Informationssikkerhed




“What gets measured gets managed”.

Citat Peter Drucker 1954

Omkring informationssikkerhed og ISO 27001.

Hvad man kan få ud af at arbejde med informations-sikkerhed er stadig uklart for mange. De fleste ser det, som nogle regler, som man skal leve op til. Meget få ser informationssikkerhed som et værktøj til at sikre og ikke mindst at udvikle organisationen og de processer, som man arbejder efter. Informationssikkerheden var i vinteren 2020 det vigtigste emne for verdens topledere, da de senest mødtes i Davos. De talte om cyberangreb, datatyveri, misbrug og korruption.


Certificering er en god understøttelse og mange finder hjælp i ISO 27001 og de krav og kontroller, der findes her. Der er krav til politik, beskrivelse af roller og ansvar, teknik og forretningsprocesser f.eks. management processer, som sikrer, at man kender til sine interessenter og de forhold, som de kan være behov for at vide noget om hos virksomheden, herunder de identificerede risici, og hvordan man vælger at håndtere disse. Og for at sætte det i perspektiv, så er der kun 120 certificerede i Norden, men 10.000 i Kina og 7000 i Japan.


Digitaliseringen vinder mere og mere frem. Med det muliggøres også muligheden for misbrug af informationer, som kunde og salgsdata, falske anmeldelser og fjernelse af dårlige ditto mv. Ifm. implementeringen af GDPR fandt mange ud af, at det var en risiko for organisationen af at håndtere persondata især hvis der er tale om kunde eller medarbejderdata. Den største risiko i den forbindelse er den menneskelige faktor, som er mere bekymrende end nogen anden trussel. Amerikansk bilproducent har f.eks. været udsat for at medarbejdere har hacket deres produktionssystem og solgt informationer videre.


Kriminalitet er en ting, men det kan også være meget lavt kendskab til lovgivning, manglende tekniske kompetencer, uopmærksomhed hos medarbejderne, dårlig ledelse og andre menneskelige fejl. Den væsentligste mangel for at sikre fokus og opfølgning på området er nok den manglende fastsættelse af målsætninger indenfor området.  


Der er rigtig mange indgange til at misbruge informationer. For organisationen handler det om, at identificere og forholde sig til de risici, som er og have en måde at håndtere disse på. I fremtiden tyder det på, at det kan blive dyrt ikke at have styr på sine informationer. Det kan være ved kriminelle handlinger, hvor dansk børsnoteret virksomhed anslået har haft omkostninger på kr. 600 mill. tab ved et hackerangreb. Udenlandsk flyselskab har fået en stor bøde på 1,8 mio £ for at lække kundedata osv. Det kan altså betale sig at arbejde med at beskytte sine informationer.


De virksomheder, der oplever færrest besværligheder med informationssikkerheden er de, som arbejder med f.eks. ISO 27001, så de har en ramme at forholde sig til. Har man ladet organisationen certificere udover at leve op til standarden vil man løbende sikre sig, at der er fokus på at vurdere de risici, som løbende dukker op, men samtidig også give virksomheden en konkurrencefordel fremfor de virksomheder, der ikke er certificeret. For den offentlige organisation kan det certificeringen give en sikkerhed i arbejdet. Her har der jo også været eksempler fremme med store informationslæk.


Derfor giver det også god mening at få opstillet et system, som kan drive arbejdet med informationssikkerhed. Og der er næppe tvivl om, at der vil være øget fokus på området i årene fremover – også når Datatilsynet herhjemme begynder at bruge bødeblokken ifm. overtrædelse af GDPR og i 2021 kommer der krav om whistleblower hos virksomheder med mere end 50 ansatte.