsprocessen, som for revisionserklæring består af stikprøver og interviews.  

 

Ressourceforbrug (omkostningen) mellem fuld ISO-certificering og revisionserklæring vil i sagens natur variere fra organisation til organisation, afhængig af en række parametre som omfang af scope, modenhed af organisationen ift. IT-sikkerhed, interne ressourcer, kompetencer osv. Som udgangspunkt skal det dog forventes, at ressourcerne (og derved også omkostningen) til fuld ISO-certificering vs. revisionserklæring udgør en faktor 4-5 både – før, under og efter.  

 

Det er desuden vigtigt at være opmærksom på, at den fulde ISO-certificering kun i meget begrænset omfang anvendes i Danmark i dag. Langt oftere ser man anvendelsen af revisionserklæringer. Dette kan ses som et udtryk for, at ”markedet” ofte accepterer disse revisionserklæringer. 

 

Det er således CyberPilots anbefaling og vurdering, at en ISAE 3402 erklæring ofte vil være det rigtige valg for langt de fleste af stræbe imod. Dette skyldes følgende: 

 

  • Meromkostningen før, under og efter en fuld ISO-certificeringsproces forventes at overstige den merværdi, der opnås ved en fuld certificering frem for en revisionserklæring. 

  • Hvis I senere ønsker at ”opgradere” til den fulde ISO-certificering, vil revisionserklæringen under alle omstændigheder fungerer som et godt udgangspunkt. 

ISO27001 eller ISO27002?

Det er vigtigt at være opmærksom på, at der skelnes mellem hhv. ISO27001 og ISO27002, som reelt er to forskellige standarder. Standarderne er dog meget nært beslægtede og er begge anerkendte til netop det formål at implementere rammer for informationssikkerhed. 

 

Nedenfor vil vi kort beskrive de to standarder og forskellen mellem de to, for derefter at vurdere det bedste valg for ”den typiske danske organisation”. 

 

 

 

Hvad er ISO27001? 

 

ISO27001 definerer rammeværket for processen omkring arbejdet med informationssikkerhed. Standarden ligner andre lignende standarder, som kendes fra f.eks. kvalitetssikring i industrivirksomheder, hvor hovedformålet er, at arbejdet bliver en løbende proces og ikke en engangsforestilling. Der er således fokus på den kontinuerlige proces og løbende forbedringer.  

 

Man kan opsummere ISO27001 som værende en proces, der omfatter følgende faser: Plan, Do, Check og Act 

 

Se figur nedenfor:

Den grundlæggende metodik i ISO27001 er, at der anvendes en risikobaseret tilgang. Der stilles således ikke specifikke krav til, at en organisation lever op til krav X, Y, Z etc. Der stilles derimod krav til, at der implementeres passende tekniske og organisatoriske tiltag. Det er således op til den enkelte organisation at vurdere, hvad disse passende tiltag er. Nøglen her er ”risikovurderingen”. 

 

Derudover består ISO27001 af ”Anneks A”, som definerer 18 enkeltvise områder inden for IT-sikkerhed, man bør arbejde med, bl.a..: 

 

  • Etc. 

Anneks A er således en implementeringsguide til ”best practice”-forhold inden for de enkelte områder.  

 

 Hvad er ISO27002? 

 

ISO27002 består reelt kun af Anneks A fra ISO27001. ”Plan-Do-Check-Act”-delen indgår altså ikke i ISO27002. 

 

Det vil sige, at ISO27002 er fokuseret på de definerede områder og selve implementeringen af tiltag, hvorimod ISO27001 også omfatter retningslinjer til selve processen for arbejdet. 

 

ISO27002 er således mindre omfattende end ISO27001. 

 

ISO27002 stiller, ligesom ISO27001, ikke krav til, at organisationerne opfylder krav X, Y, Z etc. Her skal igen anvendes en risikobaseret metode, hvor der tages stilling til, hvad der er passende for den enkelte organisation.  

ISO27001 vs. ISO27002? 

 

Eksterne samarbejdspartnere vil typisk ikke have klare holdninger til, om der anvendes ISO27001 eller ISO27002. Ofte anvendes en formulering som f.eks. ”anerkendt ISO-standard inden for informationssikkerhed”. 

 

Det er derfor CyberPilots vurdering og anbefaling, at ofte bør forsøge at arbejde mod at følge ISO27002, da dette er mindre omfattende end ISO27001. Hvis I senere ønsker at udvide til at følge ISO27001, vil arbejdet med ISO27002 tjene som et godt fundament. 

 

Type-1 eller type-2?

En ISAE 3402-erklæring kan være enten af type1 eller type2.  

 

Hvad er en type-1-erklæring? 

 

En type1-erklæring omfatter en gennemgang af dokumentationen, dog uden egentlig kontrol af selve implementeringen. En type-1-erklæring er således udtryk for et øjebliksbillede på en given dato. 

 

Omkostningen til en type-1-erklæring består af to dele: 

 

  • Den interne forberedelse, implementering og dokumentation 

  • Gennemgang, udarbejdelse og løbende vedligeholdelse af erklæring – denne opgave skal varetages af en autoriseret it-revisor. 

  • Kan variere fra revisionshus til revisionshus. Estimat: 100.000 dkk 

 

Hvad er en type-2-erklæring? 

 

En type-2-erklæring består af en gennemgang af både dokumentation og kontrol af den faktisk implementering – typisk vil denne kontrol være i form af stikprøver og gennemgang af dokumentation, systemer osv. En type-2-erklæring dækker typisk en periode på 6 eller 12 måneder, og giver således et billede af situationen i hele perioden – på samme vis som et årsregnskab. 

 

En type-2erklæring er således mere omfattende end en type-1. 

 

Omkostningen til type-1-erklæring består af tre dele: 

 

  • Den interne forberedelseimplemetering og dokumentation 

  • Det løbende arbejde med at overholde/dokumentere kontrollerne 

  • Gennemgang, udarbejdelse og løbende vedligeholdelse af erklæring 

  • Kan variere fra revisionshus til revisionshus. Estimat: 150.000-200.000 dkk 
 

 

Type-1 vs. type-2? 

 

Eksterne samarbejdspartnere vil typisk stille krav om en revisionserklæring, men det vil ofte ikke være specifikt angivet, hvorvidt denne erklæring skal være af type-1 eller type-2.  

 

Ofte ses det desuden, at man først udarbejder en type-1-erklæring, for derefter at udvide denne til en type-2.  

 

Erfaringen viser, at ved først at arbejde imod en type-1-erklæring og derefter ”opgradere” til type-2, har mulighed for at modne organisationens dokumenter og processer, før man når til type-2-erklæringen. Hvis I derimod går direkte til en type-2-erklæring, risikerer I, at der kommer anmærkninger i revisionserklæringerne, hvis dokumentationen og kontrollerne ikke lever op til revisorkravene, da der jo erklæres inden for en given periode. Ved en type-1-erklæring er der således bedre mulighed for at sætte processen på ”pause”, tilrette dokumentation og processer, og derefter gentage processen. 

 

En anden fordel ved at gå efter en type-1-erklæring først er, at I i løbet af relativt kort tid kan få udarbejdet revisionserklæring. Type-1 stiller ikke krav om, at I kan påvise dokumentationen over en længere periode, som det er tilfældet med en type-2. 

 

En væsentlig del af beslutningen omkring at vælge type-1 vs. type-2 afhænger af den omkostning, som skal allokeres til den eksterne part – revisorDet vil derfor være relevant at afstemme det faktiske omkostningsniveau med netop revisor.  

 

Under alle omstændigheder vil der dog være lavere omkostninger fra revisors side ift. at udarbejde en type-1 vs. type-2-erklæring. 

 

Det er således CyberPilot vurdering og anbefaling, at I i langt de fleste tilfælde først arbejder imod en type-1-erklæring og dernæst udvider til en type2. 

 

Dette giver følgende fordele: 

 

  • Omkostningen for en revisor til en type-1-erklæring er mindre end til en type2 (ca. faktor 1,5-2). 

  • I får mulighed for at ”modne organisationens processer og dokumentation og opnå en revisionserklæring uden anmærkninger. 

  • I opnår hurtigt en erklæring. Hvis I går efter en type-2, vil det tage en periode på ca. 3-6 måneder, hvor I skal være i drift, inden erklæringen kan udarbejdes. 

  • Mange eksterne samarbejdspartnere vil ikke stille specifikt krav til type-2 ift. type-1, og derfor vil I i de fleste tilfælde kunne ”nøjes” med en type-1. 
 

Hvilken form for erklæring bør du arbejde imod?

Jf. ovenstående argumentation, er det CyberPilots vurdering og anbefaling, at du i de fleste tilfælde arbejder imod følgende: 

 

ISAE 3402 erklæring – Type-1 ift. ISO27002 

 

Dette vil efter vores vurdering være tilstrækkeligt over for langt de fleste kunder og samarbejdspartnere. I tilfælde, hvor der stilles strengere krav, vil det sandsynligvis være noget, som kan forhandles. 

 

Det anbefales ALTID, at du tager kontakt til de kunder og samarbejdspartnere, som stiller krav og afstemmer, inden du går i gang med selve arbejdet med erklæringen. 

 

 

Hvad er de forventede opgaver?

Enhver beslutning omkring udarbejdelse af certificeringer eller revisionserklæringer skal naturligvis afvejes ift. de opgaver, som det medfører. Kun igennem et indblik i de forbundne opgaver, kan beslutninger omkring et bestemt certificerings/erklæringsniveau tages. 

 

Som nævnt ovenfor, kan det være vanskeligt at redegøre præcis hvilke opgvaer, der er forbundet med at implementere, vedligeholde og opretholde certificeringen/erklæringen, da det vil være forskelligt fra organisation til organisation. 

 

Vi vil dog forsøge at give et bud ud fra den typiske situation. 

 

Estimatet vil tage udgangspunkt i det erklæringsniveau (som også er det anbefalede for de fleste organisationer, som tager hul på denne opgave):  

 

ISAE 3402 erklæring – Type-1 ift. ISO27002 

 

Herefter vil det blive estimeret hvilke opgaver, der er forbundet med ”opgraderingen” til hhv. type-2 og ISO27001. 

 

 

 

 

Opgaver forbundet at etablere ISAE 3402 erklæring – Type-1 ift. ISO27002 

 

En erklæring vil typisk tage udgangspunkt i følgende dokumenter, som skal udarbejdes og gennemgås af revisor: 

 

  • Overordnet IT-sikkerhedspolitik (statement fra ledelsen), som indeholder målsætninger og ansvar.

     

  • Dokumentation af risikovurdering – dokumentation af, at denne proces er gennemført og godkendt af ledelsen.

     

  • IT-sikkerhedshåndbog, som beskriver overordnet proces og tiltag (ikke på procedure-niveau). Håndbogen følger kapitlerne i ISO27002. IT-sikkerhedshåndbogen er således dokumentation af de tiltag, som er implementeret for at håndtere informationssikkerheden. Det er et dokument til anvendelse i IT-afdelingen og til revisionen, ikke til den generelle medarbejderstab.

     

  • Diverse politikker, retningslinjer og procedurer inden for de specifikke kapitler i IT-sikkerhedshåndbogen – f.eks. en beredskabsplan, retningslinjer for medarbejdere osv.  
 
 

 

Det er således denne dokumentation, der skal være på plads, inden selve erklæringen kan udarbejdes af revisorDette er i stor udstrækning samme dokumentation, uanset om I vælger type-1 eller type-2. 

 

Gennem for-analyse og risikovurdering af de eksisterende tiltag og modenhed af jeres informationssikkerhed (som kan gennemføres gennem workshops), er det muligt at estimere en væsentlig del af de forventede omkostninger for netop jeres projekt.  

 

Da ISO27002 netop tager udgangspunkt i en risikobaseret tilgang, vil det endvidere være relevant at se på konklusionerne fra risikovurderingen, og vurdere hvilke nye indsatser, der skal implementeres for at nå et acceptabelt risikoniveau. 

 

 

  Forventede ekstraopgave for at udvide fra type-1 til type-2-erklæring 

 

Ekstraopgaver: 

 

  • Forarbejde: tilrettelæggelse og beskrivelse af kontroller

     

  • Løbende kontrol og dokumentation af aktiviteter (intern tid skal allokeres).

     

  • Omkostning til revisionserklæring – estimat: faktor 1,5 til 2 ift. type-1.
     

Der skal således forventes en væsentlig yderligere tid til opgaverbåde ift. forarbejde, løbende kontroller og en udvidet omkostning til revisor. Det skal desuden noteres, at der er risiko for, at revisor vil have indvending imod de implementerede kontroller, hvilket kan give anmærkninger i revisionserklæringen. 

 

Det anbefales dog, at I allerede ved etablering af samarbejdet omkring type-1-erklæringen indleder dialogen omkring fremtidigt ønske, om at få udarbejdet en type-2-erklæring.  

 

Igennem arbejdet med type-1-erklæringen vil det blive mere tydeligt hvilke yderligere tiltag og kontroller, der skal implementeres for at kunne opnå en type-2-erklæring. Revisor vil også have et bedre udgangspunkt for at estimere tidsforbrug. Ved at tage en trinvis tilgang kan I ofte reducere omkostningen til revisor væsentligt. 

 

 

 

  Forventet ekstraopgaver for at udvide fra ISO27002 til ISO27001 

 

Forskellen mellem ISO27001 og ISO27002 ligger som beskrevet i dokumentationen og etableringen af selve ledelsessystemet opdelt i de fire faser: Plan, Do, Check og Act. Det er denne del, der skal implementeres og driftes for at gå fra ISO27002 til ISO27001. Det er således kapitel 4-10 i ISO27001-standarden, som skal inkluderes i organisationens ledelsessystem for informationssikkerhed.  

 

Opgaverne forbundet med at etablere denne proces ligger delvist i dokumentationen og tilrettelæggelse af de interne processer for de fire faser, og delvist i den interne tid, som skal bruges til at implementere og gennemføre processerne. 

 

Den reelle forskel ligger i faserne check og act”. Her stiller ISO27001 krav til, at der skal implementeres en kontinuerlig proces for at opstille målsætninger for de enkelte tiltag, tjekke om disse tiltag er effektive, og løbende justere, hvis resultaterne afviger fra målsætningerne. 

 

Da rammerne for ISO27001 har et større omfang end ISO27002, kan det forventes, at revisionsomkostningerne vil være tilsvarende højere, da revisor også skal gennemgå og revidere dokumentationen fra kapitel 4-10 som en del af revisionserklæringen.  

 

Ekstraopgaver: 

 

  • Forarbejde: Dokumentation og beskrivelse af processer omfattet i kapitel 4-10 i ISO27001-standarden 

     

  • Implementering og gennemførelse af processerne forbundet med de fire faser

     

  • Revisionserklæring – bør afstemmes med revisor. 

 

Det er primært den ekstra interne tid, som forventes at udgøre forskellen mellem fra ISO27002 til ISO27001. 

 

Der kan på samme måde som ved type-1 vs. type-2 være en fordel i at udvide rammerne trinvist. Kravet til modenheden i organisationen er større ved ISO27001 end ISO27002, og derfor kan det være relevant at udvide i takt med at organisationen modnes. 

Hvordan ser en projektplan ud for en organisation der vil være en certificeret i IT-sikkerhed ud?

Nedenfor er en liste over de næste steps, som en ”typisk dansk organisation” bør arbejde på, for at komme videre med et sådant projekt: 

 

  • Afstemning af revisionserklæringsomfang med udvalgte kunder og samarbejdspartnere. Formålet er således at sikre at disse samarbejdspartnere acceptere det valgte certificeringsniveau – ofte anbefales det at starte med en ISAE 3402-erklæring type-1 op imod ISO27002 
  • Indled dialog med en revisor for at få estimeret omkostningsniveau for deres udarbejdelse af revisionserklæring 
  • Endelig intern beslutning omkring valg er revisionserklæringstype og valg af standard 
  • Udarbejdelse af dokumentation, herunder IT-sikkerhedspolitik, IT-sikkerhedshåndbog og relevante retningslinjer og politikker