Om Globeteam

EU’s dataforordning og ISO27001 – hvordan kommer vi i gang?

Globeteams andet indlæg i føljetonen om informationssikkerhed er skrevet af Jens Popp Lybye, som her giver dig en kortfattet ’kogebog’ til at komme godt i gang med sikkerhedsarbejdet i forhold til EU’s nye dataforordning og ISO27001

Få ledelsens opbakning til arbejdet

Det lyder virkelig indlysende og simpelt, men som ved alle andre store forandringer er det af absolut største vigtighed at få ledelsens opbakning. Her er det ekstra betydende, idet ledelsen udgør en væsentlig faktor i at gennemføre det praktiske sikkerhedsarbejde, og det vil kræve en aktiv indsats at få forankret og gennemført opgaverne.

Hvis du læser det her, så sidder du måske med ansvaret og tænker på, hvordan du skal komme videre – det vil jeg forsøge at besvare i nedenstående. Selve artiklen er todelt; de første tre afsnit handler om forankring, og de resterende afsnit omhandler de indledende handlinger. Det er min erfaring, at jo bedre du har styr på forankringen, inden du går i gang, jo lettere bliver det at skabe varige resultater.

Det finder du i artiklen:

  • Topledelsen har ansvaret
  • Ansvar kan ikke delegeres – men det kan de praktiske opgaver¨
  • Risikobaseret tilgang
  • Valg af kontroller og indsats – ”Statement Of Applicability”
  • Persondata – EU og Datatilsynet
  • Handlingsplanen
  • Eksekvering
  • Politik for Informationssikkerhed
  • Hvad med IT systemer
  • Næste del af føljeton

Topledelsen har ansvaret

Ansvaret for organisationens informationssikkerhed kan ikke uddelegeres, og du skal derfor, som det første, sikre at få italesat informationssikkerhed i forhold til den øverste ledelse.

Hvordan gør du så det? Det kommer meget an på, hvor I er i forhold til procesarbejde i almindelighed, men hvis vi antager, at du sidder i en moderne og veldrevet organisation, burde det ikke være så svært. Først og fremmest så koster sikkerhed – i tid, indsats og kroner. Det er første forhindring at komme over, nemlig at erkende, at informationssikkerhed er en fagdisciplin, og hvis I ikke allerede er i gang, så bliver I nødt til at investere. Første punkt på ønskesedlen er derfor en såkaldt Information Security Officer, altså en uddannet og gerne certificeret fagperson med speciale i informationssikkerhed.

Når det er på plads, kan I starte med at planlægge den organisatoriske forankring af arbejdet. Ansvaret skal placeres så højt, som du kan komme til det, for det er ikke noget, vi arbejder med nede i ’maskinrummet’. Informationssikkerhed er en forretningsdisciplin på højde med risikostyring og revision, som der faktisk er nogle fornuftige overlap til.

Ansvar kan ikke delegeres – men det kan de praktiske opgaver

Med den erkendelse, skal du få etableret et ”styrende forum”, der kan anvendes til at skabe forbindelse mellem sikkerhedsarbejdet og resten af organisationen. Når det er etableret, og du har fået beskrevet og godkendt autoritet og ansvar, og fået det hele sanktioneret fra topledelsen har du et arbejdsforum.

Dette forum, som vi kunne kalde ”Information Security Board”, skal hjælpe dig med at få fastlagt alle politikker og kontroller, der rammer på tværs af organisationen. De skal i praksis hjælpe med at definere mål for sikkerheden og efterfølgende få denne realiseret og efterlevet i den samlede organisation.

Du skal derfor have gang i projektleder værktøjskassen og udføre en interessentanalyse på din egen organisation. Tænk bredt, tænk (langt) udenfor IT og tænk først og fremmest implementering i hverdagen. Hvis du ikke, som nogle af de første har tænkt HR, faglige organisationer, risikostyring – så sæt dig ned og tænk igen. Hvis interessentanalyse lyder for højtravende så vurder, hvem der påvirkes af og kan påvirke din opgave og succes, hvem kan hjælpe dig frem, og hvem er ’sten på vejen’, der skal håndteres – sværere er det ikke.

Før du har fået engageret ledelsen og sikret opbakning til arbejdet med informationssikkerhed, kommer du ikke meget videre – måske skal du gennem et lidt mere omfattende salgsarbejde.

Uanset om du er privat eller offentlig virksomhed, er der hjælp at hente hos Digitaliseringsstyrelsen, der har udarbejdet et rigtig udmærket materiale, som du med fordel kan læse igennem som en start. Du slipper heller ikke for at læse og forstå selve standarden, og endelig er der en lang række konsulenthuse, der er parat til at assistere dig.

Risikobaseret tilgang

Den bagvedliggende tanke med ISO27001 er, at alle tiltag inden for informationssikkerhed skal styres på baggrund af en risikobaseret tilgang. Det er altså værdien af et givet aktiv, der beslutter, hvilke tiltag der skal implementeres, og det er jo i virkeligheden almindelig sund fornuft – du sætter mest ind der, hvor der er mest at miste. Der er derfor, du sikkert tegner ejerskifteforsikring ved hushandel – risiko og konsekvens er massive i forhold til en, efter omstændighederne, begrænset præmie.

Denne opgave kan kun løses af den organisation, der sidder med ansvaret for informationer, processer og systemer – altså jer selv. I er de eneste, der har indsigt og kompetencer til at træffe en fornuftig vurdering af risici og prioritere ressourcerne derefter. Dette gælder altså også for områder, I måtte have outsourcet – eksterne kan assistere dig med metoder og lignende, men indhold og viden om egne forhold kan du ikke købe dig til.

Risikovurderingen er således det helt centrale element i ISO27001. Gennem risikovurderingen får organisationen overblik over sine systemer, og hvor vigtige de er for forretningen. Ud fra det kan ledelsen prioritere ressourcerne.

Nu har du så en komplet risikovurdering af organisationens informationsaktiver, altså det der er vigtigt at passe godt på, så er du klar til at bruge denne aktivt. I virkeligheden kan du stoppe op her og bruge lidt tid på at skabe ”awareness” om informationssikkerhed, samt det samlede trusselsbillede I ser. Det er altid godt at få italesat organisationens risikoprofil, og det er med til at skabe forståelse for nødvendigheden af informationssikkerhed.

Valg af kontroller og indsats – ”Statement Of Applicability”

ISO standarden har et antal kontroller indenfor 114 kontrolområder fordelt på i alt 14 forskellige områder lige fra Kryptering over adgangskontrol til leverandørstyring. Nu skal du så mappe din organisations risikoprofil i forhold til informationssikkerhed op mod ISO standarden. Det gøres lettest ved at anvende et regneark, der hjælper til at dokumentere, hvilke dele af standarden det er relevant for lige din organisation at arbejde med og implementere. Dette ark kan også bruges som dokumentation i forbindelse med en eventuel senere audit.

Det er en såkaldt ”Statement Of Applicability” – altså et regneark, der viser, hvilke dele af standarden I har besluttet, der skal være ISO kontroller for på nuværende tidspunkt. Dette er nemlig en opgave, I skal gentage med regelmæssige mellemrum, ja faktisk anbefaler jeg, at I udarbejder et egentligt årshjul for at opdatere risikobilledet, revurdere kontroller og se på eksisterende implementering. På den måde bliver informationssikkerhed en almindelig forretningsproces på linje med budgetter og årsregnskab.

Du kan finde regneark, der er tilpasset netop denne opgave ved en simpel søgning på Internettet. Det store arbejde ligger i at udføre til og fravalg baseret på din viden og organisationens egne forhold.

Persondata – EU og Datatilsynet

Hvis risikoanalysen afdækker behov for at være i overensstemmelse med EU forordning om databeskyttelse (General Data Protection Regulation eller GDPR), skal du gennemføre en ekstra analyse med fokus på de særlige regler, der træder i kraft i 2018. Her er Datatilsynet også en meget relevant kilde for information. Der er helt særlige og meget strikse regler om datahåndtering udmøntet i persondataloven, og generelt vil jeg sige, at hvis du er i tvivl, om I har persondata i din organisation, så er svaret nok ja – det har I helt sikkert. Start med at kigge lidt i jeres HR systemer, ERP eller lignende.

Handlingsplanen

Nu skal du så til at arbejde med implementering af kontroller til at beskytte jeres informationsaktiver, og dette arbejde bygger heldigvis hele vejen på de foregående trin. Du tager udgangspunkt i ”Statement Of Applicability”-regnearket og din risikoanalyse, og genlæser de relevante dele af ISO standarden, som faktisk angiver ret konkrete forslag til kontroller og omfang. På den baggrund opstiller du en helt simpel handlingsplan for det videre arbejde. Jeg vil anbefale, at du samler tilhørende aktiviteter i passende områder eller spor, det gør det meget lettere at fordele opgaver og holde styr på fremdrift.

Hvis du har rundet persondata tidligere, skal dette naturligvis med i handlingsplanen.

Eksekvering

Nu kommer det, du har ventet på – implementering af de nye tiltag til at styrke informations-sikkerheden.

Selv om det er her, du skaber resultater, er det også her, det er allersværest. Du har jo arbejdet med dette her i lang tid, forberedt dig, læst på lektien og været hele forberedelsen igennem, og nu starter du forfra med små trin og et langt sejt træk. Du skal til at skabe nye vaner i organisationen, og det tager tid at lære nyt og endnu længere at aflære gamle vaner. Her skal du finde al din tålmodighed frem, med mindre du ønsker at skabe modstand og modvilje. Hvis du ikke allerede er velbevandret i forandringsledelse, så tag en snak med en, der kan det og få opdateret værktøjskassen. Du kan også med fordel lige læse John Kotters udemærkede bog (igen).

Husk at få involveret alle relevante dele af organisationen i arbejdet, så du sikrer forankring, samtidig med I arbejder. Det Board, du fik etableret i starten af processen, er det naturlige sted at rapportere status og fremdrift samt søge hjælpe til at løse organisatoriske udfordringer. Husk, at det kun bliver relevant for alle parter, hvis I faktisk arbejder med konkrete og håndgribelige tiltag.

Hvis I har et eksisterende kvalitetssystem, vil det være det naturlige sted at dokumentere jeres tiltag, kontroller, politikker og processer. Husk, at det er vigtigt, at det, du dokumenterer, bliver let tilgængeligt, læseligt og forståeligt. Jo mere, du kan lægge dig op af organisationens velkendte processer, beskrivelse og systemer, jo lettere bliver din forankring.

Politik for Informationssikkerhed

Om du skrider til handling nu, og kaster dig ud i en egentlig politik, eller det bliver senere må bero på en vurdering af modenhed og generel erkendelse af vigtigheden hos ledelsen, samt det tidspres I er under med hensyn til implementering. Har I allerede en politik, vil det være naturligt at (re)vurdere den her, for den er med til at skabe rammerne for informationssikkerheden og kan fungere som et praktisk styringsredskab i det videre arbejde.

Formålet med politikken er, at fastlægge det konkrete sikkerhedsniveau for din organisation set i relation til jeres forretningsmæssige målsætninger og eksterne krav fra lovgivning og samarbejdspartnere. Samtidig er det en rigtig god arbejdsopgave til at aktivere det etablerede Board og få en bredere involvering i arbejdet.

Hvad med IT systemer

Tja, hvad med dem – bemærk, at det hedder informationssikkerhed, og informationer er meget andet end det, der opbevares i IT systemer (endnu). Det er informationer i den bredest tænkelige forstand, så du bør ikke starte med en begrænsning – det handler i meget højere grad om mennesker, forståelse og ageren i hverdagen. I den kontekst er det værd at huske på, at det tidligste skriftsprog menes at stamme fra år 3.000 f.Kr og ægypterne allerede anvendte primitiv kryptering fra cirka 1.900 f.Kr., så jeg må konstatere at beskyttelse af informationsaktiver ikke er en helt ny opfindelse.

Næste del af føljeton

Det lyder jo forhåbentligt alt sammen både simpelt og helt ligetil, men der er naturligvis masser af hårdt arbejde og mange faldgruber. Hvis du går frem efter ovenstående drejebog, vil jeg garantere, at du kan komme i land med resultater, der bygger på tidligere arbejde og med en god sandsynlighed for succes. I næste del af føljetonen kan du høre GN Hearing fortælle om deres erfaringer med den fremgangsmåde, du netop har læst om.

Nyheder
Koncepter

It-review

Gennemfør et it-review i samarbejde med Globeteam og få et klart billede af, hvor effektiv organisationens it-indsats er, og hvordan du kan øge modenheden og forretningsværdien af den fremadrettet.

Cases

MT Højgaard – Lynhurtig udrulning af Windows 7

MT Højgaard havde behov for en afløser for det aldrende Windows XP til totaludrulning […]

Globeteam tilbyder ydelser inden for og på tværs af tre hovedområder

Business model

skab sammenhæng mellem it og forretning

Globeteam hjælper dig med at optimere værdien af dine it-løsninger ved at sikre, at de understøtter forretningens

strategi og vision

Optimer og moderniser din
IT-INFRASTRUKTUR 

Globeteam sikrer dig en velfungerende it-infrastruktur, så du opnår en mere stabil drift og øget medarbejdereffektivitet

understøt forretningen med en skræddersyet it-løsning

Globeteam tilbyder assistance til at udvikle eller tilpasse it-løsninger, som møder forretningens specifikke behov


Er du Interesseret i at høre mere?

Navn:

E-mail:

Virksomhed:

Emne :

Optimer din forretning og dine it-investeringer

Er du interesseret i at vide mere om Globeteams ydelser, og hvordan vi kan hjælpe netop din forretning?