Blog | Digital Fighters

Kaj Asmussen
- 30. okt. 2023
- 1 min læsning

Lej en CISO

En del virksomheder burde have en CISO - Chief Information Security Officer – en person der har fokus på virksomhedens informationssikkerhed.

Men selv store virksomheder har måske svært ved at rekruttere og fastholde en CISO, ligesom der i perioder kan være vanskeligt at beskæftige CISO’en fuld tid.

Når virksomheden står overfor større IT-sikkerhedsprojekter som fx ISO-27001 certificering, NIS2 eller ekstern audit, kræver det en større fokuseret indsats, men når projektet er gennemført, er det mere vedligeholdelse og opfølgning på årshjulets aktiviteter.

Når du laver en aftale med en ekstern CISO er det netop muligt at skrue op og ned for indsatsen efter behov.

Digital Fighters tilbyder en komplet løsning med en digital platform i form af vores Nem ISMS app og rådgivningstimer efter behov.

På denne måde får du en effektiv og erfaren CISO tilknyttet, du opnår effekten fra dag 1. Ved at anvende en digital platform sikrer du at den opbyggede viden er tilgængelig for virksomheden – også efter et evt. afslutning af samarbejdet.

Hvad enten vi skal håndtere hele opgaven eller blot understøtte dine egne interne ressourcer, det afgør du naturligvis.

Har du brug for at få styr på IT-sikkerheden, så overvej at leje en CISO.

Kaj Asmussen
- 26. okt. 2023
- 1 min læsning

Virksomheder der tager IT-sikkerheden alvorligt, er mere værd

Når en virksomhed skal værdisættes, vil investorer altid kigge på en lang række parametre fx ejerkredsen, ledelsesteamet, nøgletal, udvikling, virksomhedens strategi, kundetilfredshed m.m.

Men i disse tider vil seriøse investorer og bankforbindelser også kigge på virksomhedens arbejde med IT-sikkerhed. Dette skyldes den markant øgede trussel fra cyberkriminelle og de mange eksempler vi ser på virksomheder som lider store tab ved ransomwareangreb.

Så når virksomheden kan dokumentere at der er styr på IT-sikkerheden, så giver det tryghed hos investorerne.

Undersøgelser som fx Cyberbarometeret viser at det foruden tryghed også giver virksomhederne konkurrencefordele ved investering i cybersikkerhed. Cyberbarometeret er baseret på en årlig spørgeundersøgelse blandt danske små og mellemstore virksomheder.

Interessant nok viser analysen at selv mindre IT-sikkerhedstiltag øger konkurrencekraften. Dette skyldes nok at forbedringen af IT-sikkerheden sætter fokus på andre områder af virksomhedens IT-anvendelse og herunder øger virksomhedens digitalisering og anvendelse af moderne værktøjer.

Et andet aspekt er nok at medarbejdere der føler at ledelsen tager IT-sikkerheden alvorligt generelt og har fokus på IT-anvendelsen har en højere motivation og effektivitet.

Så vil du have en mere værdifuld virksomhed med en stærkere konkurrencekraft, så er fokus på IT-sikkerheden et godt sted at starte.

Hvis du ønsker dokumentation for din virksomheds IT-sikkerhed er der typisk 2 veje at gå.

D-mærket, som er Danmarks mærkningsordning for it-sikkerhed og ansvarlig dataanvendelse
ISO-27001 certificering, som er en certificering af virksomhedens ledelsessystem for informationssikkerhed (ISMS)

Hvad enten du vælger det ene eller det andet er Digital Fighters din sparringspartner. Vi har både fokus på de forretningsmæssige mål med IT-sikkerheden og detaljerne i teknikken.

Kaj Asmussen
- 18. okt. 2023
- 3 min læsning

Risikostyring som løftestang for IT-sikkerheden

Opdateret: 2. apr.

Du har nok hørt det mange gange, at IT-sikkerhedsarbejdet skal baseres på en risikobaseret tilgang.

Men hvad mener vi med det?

Risikostyring er en afgørende proces for enhver virksomhed. Det gælder indenfor IT-sikkerhed, men det gælder også indenfor en lang række andre områder. Processen handler om at identificere, vurdere, prioritere og ikke mindst håndtere risici effektivt.

Men hvordan gør man dette i praksis?

Det nemmeste er at anvender en struktureret metode og meget gerne et fleksibelt værktøj, da vi jo skal gentage processen løbende.

Anvender du Nem ISMS kan du anvende dette stærke værktøj til løbende at lave alle dine risikoanalyser.

Her er selve metoden kort beskrevet:

Identificér risici

Start med at identificere alle de potentielle trusler som din virksomhed står overfor. Disse vil naturligvis være forskellige alt efter hvilket område du ønsker at analysere.

Er det virksomhedens IT-sikkerhed overordnet? Er det en konkret leverandør der skal evalueres? Eller er det fx jeres egen udvikling af software der skal analyseres?

I Nem ISMS kan du arbejde med forskellige trusselskataloger, og vi har udarbejdet kataloger over de typiske områder som du møder. Men du kan nemt lave dine egne, importere eksisterende eller blot supplere vores trusselskataloger.

På denne måde er det nemt at lave risikoanalyser og at gøre det løbende.

Før du gennemfører risikoanalyser, kan det være relevant at lave en overordnet risikostyringsstrategi. Denne skal styre de helt overordnede rammer - udstukket af ledelsen, herunder virksomhedens risikoappetit og gerne en beskrivelse af risikovurderingsmetode og forståelse af prioriteringen.

Men ellers er proceduren oftest bestående af følgende trin:

Vurdér risici

Når de enkelte risici er identificeret, skal du vurdere dem for at forstå deres sandsynlighed og indvirkning på din virksomhed. I Nem ISMS gøres dette ved at give dem en vægt fra 1-5 for henholdsvis Sandsynlighed og Konsekvens. Ud fra denne vægtning udregnes automatisk en risiko-score. Med denne bliver det nemt at fokusere på de mest kritiske risici.

For at gøre risikoen mere håndgribelig kan det være en god øvelse at tænke i worst-case scenarier og fx sætte en estimeret værdi på skaden, hvis det skulle ske.

Håndtér risici

Efter at de kritiske risici er synliggjort skal disse håndteres. Håndteringen består i at vælge en metode til at styre den enkelte risiko.

Der er overordnet følgende risikohåndteringsstrategier:

Acceptere risikoen – dvs. at vi vurderer at risikoen er inden for vores risikoappetit og at vi vælger at leve med risikoen.
Undgå risikoen – dvs. vi fjerner den, fx ved at undlade at anvende et risikabelt system, flytte systemer i skyen, ændre på vores processer o.l.
Overføre risikoen – fx ved at tegne cyberforsikring eller outsource visse opgaver.
Minimere risikoen – dvs. vi minimerer sandsynligheden og/eller konsekvensen af en risiko. Fx ved at forbedre vores backup, øge beskyttelsen, indføre firewall o.l.

For at minimere risikoen iværksættes en eller typisk flere foranstaltninger. I Nem ISMS arbejder vi med foranstaltningskataloger. Dvs. kataloger over best-practice som kan imødegå de typiske risici.

Du kan her basere dig på en række standard foranstaltningskataloger fx ISO-27001, NIST, CIS-18, D-mærket m.fl. eller du kan oprette dine helt egne foranstaltninger fra bunden.

Alle foranstaltninger kan prioriteres med Haster (iværksættes straks), Vigtigt (iværksættes inden for 3 måneder) eller Mindre vigtigt (iværksættes inden for de kommende 12 måneder), denne status sammen med en deadline og ansvarlig gør det nemt at følge op på de iværksatte foranstaltninger.

Du kan sågar lade Nem ISMS oprette en opgave og sende dig en reminder når deadline nærmer sig.

Så risikostyring er en vigtig kompetence for alle virksomheder og med Nem ISMS får du et værktøj til at styre og dokumentere processen, ligesom du får et stærkt værktøj til at følge op på de iværksatte foranstaltninger.

De periodiske risikovurderinger og leverandørevalueringer m.m. oprettes som periodiske opgaver i dit årshjul, på denne måde sikrer du at processen kører løbende.

På denne måde kan du nemt bruge risikostyring som en løftestang i dit løbende arbejde med IT-sikkerheden og du kan som CISO holde overblikket over de iværksatte foranstaltninger og de opgaver som du og dine kolleger skal huske at udføre.

Nysgerrig? Ræk ud og få en uforpligtende snak og demo af risikostyring med Nem ISMS.