SENESTE NYT KURSER Bliv kunde
Annoncørbetalt indhold af Dansk Standard

Smv: Det er en billet til ny forretning at have styr på informationssikkerhed

Johnny Dalgaard hjælper havne med at leve op til FN-reglerne for terrorsikring. Planerne for at sikre havnen skal godkendes af en offentlig myndighed, der kræver, at Johnnys virksomhed har styr på informationssikkerheden. Foto: Jacob Nielsen.
Johnny Dalgaard hjælper havne med at leve op til FN-reglerne for terrorsikring. Planerne for at sikre havnen skal godkendes af en offentlig myndighed, der kræver, at Johnnys virksomhed har styr på informationssikkerheden. Foto: Jacob Nielsen.

Informationssikkerheden handler om at beskytte sig mod cybertrusler. Men faktisk har det også klare, kommercielle fordele, siger virksomhedsejer i smv. Helikopterperspektiv på egen virksomhed skaber klarhed om passende niveau af informationssikkerhed.

”Med standarden for informationssikkerhed kan kunderne tjekke boksen af ud for, at vi gør tingene ordentligt. Når de spørger, hvordan vi håndterer informationssikkerhed, kan vi sige, at vi lever op til standarden for informationssikkerhed, altså ISO 27001,” fortæller Johnny Dalgaard, der er medindehaver af ViSikrer.

De umiddelbart kryptiske tal, 27001, er en ISO-standard om informationssikkerhed og en slags rettesnor til at beskytte informationer. Standarden er med til at vise kunderne, at virksomheden har en hensigtsmæssig sikkerhedsadfærd.


Dansk Standard 4 let.jpg
Med en fortid i Politiet er Johnny Dalgaard vant til at tænke i sikkerhed. Al digital opbevaring foregår på en krypteret server, og kommunikation med samarbejdspartnere sker over den krypterede app Signal. Foto: Jacob Nielsen.

”Hvis vi har en time til at tale med en kunde, hvor de skal beslutte sig for at købe vores ydelser, vil vi ikke bruge al tiden på at diskutere sikkerheden. Vi vil gerne frem til at tale om de behov, kunden har, og hvordan vi kan hjælpe med at dække behovene,” siger Johnny Dalgaard.


Slyngplante om kritiske aktiviteter

Johnny Dalgaards virksomhed, ViSikrer, er kun to faste mand, men alligevel er de i samme situationen, som de godt og vel 300.000 andre små og mellemstore privatejede virksomheder: Kriminaliteten rykker (også) over på nettet, og det kræver, at ens normale, fornuftige adfærd følger med. Låser man skrivebordsskuffen med underskrevne kontrakter, strategipapirer og alle kundeoplysninger, skal man være lige så vaks digitalt. Til regelmæssigt at opdatere kodeord på sine devices og gennemskue, hvornår et link i en e-mail er et phishing-link. (Et phishing-link er et link i en e-mail, der skal få dig til at trykke på det, og derved udløse en form for cyberangreb, red.)

”Den sikkerhedsadfærd bør være hverdag for danske smv’er, og det er her, standarden har en vigtig rolle at spille,” siger Jens Heiede, der er adm. direktør i Dansk Standard. Niveauet bør dog tilpasses den enkelte virksomheds behov, så den kan drive sin forretning uforstyrret og prioritere sikkerhedsressourcer til de områder, som er særligt kritiske for forretningen.

Dansk Standard podcast 02 beskåret.jpg
Ekspert og underviser i informationssikkerhed Anders Linde (tv.) og direktør for Dansk Standard Jens Heiede i samtale. Informationssikkerhed fylder mere og mere i disse år, efterhånden som flere lader sig digitalisere. Foto: Jacob Nielsen.

Det kan Anders Linde, ekspert og underviser i informationssikkerhed hos Dansk Standard, nikke genkendende til.

”Standarden for informationssikkerhed er en samling af gode praksisser, man bør etablere for at opnå et passende beskyttelsesniveau i virksomheden - ikke for at bygge Fort Knox,” siger han og fortsætter:

”Organisationen bør tage afsæt i de produkter eller services, som de er sat i verden for at levere. Dernæst forholde sig til ønsker og forventninger fra deres omgivelser. Med det afsæt skal der tages stilling til de risici, som virksomheden kan blive ramt af. Hvor bør man være særligt bekymret? Hvilke uacceptable risici truer virksomhedens informationer og bør forebygges for at beskytte forretningen? Herunder vil der ofte skulle afses midler til at justere på medarbejderadfærden,” siger han.

Sagt lidt mere firkantet, lægger standarden op til, at man udvikler en sikkerhedsbevidsthed, som sætter én bedre i stand til at vurdere egne risici og udpege passende foranstaltninger.


Men, er vi kritisk infrastruktur…?

Anders Linde vurderer, at virksomheder i størrelsesordenen af Johnnys (såkaldte mikrovirksomheder med op til ti medarbejdere) generelt halter bagud, når det gælder om at beskytte oplysninger i virksomheden. Og det er uanset, om det er den viden, som medarbejderne opbevarer i hovedet, på skrivebordet eller harddisken.

”De fleste virksomheder med meget få ansatte er udfordret på it- eller informationssikkerhed,” siger han.

Den enkelte virksomhed er selv ansvarlig for at vurdere, hvad væsentlig sikkerhed er for dem. I den forbindelse vil særlige lovkrav dog øge ”trykket” for de virksomheder, som bidrager til samfundskritiske sektorer, fx leverandører af livsvigtig medicin, finansielle services eller el- og vandforsyning.

”Men hvis du har en standard for informationssikkerhed, bliver du tvunget ud i at lave det tæt på optimalt. Kan det gøres bedre af andre, ja, men standarden hjælper dig den rigtige vej”

Johnny Dalgaard, medindehaver, ViSikrer

”For virksomheden bør standarden føre til en erkendelsesproces, hvor en række fundamentale spørgsmål ryddes af vejen: På basis af dem vi er, de informationer vi behandler, den branche vi er i, og de lovkrav vi er underlagt, vores samarbejdspartnere og -myndigheder, hvad er så god informationssikkerhed for os? Slutproduktet er en række sikkerhedsforanstaltninger, der er tilpasset virksomhedens profil,” siger Anders Linde.

”Det er i høj grad et spørgsmål om at etablere en række processer. Den løbende risikostyring er en nøgleaktivitet, og så man skal følge op på effektiviteten heraf,” tilføjer han.


Et minimum i det offentlige

I Johnny Dalgaards virksomhed er en stor del af informationerne belagt med krav om fortrolighed. Johnny udarbejder blandt andet planer for terrorsikring af havne, og her giver det sig selv, at planerne ikke bidrager med megen nytte, hvis de ligger frit fremme.

”Når vi udarbejder beredskabsplaner og laver planer for, hvor sikkerhedskamerarer skal sættes op, skal det godkendes af Trafikstyrelsen. Og de kræver, at vi lever op til standarden,” siger han.


Dansk Standard 1 let.jpg
Ofte er Johnnys arbejde en kombination af at være på stedet og lave planer ved skrivebordet. Derfor skal han have tanke for både fysiske og digitale processer og papirer, når han arbejder med informationssikkerhed. Foto: Jacob Nielsen.

Trafikstyrelsen er blot én ud af mange offentlige styrelser og instanser, der forlanger, at samarbejdspartnere, leverandører m. fl. lever op til netop 27001-standarden.


God til de små

Selvom Johnny og hans kompagnon begge har en baggrund inden for politi og forsvar og derfor har lidt kilometer i benene, hvad angår sikkerhed, kan de sagtens se behovet for, at mindre virksomheder får en bevidsthed om informationssikkerhed.

”Alle os, der er specialister og arbejder med det, vi har forstand på, kan ikke samtidig være eksperter i den brede informationssikkerhed med krav om dokumentation af processer,” siger Johnny Dalgaard.


⚙ For at se dette indhold skal du acceptere cookies


Hør Anders Linde uddybe nødvendigheden af informationssikkerhed i podcasten 'Smv'erne i cyberkrigernes sigte', som du kan hente gratis her: Apple | Android | Spotify


Modsat større virksomheder, der kan have specialiserede afdelinger med styr på informations-sikkerhed, er smv’er ofte kendetegnet ved, at færre ansatte bærer flere kasketter. Og med flere roller er det mindre sandsynligt, at man er decideret ekspert på ét område, som for eksempel inden for dokument- og informationssikkerhed.



”Men hvis du har en standard for informationssikkerhed, bliver du tvunget ud i at lave det tæt på optimalt. Kan det gøres bedre af andre, ja, men standarden hjælper dig den rigtige vej,” siger Johnny Dalgaard.

Selvom det er endnu en kasket, han skal bære i virksomheden, anerkender han vigtigheden af informations- og cybersikkerhed.

”Det er jo et absurd vigtigt område. Center for Cybersikkerhed og Forsvarets Efterretningstjeneste har jo lige skærpet risikoen for cyberangreb pga. Rusland-Ukraine-krigen,” siger han og fortsætter:

”Jeg ved, hvor mange der er er blevet hacket, og hvor mange der har betalt på fejlagtige phishing-links, de har trykket på. Hvis smv'er havde haft 27001, ville det have hjulpet dem. Ikke beskyttet dem, men hjulpet, og de ville have mere tanke for, hvad der kunne gå galt.”


Bliv inspireret til, hvordan du kommer cybertruslen i forkøbet til Dansk Standards cyberdag


Annoncen er produceret 22.08.2022 af Børsen Creative i samarbejde med Dansk Standard

Forsiden lige nu