SENESTE NYT KURSER Bliv kunde
Annoncørbetalt indhold af Dansk Standard

Informationssikkerhed giver smv adgang til ny forretning

Johnny Dalgaards virksomhed, ViSikrer, har taget kursus i informationssikkerhed. Det giver tryghed for kunderne, mener han. Foto: Jacob Nielsen.
Johnny Dalgaards virksomhed, ViSikrer, har taget kursus i informationssikkerhed. Det giver tryghed for kunderne, mener han. Foto: Jacob Nielsen.

Helikopterperspektiv på egen virksomhed skaber klarhed om passende niveau af informationssikkerhed. Men faktisk har det også kommercielle fordele.

”Med standarden for informationssikkerhed kan kunderne tjekke boksen af ud for, at vi gør tingene ordentligt. Når de spørger, hvordan vi håndterer informationssikkerhed, kan vi sige, at vi lever op til standarden for informationssikkerhed, altså ISO 27001,” fortæller Johnny Dalgaard, der er medindehaver af ViSikrer.

De umiddelbart kryptiske tal, 27001, er en ISO-standard om informationssikkerhed og en slags rettesnor til at beskytte informationer. Standarden er med til at vise kunderne, at virksomheden har en hensigtsmæssig sikkerhedsadfærd.

”Hvis vi har en time til at tale med en kunde, hvor de skal beslutte sig for at købe vores ydelser, vil vi ikke bruge al tiden på at diskutere sikkerheden. Vi vil gerne frem til at tale om de behov, kunden har, og hvordan vi kan hjælpe med at dække behovene,” siger Johnny Dalgaard.

Slyngplante om aktiviteter

Johnny Dalgaards virksomhed, ViSikrer, er kun to faste mand, men alligevel er de i samme situationen, som de godt og vel 300.000 andre små og mellemstore privatejede virksomheder: Kriminaliteten rykker (også) over på nettet, og det kræver, at ens normale, fornuftige adfærd følger med. Låser man skrivebordsskuffen ved fyraftenstid, skal man være lige så vaks digitalt til eksempelvis regelmæssigt at opdatere kodeord på sine devices.

”Den sikkerhedsadfærd bør være hverdag for danske smv’er, og det er her, standarden har en vigtig rolle at spille,” siger Jens Heiede, der er adm. direktør i Dansk Standard.

Niveauet bør dog tilpasses den enkelte virksomheds behov, så den kan drive sin forretning uforstyrret og prioritere sikkerhedsressourcer til de områder, som er særligt kritiske for forretningen. Anders Linde, der ekspert og underviser i informationssikkerhed hos Dansk Standard siger:

”Standarden for informationssikkerhed er en samling af gode praksisser, man bør etablere for at opnå et passende beskyttelsesniveau i virksomheden - ikke for at bygge Fort Knox.” Han fortsætter:

”Organisationen bør tage afsæt i de produkter eller services, som de er sat i verden for at levere. Dernæst forholde sig til ønsker og forventninger fra deres omgivelser. Med det afsæt skal der tages stilling til de risici, som virksomheden kan blive ramt af. Hvor bør man være særligt bekymret? Hvilke uacceptable risici truer virksomhedens informationer og bør forebygges for at beskytte forretningen? Herunder vil der ofte skulle afses midler til at justere på medarbejderadfærden,” siger han.

Er vi kritisk infrastruktur?

Anders Linde vurderer, at virksomheder i størrelsesordenen af Johnnys (mikrovirksomheder med op til ti medarbejdere) generelt halter bagud, når det gælder om at beskytte oplysninger i virksomheden.

”De fleste virksomheder med meget få ansatte er udfordret på it- eller informationssikkerhed,” siger han. Den enkelte virksomhed er selv ansvarlig for at vurdere, hvad væsentlig sikkerhed er for dem. I den forbindelse vil særlige lovkrav dog øge ”trykket” for de virksomheder, som bidrager til samfundskritiske sektorer, fx leverandører af livsvigtig medicin, finansielle services eller el- og vandforsyning.

”For virksomheden bør standarden føre til en erkendelsesproces, hvor en række fundamentale spørgsmål ryddes af vejen: På basis af dem vi er, de informationer vi behandler, den branche vi er i, og de lovkrav vi er underlagt, vores samarbejdspartnere og -myndigheder, hvad er så god informationssikkerhed for os? Slutproduktet er en række sikkerhedsforanstaltninger, der er tilpasset virksomhedens profil,” siger Anders Linde.

”Den løbende risikostyring er en nøgleaktivitet, og så man skal følge op på effektiviteten heraf,” tilføjer han.

Et offentligt minimum

I Johnny Dalgaards virksomhed, der arbejder med terrorsikring af havne, er en stor del af informationerne belagt med krav om fortrolighed.

”Når vi udarbejder beredskabsplaner og laver planer for, hvor sikkerhedskameraer skal sættes op, skal det godkendes af Trafikstyrelsen. Og de kræver, at vi lever op til standarden,” siger han. Mange offentlige styrelser og instanser forlanger at samarbejdspartnere, leverandører m. fl. lever op til netop 27001-standarden.

Han mener, at standarden er en hjælpende hånd til en hensigtsmæssig adfærd.

”Alle os, der er specialister og arbejder med det, vi har forstand på, kan ikke samtidig være eksperter i den brede informationssikkerhed med krav om dokumentation af processer,” siger Johnny Dalgaard. Han fortsætter:

”Men hvis du har en standard for informationssikkerhed, bliver du tvunget ud i at lave det tæt på optimalt. Kan det gøres bedre af andre, ja, men standarden hjælper dig den rigtige vej,” siger Johnny Dalgaard, der godt kan få øje på relevansen af standarden hos mindre virksomheder.

”Jeg ved, hvor mange der er er blevet hacket, og hvor mange der har betalt på fejlagtige phishing-links, de har trykket på. Hvis smv’er havde haft 27001, ville det have hjulpet dem. Ikke beskyttet dem, men hjulpet, og de ville have mere tanke for, hvad der kunne gå galt.”

Interesseret i at vide mere? Lyt til podcasten ”Smv’erne er i cyberkrigernes sigte”, som du finder i din podcast app.

Forsiden lige nu