Du har nok hørt det mange gange, at IT-sikkerhedsarbejdet skal baseres på en risikobaseret tilgang.

Men hvad mener vi med det?

Risikostyring er en afgørende proces for enhver virksomhed. Det gælder indenfor IT-sikkerhed, men det gælder også indenfor en lang række andre områder. Processen handler om at identificere, vurdere, prioritere og ikke mindst håndtere risici effektivt.

Men hvordan gør man dette i praksis?

Det nemmeste er at anvender en struktureret metode og meget gerne et fleksibelt værktøj, da vi jo skal gentage processen løbende.

Anvender du Nem ISMS kan du anvende dette stærke værktøj til løbende at lave alle dine risikoanalyser.

Her er selve metoden kort beskrevet:

Identificér risici

Start med at identificere alle de potentielle trusler som din virksomhed står overfor. Disse vil naturligvis være forskellige alt efter hvilket område du ønsker at analysere.

Er det virksomhedens IT-sikkerhed overordnet? Er det en konkret leverandør der skal evalueres? Eller er det fx jeres egen udvikling af software der skal analyseres?

I Nem ISMS kan du arbejde med forskellige trusselskataloger, og vi har udarbejdet kataloger over de typiske områder som du møder. Men du kan nemt lave dine egne, importere eksisterende eller blot supplere vores trusselskataloger.

På denne måde er det nemt at lave risikoanalyser og at gøre det løbende.

Før du gennemfører risikoanalyser, kan det være relevant at lave en overordnet risikostyringsstrategi. Denne skal styre de helt overordnede rammer - udstukket af ledelsen, herunder virksomhedens risikoappetit og gerne en beskrivelse af risikovurderingsmetode og forståelse af prioriteringen.

Men ellers er proceduren oftest bestående af følgende trin:

Vurdér risici

Når de enkelte risici er identificeret, skal du vurdere dem for at forstå deres sandsynlighed og indvirkning på din virksomhed. I Nem ISMS gøres dette ved at give dem en vægt fra 1-5 for henholdsvis Sandsynlighed og Konsekvens. Ud fra denne vægtning udregnes automatisk en risiko-score. Med denne bliver det nemt at fokusere på de mest kritiske risici.

For at gøre risikoen mere håndgribelig kan det være en god øvelse at tænke i worst-case scenarier og fx sætte en estimeret værdi på skaden, hvis det skulle ske.

Håndtér risici

Efter at de kritiske risici er synliggjort skal disse håndteres. Håndteringen består i at vælge en metode til at styre den enkelte risiko.

Der er overordnet følgende risikohåndteringsstrategier:

• Acceptere risikoen – dvs. at vi vurderer at risikoen er inden for vores risikoappetit og at vi vælger at leve med risikoen.

• Undgå risikoen – dvs. vi fjerner den, fx ved at undlade at anvende et risikabelt system, flytte systemer i skyen, ændre på vores processer o.l.

• Overføre risikoen – fx ved at tegne cyberforsikring eller outsource visse opgaver.

• Minimere risikoen – dvs. vi minimerer sandsynligheden og/eller konsekvensen af en risiko. Fx ved at forbedre vores backup, øge beskyttelsen, indføre firewall o.l.

For at minimere risikoen iværksættes en eller typisk flere foranstaltninger. I Nem ISMS arbejder vi med foranstaltningskataloger. Dvs. kataloger over best-practice som kan imødegå de typiske risici.

Du kan her basere dig på en række standard foranstaltningskataloger fx ISO-27001, NIST, CIS-18, D-mærket m.fl. eller du kan oprette dine helt egne foranstaltninger fra bunden.

Alle foranstaltninger kan prioriteres med Haster (iværksættes straks), Vigtigt (iværksættes inden for 3 måneder) eller Mindre vigtigt (iværksættes inden for de kommende 12 måneder), denne status sammen med en deadline og ansvarlig gør det nemt at følge op på de iværksatte foranstaltninger.

Du kan sågar lade Nem ISMS oprette en opgave og sende dig en reminder når deadline nærmer sig.

Så risikostyring er en vigtig kompetence for alle virksomheder og med Nem ISMS får du et værktøj til at styre og dokumentere processen, ligesom du får et stærkt værktøj til at følge op på de iværksatte foranstaltninger.

De periodiske risikovurderinger og leverandørevalueringer m.m. oprettes som periodiske opgaver i dit årshjul, på denne måde sikrer du at processen kører løbende.

På denne måde kan du nemt bruge risikostyring som en løftestang i dit løbende arbejde med IT-sikkerheden og du kan som CISO holde overblikket over de iværksatte foranstaltninger og de opgaver som du og dine kolleger skal huske at udføre.

Nysgerrig? Ræk ud og få en uforpligtende snak og demo af risikostyring med Nem ISMS.

Microsoft har netop offentliggjort deres ”Microsoft Digital Defense Report 2023” og det er spændende læsning hvis man kan holde sig vågen igennem de 131 sider på engelsk.

Hvor mange iagttagere har fokuseret på rapportens positive budskab om at 99% af cyberangreb kan afværges med 5 basale tekniske foranstaltninger, så er det måske interessant at hæfte sig ved hvorfor det ikke er 100%.

Svaret er at de kriminelle hele tiden finder på nye måder at snyde os på. Og det er stadig os brugere der er det svage led.

Når vi tester medarbejdere med simulerede phishing beskeder ligger procentandelen der klikker på de farlige links rimelig konstant på omkring 8%. Og medarbejderne som falder i og udfylder fx brugernavn, password og andre følsomme oplysninger ligger tilsvarende rimelig konstant på 2-3%.

Når de kriminelle først har kompromitteret en enkelt brugers konto, har de en indgang til virksomheden og vil forsøge at bevæge sig videre herfra.

Så vi må konstatere at:

• Tekniske foranstaltninger virker - men er ikke nok

• Medarbejderne er og bliver det svageste led

• Phishingangreb virker og er kommet for at blive

• Træning af awareness løser ikke problemet 100%

Hvad er så løsningen?

Teknisk sikkerhed og træning af medarbejdere skal vi fortsætte med, vi skal bare være bevidste om at truslen fortsætter med at være der og at træningen skal vedligeholdes.

Men vi skal have øget fokus på de foranstaltninger der giver os IT-sikkerhed "i dybden", dvs. dem der minimerer skaden NÅR de kriminelle lykkes med deres angreb.

Øget fokus på betroede medarbejdere. De medarbejdere der har privilegerede rettigheder skal der være ekstra fokus på. Yderligere træning, funktionsadskillelse.

Adgangsrettigheder – øget fokus på at implementere mindst mulige rettigheder og just-in-time rettigheder for administrator opgaver.

Beskyttelse af data. Det må ikke være muligt at kryptere og stjæle fortrolige og/eller følsomme data.

Der skal bygges øget beskyttelse op omkring følsomme data (især personfølsomme data) så de ikke kan tilgås af brugere – med mindre at de har et begrundet behov for at kunne tilgå dem. Så den gamle metode med at alle har adgang til alt er ikke godt nok længere.

Backup - og ikke bare backup, men backup der er uafhængig af virksomhedens primære leverandører og som er beskyttet imod sletning og kryptering.

Så jo, teknisk sikkerhed og awareness træning virker - men der skal desværre mere til i disse tider...

Et ISMS er forkortelsen for Information Security Management System eller på dansk et ledelsessystem for informationssikkerhed - allerede her står de fleste af.

Men sagt mere simpelt er et ISMS alle de aktiviteter, processer og dokumenter der udgør en virksomheds IT-sikkerhedssystem.

Et godt ISMS sikrer at virksomheden har styr på IT-sikkerheden og har let ved løbende at holde IT-sikkerheden ved lige.

Et ISMS er vigtig når man arbejder professionelt med IT-sikkerhed, dette hvad enten man læner sig op ad D-mærket, ISO-27001, NIST eller en helt 4. standard.

Nem ISMS faciliterer IT-sikkerhedsarbejdet fra 0-100%

Man starter typisk med en kortlægning af alle sine informationsaktiver og identificerer de kritiske aktiver. Informationsaktiver er ALT – data, applikationer, tjenester, servere, netværkskomponenter og enheder fx pc’er og mobile enheder. Alt som vi ønsker at beskytte.

Når dette er gjort, forholder man sig typisk til antimalware og backup. Er alt omfattet?

Er overblikket skabt laver man en risikovurdering, risikovurderingen skulle gerne afdække hvor vi er mest sårbare og hvor konsekvenserne vil være uacceptable.

Løsningen er at iværksætte passende foranstaltninger.

Nem ISMS faciliterer denne proces og leveres med relevante trussels- og foranstaltningskataloger. Når de værste trusler er identificeret, indeholder Nem ISMS endda forslag til relevante foranstaltninger.

På denne måde indeholder Nem ISMS alle værktøjer og angiver en nem vej igennem arbejdet med IT-sikkerheden.

Men ikke nok med det, det vigtigste og måske sværeste i arbejdet med IT-sikkerheden er at holde et ISMS ved lige og løbende forbedre IT-sikkerheden.

Her hjælper Nem ISMS med opbygningen af et årshjul med periodiske opgaver, der kan uddelegeres i organisationen, ligesom de IT-sikkerhedshændelser der sker kan registreres, håndteres og dokumenteres.

I det hele taget hjælper Nem ISMS med at sikre at det hele er dokumenteret.

Som bonus kan du håndtere og dokumentere din awareness-træning, dine IT-sikkerhedsdokumenter, dit godkendte software, leverandører o.m.m.

Alt i alt en komplet løsning til styring af din virksomheds eller institutions IT-sikkerhed – uanset ambitionsniveau.

Skal du have en demo? Så hold dig ikke tilbage, 30 minutter via et Teams møde kan give dig et godt indtryk.

Og prisen – den er forbavsende attraktiv.