D4InfoNet

ET NYT LEDELSESSYSTEM

ISO Standard 27001

Når man er certificeret, forpligter man sig til at holde en kontinuerlig struktur på virksomhedens data og informationer. En sådan struktur understøtter, at man løbende tager styring på  virksomhedens sikkerhed, organisationens dataflow, interne og eksterne aftaler, og at man overholder gældende lovgivningskrav om opbevaring af personfølsom data, GDPR.

ISO/IEC-standarden 27001 –
en vigtig risikovurdering

ISO/IEC-27001-standarden, der senest blev revideret i 2017, indeholder en række krav til styring af virksomheders og organisationers informationssikkerhed, så tab af datas fortrolighed, integritet og tilgængelighed undgås. Der er ikke kun tale om beskyttelse af pc’er, mobiltelefoner og bagvedliggende databaser mod cyberangreb eller lignende. Der er også tale om fysisk sikkerhed, så data ikke mistes eller kommer ud af kontrol i forbindelse med indbrud, tyveri, spionage, brodne kar i egne rækker, brand, eksplosioner, naturkatastrofer eller lignende.

Standarden bygger på, at anerkendte eksperter er gået sammen om at gennemføre en generel risikovurdering af organisationers sårbarheder på informationssikkerhedsområdet.

Med en sådan risikovurdering bliver potentielle farer og svagheder kortlagt, og disse er stort set de samme for enhver organisation uanset rammer, vilkår, størrelse, type og organisering. Kortlægningen vil derfor være bredt dækkende og relevant for rigtig mange virksomheder. Digitalisering, informationssikkerhed, privatlivsbeskyttelse og anden interessebeskyttelse betyder meget for alle organisationer – uanset om virksomheden er stor, lille, offentlig eller privat.

Kortlægningen har dannet grundlag for udviklingen af det såkaldte Anneks A i 27001-standarden.
Her har man delt hele risikobilledet op i 14 områder, hvor hvert område er igen delt op i et antal styrende eller beskyttende foranstaltninger – 114 i alt. Alle foranstaltninger skal adresseres, hvis en organisation vil undgå, at den kan komme ud for uoprettelige tab af informationers eller datas fortrolighed, integritet eller tilgængelighed på måder, som fører til økonomiske tab eller endda begrænsede muligheder for forretningsvidereførelse.

De 114 sikkerhedsfaktorer bør betragtes som en liste over mulige og hensigtsmæssige foranstaltninger, som alle virksomheder med interesse for informationssikkerhed bør overveje at implementere i egen organisation. Dog er det muligt, at ikke alle 114 foranstaltninger er lige relevante for alle.
Hvis man eksempelvis ikke beskæftiger sig med softwareudvikling, er der mindst 10 foranstaltninger, som kan fravælges alene af den grund, at man ikke har et udviklingsmiljø i virksomheden.
Oplever man ikke kundekrav om kryptering af data, er der andre foranstaltninger som bortfalder. Administrerer man ikke egne servere bag egen firewall, er der også her foranstaltninger, som kan vælges fra. 

For at opnå et overblik over, hvilke foranstaltninger, der kan vælges fra, er det et krav i ISO/IEC 27001, at man skal lave en fortegnelse over aktiver (List of Assets, LoA), hvor man får et rettidigt overblik over virksomhedens forretningsprocesser, databaser, hardware, software, netværk, personelle aktiver samt bygninger og lokaler. Når man har et fuldstændigt overblik over sine aktiver, ved man, hvor der kan opstå sårbarheder eller brister.

Ift. de personelle aktiver, bør man være opmærksom på, at meget viden og data i en virksomhed ikke nødvendigvis er dokumenteret og nedskrevet, og derfor kan det være skrøbeligt, hvis en nøgleperson forlader organisationen. I en sådan situation kan man hurtigt miste vigtig viden.  

De 14 overordnede risikoområder i ISO/IEC 27001 er:

Krav til GDPR

Der kommer løbende flere og flere lovmæssige krav, som knytter sig til opretholdelse af en effektiv informationssikkerhed. Et af de gode eksempler er GDPR og databeskyttelsesloven fra 2018.
Disse særlige krav til behandling af personoplysninger og beskyttelse af privatlivets fred førte til, at der i 2019 fra ISO/IEC kom endnu en standard på området, nemlig DS/EN ISO/IEC 27701, som indeholder krav til ledelsessystemer for privatlivsbeskyttelse. Sidstnævnte standard medtager de supplerende GDPR-krav, som ikke umiddelbart fremgår af ISO/IEC 27001, fordi den blev udviklet før GDPR.

Bringer man sig i overensstemmelse med kravene i begge de to kravstandarder fra ISO/IEC 27000-serien, vil man altså automatisk overholde alle krav i GDPR og databeskyttelsesloven samtidigt med, at den øvrige forebyggelse mod informationssikkerhedsbrister kommer på plads.

Gode grunde til at overholde ISO/IEC 27001

Ved certificering af ledelsessystemer forstår man en internationalt anerkendt tredjepartsattestation, med andre ord en blåstempling, af en organisations ledelsessystems faktiske overensstemmelse med kravene i udvalgte standarder.  
Ved en akkrediteret certificering vil der være uafhængige og kompetente auditorer, som vurderer om organisationens LoA og SoA er intakte, fyldestgørende og reelt leder til den sikkerhed, som interessenterne ønsker og forventer. Her kigger man bl.a. på, om de regler og praktiske arbejdsgange, der ligger i de indførte sikkerheds- og beskyttelsesforanstaltninger, virker og er implementeret i praksis.

Når overensstemmelsen er konstateret ved indsamling af beviser gennem omfattende stikprøver foretaget af auditorerne, og når eventuelle afvigelser fra kravene er lukket, udsteder certificeringsorganet certifikater. De er udtryk for, at man indiskutabelt kan have fuld tillid til organisationens sikkerhedssystem.

Certifikaterne er dermed diplomer, der overfor interessenterne og offentligheden tjener som synligt bevis på, at adgangskontrol, backup, virusbeskyttelse, m.m. er effektive, tilstrækkelige og virker i praksis. Bevisførelsen sker ofte ved gennemførelse af afprøvninger og tests.

Certificeringerne underbygger, at der er meget lille sandsynlighed for, at en organisation kan komme i uføre, fordi den ikke har set sig godt nok for med hensyn til forebyggelse af sikkerhedsbrister, herunder cyberangreb og tilsidesættelse af personers ret til beskyttelse af følsomme oplysninger om dem selv.

Worst case scenario

Hvis man ikke vil bruge ressourcer på at indføre et ledelsessystem for informationssikkerhed og privatlivsbeskyttelse, kan man risikere, at der ikke findes nogen egentlig modstandskraft eller robusthed over for cyberangreb, alvorlige tekniske nedbrud, brand, hårdt vejrlig, terroranslag, hærværk, voldsomme pandemier, krigshandlinger eller lignende. 

Hvis man eksempelvis aldrig har prøvet at bruge sine backups til at genskabe et helt virksomhedssystem fra scratch i sin fulde udstrækning på en helt ny pc, ved man reelt ikke, om det kan lade sig gøre, og hvor lang tid det i givet fald vil tage, og det kan være helt afgørende for beredskab og forretningsvidereførelse.

Den største motivationsfaktor for at implementere et ledelsessystem for informationssikkerhed og privatlivsbeskyttelse er at forebygge store økonomiske tab, som kan udløses af almindelig uorden og manglende struktur og procedurer. Eksemplerne kan være mange, fx:

    • Ekspederede ordrer, der aldrig bliver faktureret, fordi optegnelserne forsvinder
    • Vigtige forskningsresultater, der forsvinder, fordi der ikke er nedskrevne procedurer for dokumentation
    • Cpr-numre og patientjournaler, der kommer i forkerte hænder
    • Fabrikationshemmeligheder, der uforvarende havner hos konkurrenter
    • Bortviste medarbejdere, der tager al knowhow med sig ud, når de forlader virksomheden for sidste gang
    • Eksponering af oplysninger om journalisters ellers beskyttede kilder ved en fejl
    • Konfigurationsdata og sporbarhedsoplysninger, der ikke bliver lagret korrekt
    • Softwarekoder, der releases uden at være ordentligt testet eller verificeret
    • Copyrightbestemmelser, der overtrædes bevidst eller uforvarende
    • Fortrolige bestyrelsesdokumenter og forretningsplaner, der lækkes ved fejl
    • Hemmelige kontrakter, der glemmes i fotokopimaskinen
    • Kreditkortoplysninger og bankoplysninger, der misbruges i forbindelse med e-handel
    • Risiko for bedragerisager, fx fordi funktionsadskillelse på nøgleposter ikke er tilstrækkelig
    • Ministres og embedsmænds sms’er, der slettes ved en fejl
    • Hemmelige notater, der forsvinder på Rådhuset

– Listen er lang.

Et ledelsessystem for informationssikkerhed er dermed et redskab, der kræver løbende vedligeholdelse. 
Hvis regler og sikkerhedsprocedurer ikke følger med den tekniske udvikling, hvis de ikke løbende er genstand for audit, hvis informationssikkerhedsbrister ikke registreres og behandles forskriftsmæssigt, hvis ansvaret for daglige driftsopgaver forsvinder, vil det for det første føre til afvigelser ved certificeringsorganets løbende opfølgning, og for det andet vil det give en falsk tryghed på direktionsgangen.

Man kan gå så vidt som at sige, at et informationssikkerhedssystem, som der ikke er vilje, ressourcer, knowhow og definerede ansvar bag, er værre end ingenting. Certificering skal være med til at sikre, at det ikke kommer dertil.

Kan ISO/IEC 27001 eliminere cyberangreb?

Det korte svar er nej.

De cyberkriminelle miljøer på globalt plan vil typisk være et skridt foran informationssikkerheds- og it-eksperter fra mere autoriserede miljøer, som søger at dæmme op mod angreb med forebyggende foranstaltninger, beredskab, nød- og afværgeforanstaltninger og lignende.

Kort beskrevet er cyberkrig handlinger, der er foretaget af forholdsvist organiserede grupper af cyberkriminelle eller terrorister, som er blevet sat til ulovligt at tage kontrol over intetanende brugeres pc’er eller at penetrere en organisations pc’er og netværk med henblik på at forårsage maksimal ødelæggelse eller forstyrrelse af infrastruktur, herunder logistik og forsyningssystemer – altså en slags krigshandlinger, der udføres med digitale våben. Cyberangreb er stort set det samme, men gennemføres ofte af mindre organiserede hackere for egen vindings skyld.

Ledelsessystemer for informationssikkerhed med opfyldelse af kravene i ISO/IEC 27001 kan ikke hindre forsøg på illegitime indtrængninger eller indbrud i systemer af ondsindede og uetiske årsager, men jo bedre informationssikkerheden er, desto færre sårbarheder er der, hvilket alt andet lige reducerer risikoen for, at personer med ureelle hensigter vil have succes med deres systempenetration.
Systematisk styring af informationssikkerheden indebærer også, at den angrebne organisation vil have bedre mulighed for at overvinde konsekvenserne og begrænse skaderne og ulykkerne som følge af hændelser med brud på sikkerheden.

Søg på D4InfoNet.dk

Tilmeld dig til et af vores kurser

Udfyld felterne, så kontakter vi dig.

Tilmeld dig til et af vores kurser

Udfyld felterne, så kontakter vi dig.