Søgeresultater

Et godt awarenessprogram for dine medarbejdere er et vigtigt fundament for al IT-sikkerhedsarbejde, har man ønske om at blive D-mærket eller ISO-27001 certificeret er det et krav, ligesom NIS2 stiller krav om awareness træning af både ledelse og medarbejdere. Som på alle andre områder gælder det om at skabe et overblik. Hvilke medarbejdere har vi? Hvad med bestyrelsen? Hvad med ledelsen? Har vi specielle betroede medarbejdere som med fordel kan modtage særskilt træning? Har vi medarbejdere der arbejder meget hjemmefra eller som rejser meget? Dette overblik kan bruges til at tilrettelægge passende træning for de enkelte kategorier. Overvej en HackerStop måling HackerStop er en løsning der kan anvendes til at foretage en modenhedsmåling blandt dine medarbejdere. Her får du hurtigt "taget pulsen" på dine medarbejdere og får et godt overblik over indsatsområder. HackerStop er nemt at bruge og du kan sågar lave periodiske målinger, så du kan se en udvikling. Online kursus Har du medarbejdere der har brug for at tage et online kursus, findes der flere gode løsninger fx IT til alle se Gratis kurser for dig, der vil vide mere om IT - IT til alle (itta.dk) eller Sikker:Cyber på https://sikkercyber.dk/ Betroede medarbejdere For dine betroede medarbejder fx medarbejdere i økonomi, bogholdere, IT-sikkerhedsmedarbejdere eller medarbejdere der arbejder med persondata eller fortrolige data bør der iværksættes mere omfattende træning fx ISO-27001 eller GDPR. Beredskabsøvelser Den øverste ledelsen bør foruden generel træning have træning i IT-beredskab, dette kan ske in-house i form af øvelser. Eller man kan overveje at booke plads i Cyberrisk Simulatoren, som er et initiativ under Bestyrelsesforeningens Center for Cyberkompetencer A/S se mere på Virksomhedsspecifikke Uddannelser (bcfc.dk) Test dine medarbejdere En del af awarenessprogrammet kan også omfatte test af medarbejderne, dette kan ske ved at udsende eksempler på phishing e-mails. Dette kan suppleres med individuel træning hvis medarbejderen "falder i". Vi kan tilbyde intelligente løsninger der automatisk styrer sværhedsgraden individuelt for den enkelte medarbejder og som kører 100% automatisk. Dokumentering Som alt andet bør dine awareness aktiviteter dokumenteres. Dette kan du nemt gøre ved at anvende Nem ISMS som platform. Her dokumenteres alle awarenessprogrammets aktiviteter nemt. Ræk ud hvis du ønsker sparring omkring dit awarenessprogram.

Du har nok hørt det mange gange, at IT-sikkerhedsarbejdet skal baseres på en risikobaseret tilgang. Men hvad mener vi med det? Risikostyring er en afgørende proces for enhver virksomhed. Det gælder indenfor IT-sikkerhed, men det gælder også indenfor en lang række andre områder. Processen handler om at identificere, vurdere, prioritere og ikke mindst håndtere risici effektivt. Men hvordan gør man dette i praksis? Det nemmeste er at anvender en struktureret metode og meget gerne et fleksibelt værktøj, da vi jo skal gentage processen løbende. Anvender du Nem ISMS kan du anvende dette stærke værktøj til løbende at lave alle dine risikoanalyser. Her er selve metoden kort beskrevet: Identificér risici Start med at identificere alle de potentielle trusler som din virksomhed står overfor. Disse vil naturligvis være forskellige alt efter hvilket område du ønsker at analysere. Er det virksomhedens IT-sikkerhed overordnet? Er det en konkret leverandør der skal evalueres? Eller er det fx jeres egen udvikling af software der skal analyseres? I Nem ISMS kan du arbejde med forskellige trusselskataloger, og vi har udarbejdet kataloger over de typiske områder som du møder. Men du kan nemt lave dine egne, importere eksisterende eller blot supplere vores trusselskataloger. På denne måde er det nemt at lave risikoanalyser og at gøre det løbende. Før du gennemfører risikoanalyser, kan det være relevant at lave en overordnet risikostyringsstrategi. Denne skal styre de helt overordnede rammer - udstukket af ledelsen, herunder virksomhedens risikoappetit og gerne en beskrivelse af risikovurderingsmetode og forståelse af prioriteringen. Men ellers er proceduren oftest bestående af følgende trin: Vurdér risici Når de enkelte risici er identificeret, skal du vurdere dem for at forstå deres sandsynlighed og indvirkning på din virksomhed. I Nem ISMS gøres dette ved at give dem en vægt fra 1-5 for henholdsvis Sandsynlighed og Konsekvens. Ud fra denne vægtning udregnes automatisk en risiko-score. Med denne bliver det nemt at fokusere på de mest kritiske risici. For at gøre risikoen mere håndgribelig kan det være en god øvelse at tænke i worst-case scenarier og fx sætte en estimeret værdi på skaden, hvis det skulle ske. Håndtér risici Efter at de kritiske risici er synliggjort skal disse håndteres. Håndteringen består i at vælge en metode til at styre den enkelte risiko. Der er overordnet følgende risikohåndteringsstrategier: Acceptere risikoen – dvs. at vi vurderer at risikoen er inden for vores risikoappetit og at vi vælger at leve med risikoen. Undgå risikoen – dvs. vi fjerner den, fx ved at undlade at anvende et risikabelt system, flytte systemer i skyen, ændre på vores processer o.l. Overføre risikoen – fx ved at tegne cyberforsikring eller outsource visse opgaver. Minimere risikoen – dvs. vi minimerer sandsynligheden og/eller konsekvensen af en risiko. Fx ved at forbedre vores backup, øge beskyttelsen, indføre firewall o.l. For at minimere risikoen iværksættes en eller typisk flere foranstaltninger. I Nem ISMS arbejder vi med foranstaltningskataloger. Dvs. kataloger over best-practice som kan imødegå de typiske risici. Du kan her basere dig på en række standard foranstaltningskataloger fx ISO-27001, NIST, CIS-18, D-mærket m.fl. eller du kan oprette dine helt egne foranstaltninger fra bunden. Alle foranstaltninger kan prioriteres med Haster (iværksættes straks), Vigtigt (iværksættes inden for 3 måneder) eller Mindre vigtigt (iværksættes inden for de kommende 12 måneder), denne status sammen med en deadline og ansvarlig gør det nemt at følge op på de iværksatte foranstaltninger. Du kan sågar lade Nem ISMS oprette en opgave og sende dig en reminder når deadline nærmer sig. Så risikostyring er en vigtig kompetence for alle virksomheder og med Nem ISMS får du et værktøj til at styre og dokumentere processen, ligesom du får et stærkt værktøj til at følge op på de iværksatte foranstaltninger. De periodiske risikovurderinger og leverandørevalueringer m.m. oprettes som periodiske opgaver i dit årshjul, på denne måde sikrer du at processen kører løbende. På denne måde kan du nemt bruge risikostyring som en løftestang i dit løbende arbejde med IT-sikkerheden og du kan som CISO holde overblikket over de iværksatte foranstaltninger og de opgaver som du og dine kolleger skal huske at udføre. Nysgerrig? Ræk ud og få en uforpligtende snak og demo af risikostyring med Nem ISMS.

Datoen blev den 1. januar 2025. Denne dato træder NIS2 i kraft i Danmark og samme dato træder CER direktivet i kraft. Så mange virksomheder og institutioner har rigtig travlt. NIS2 Dette EU-direktiv stiller krav om IT-sikkerheden for en lang række virksomheder der er ansvarlige for den kritiske infrastruktur. Mange virksomheder vil blive direkte berørt og skal altså overholde loven pr. denne dato, andre bliver indirekte berørt som underleverandører o.l. til de NIS2 omfattede virksomheder og institutioner. CER CER-direktivet (Critical Entities Resilience directive) stiller krav til den fysiske sikkerhed for de samme virksomheder. Man kan sige at begge direktiver søger at højne samfundets modstandsdygtighed imod cyberkriminalitet og sabotage m.m. Men selvom du ikke er berørt direkte anbefales det at tage IT-sikkerheden alvorligt og starte en proces for at sikre at din virksomhed eller institution er sikker. Al erfaring viser at det kan betale sig. Har du spørgsmål eller blot ønsker en dialog om hvordan du kan gribe det an, så ræk ud til os for en uforpligtende dialog.

Langt om længe har NIST (National Institute of Standards and Technology) frigivet deres nye version af deres populære framework CSF. Det er et virkelig godt framework som med fordel kan bruges af mange internationalt orienterede virksomheder. Selvom vi nok her i Europa og Danmark især oftest vender os imod ISO-27001 kan det være en fordel at kigge på NIST også. Når man arbejder med IT-sikkerhed, kan det være en stor fordel at arbejde med flere frameworks parallelt. Det er en af de store fordel ved at arbejde med en fleksibel ISMS app, at man netop kan arbejde med flere standarder samtidigt. En god kombination kunne fx være NIST 2.0 sammen med CIS-18 (IG1). Det er således en stor glæde at kunne informere om at Nem ISMS allerede her 2 dage efter frigivelsen af det nye framework understøtter arbejdet med NIST CSF 2.0. Så anvender du allerede Nem ISMS er du klar. Anvender du endnu ikke en ISMS app, så må du se at komme ud af starthullerne. Du kan stadig nå at købe Nem ISMS til introprisen, der planlægges en prisændring med udgangen af marts. Vil du høre mere om NIST CSF 2.0 og hvordan man kan arbejde med IT-sikkerhed i Nem ISMS, så ræk ud. Læs evt. mere om NIST CSF 2.0 her.

NIS2 kommer til at træde i kraft inden for kort tid. Selvom implementeringen i dansk lovgivning er udsat et halvt år der er ingen grund til at ”træde vande”. Der er ingen grund til at betvivle NIS2’s implementering og da trusselsbilledet er historisk højt er det bare om at komme i gang – jo før jo bedre. Parallelt med NIS2 implementeres Critical Entities Resilience Directive (CER). Hvor NIS2 fokuserer på cybersikkerhed, fokuserer CER på den fysiske sikkerhed, med et særligt fokus på en række konkrete trusler, herunder naturfarer, terrorangreb, insidertrusler eller sabotage. Man kan godt miste overblikket og der er mange elementer at forholde sig til. Men det er vigtigt at holde fast I at al arbejde med IT-sikkerhed bygger på de samme anbefalinger og best-practice. Kortlægning af IT- og informationsaktiver Risikovurdering Implementering af passende foranstaltninger Vurdering af leverandører og aftaler Udarbejdelse af en IT-sikkerhedspolitik og en IT-beredskabsplan Opbygning af et IT-sikkerhedsårshjul, så IT-sikkerheden løbende holdes ved lige For at komme rigtigt fra start og gøre processen effektiv kan det anbefales at anvende en ISMS-app, fx vores Nem ISMS og læne sig op af en erfaren IT-sikkerhedsrådgiver. App'en gør det nemmere og hurtigere at komme igennem processen, ligesom det er væsentlig nemmere at holde fokus på IT-sikkerheden over tid. En anden anbefaling er at læne sig op af de mange gode hjemmesider med gratis råd og vejledning. Fx siden https://kritiskinfrastruktur.dk/  som er udgivet af Branchefælleskabet Kritisk infrastruktur, her er mange gode informationer. Ønsker du råd og vejledning eller en demo af vores Nem ISMS app, så ræk ud.

Rigtig mange virksomheder og organisationer skal i de kommende måneder til at arbejde mere seriøst med IT-sikkerhed. Det høje trusselsbillede og NIS2 er blot 2 gode argumenter til at komme op i gear, men der er mange flere gode argumenter. IT-sikkerhedsarbejdet er komplekst og kræver mange ressourcer og aktiviteter, derfor er det næsten umuligt at holde overblikket når man ikke har en app til at hjælpe sig. Jeg vil her blot nævne nogle af de vigtigste fordele: IT-sikkerhed er en holdsport, der er flere personer både interne og eksterne der skal samarbejde for at IT-sikkerheden kan højnes og ikke mindst fastholdes over tid. Med Nem ISMS app’en arbejder man sammen om IT-sikkerheden og opgaver kan uddelegeres – sågar til eksterne samarbejdspartnere som kan inviteres som gæster. Alle værktøjer ved hånden. Jeg hører ofte at arbejdet med IT-sikkerhed er uoverskueligt. Med Nem ISMS bliver det nemmere, da alle de vigtige værktøjer er lige ved hånden, kortlægning, risikovurdering, foranstaltninger, godkendt software, privilegerede rettigheder, leverandørstyring og -evaluering. Alt sammen noget vi skal forholde os til, med Nem ISMS sættes det hele i system. Alt skal dokumenteres. I IT-sikkerhed skal/bør alt dokumenteres fx når vi laver en risikovurdering, når vi evaluerer en leverandør eller vi tester backup’en osv. Men Nem ISMS er dette meget intuitivt og nemt. Håndtering af hændelser. Når noget sker, skal vi håndtere og dokumentere hændelsen – men hvor og hvordan?Men Nem ISMS er hændelseshåndteringen integreret. Løbende vedligeholdelse. Alle ved at IT-sikkerheden løbende skal holdes ved lige og opdateres. Det er svært når informationer er spredt ud i Excel ark og Word dokumenter. Med Nem ISMS kan vi opbygge et årshjul og sikre at tingene bliver udført – og få det dokumenteret ved samme lejlighed. Med Nem ISMS er du altid klar til et audit! Alle er vel nervøse for at skulle blive udsat for et internt eller eksternt audit? Med Nem ISMS har du alle svar lige ved hånden. Nem ISMS overholder alle krav fra ISO-27001, så du kan trygt imødese et audit. Som du ser er der mange rigtig gode argumenter for at anvende en app som Nem ISMS til at styre din IT-sikkerhed. Det er nok skide dyrt! tænker du? Men Nej. Da Nem ISMS bygger på standard Microsoft teknologi er det meget økonomisk. Tag en dialog med os om Nem ISMS til din virksomheds IT-sikkerhedsprojekt. Det er nemmere, smartere og billigere end du tror.

Alle virksomheder har brug for et godt ISMS (Information Security Management System) system til at holde styr på IT-sikkerheden. Med det aktuelle trusselsniveau, nye NIS2 krav og det faktum at topledere endelig tager IT-sikkerheden alvorligt er der kommet fokus på at vi ikke bare kan fortsætte som vi har gjort hidtil. Nem ISMS er brugervenligt, og det er uforskammet billigt. For introprisen på kun kr. 1.295 pr. måned får du et komplet ISMS system. Kortlægning af informationsaktiver Risikoanalyser Foranstaltninger Årshjul Leverandørstyring Er blot nogle af de vigtige funktioner som Nem ISMS løser. Hvad enten du ønsker at arbejde med NIS2, ISO-27001, vil D-mærkes eller blot vil have styr på IT-sikkerheden, så er Nem ISMS den oplagte løsning. Den lave intropris gælder indtil udgangen af februar måned. Så ræk ud til os for at få en demo og kom hurtigt i gang med at få styr på IT-sikkerheden.

Arbejder du med IT-sikkerhed eller er du leder i en virksomhed der arbejder med persondata så kan man blive klog på at følge lidt med i hvad Datatilsynet har tænkt sig at fokusere på i 2024. De har netop offentliggjort deres fokus for det kommende år og det er lidt spændende at kigge ind i. Jeg vil i dette blogindlæg ikke gennemgå samtlige punkter men kun fokusere på dem jeg synes er mest relevant for den alm. danske virksomhed/institution. De punkter som jeg har valgt at hæfte mig ved er følgende: Brug af kunstig intelligens og automatisering Overvågning af ansatte Den registreredes ret til indsigt Privatskoler Online og fysisk indkøb Rettighedsstyring og forebyggelse af misbrug af adgang til personoplysninger Brug af kunstig intelligens og automatisering Når virksomheder begynder at anvende kunstig intelligens, rejser der sig en lang række problemstillinger. Det er afgørende at ledelsen forholder sig til anvendelsen af kunstig intelligens og vurdere hvilke problemstillinger anvendelsen rejser i forhold til IT-sikkerhed og GDPR. Overvågning af ansatte Overvågning af ansatte er et bredt område, her taler vi både om videoovervågning af medarbejdere og naturligvis overvågning i form af logning, kontrol af e-mails og websidebesøg m.m. Ledelsen skal have styr på reglerne og sikre at medarbejdere forstå virksomhedens overvågning og logning samt sikre at disse foranstaltninger overholder loven. Den registreredes ret til indsigt Jf. GDPR har den registrerede ret til indsigt i egne data. Dette skal understøttes af virksomheden og der skal orienteres om den registreredes rettigheder i virksomhedens persondatapolitik m.m. Dette er ikke nyt, men måske en reminder om at der skal være styr på dette inden Datatilsynet kigger forbi. Privatskoler Hvorfor Datatilsynet netop vælger at fokusere på Privatskoler skal være usagt, men flere hackerangreb og datalæk har vist at skoler og institutioner er meget sårbare og lader til at være lidt bagud med IT-sikkerheden. Så sidder du i bestyrelsen for en privatskole, skole eller institution, så overvej at stille spørgsmål vedr. IT-sikkerheden inden det er for sent. Når elevernes og medarbejdernes følsomme data først ligger på darkweb er det for sent. Foreslå institutionen at blive D-mærket. Online og fysisk indkøb Her vil Datatilsynet fokusere på handelsvirksomheder og deres opsamling og behandling af persondata, herunder ved onlinesalg, men også når virksomhederne udvikler apps – fx klik og betal apps m.m. Dette er et interessant område, og der er uden tvivl rigtig mange virksomheder der her kan komme i problemer, både i relation til overholdelse af GDPR, datahygiejne og IT-sikkerheden. Hjemmel samt håndtering af indsigts- og sletningsanmodninger er oplagte temaer. Rettighedsstyring og forebyggelse af misbrug af adgang til personoplysninger Rettighedsstyring er et relevant tema for alle virksomheder og institutioner og at Datatilsynet nu ser dette område som et fokusområde er oplagt. Rigtig mange virksomheder og institutioner – især med ældre systemer - vil have klare problemstillinger med at kunne håndtere, dokumentere og logge anvendelse af rettigheder. Så alt i alt relevante og vigtige fokusområder som Datatilsynet har udvalgt. Ønsker du at sætte fokus på IT-sikkerheden INDEN du hører fra Datatilsynet så tag fat i os. Læs Datatilsynets samlede fokus her

IT-sikkerhed og digitalisering går hånd i hånd. Digital Fighters Aps har fra etableringen haft fokus på begge dele, IT-sikkerheden er en forudsætning for at kunne digitalisere forretningen og samtidig er øget digitalisering en oplagt metode til at øge IT-sikkerheden. Pr. årsskiftet 2023/2024 er Digital Fighters Aps blevet Uniconta partner. Det betyder at vi nu kan levere Uniconta til vores kunder og dermed levere en sikker og moderne cloud-baseret ERP-løsning til styring af virksomhedens processer. Uniconta er et økonomisystem der overholder de nye krav til digitalisering der stilles i den nye bogføringslov. Og Uniconta er det oplagte valg når man har et ældre økonomisystem eller er vokset ud af det nuværende system. Specielt funktioner som lagerstyring og projektstyring er stærke integrerede moduler i Uniconta. Vi tilbyder en digitaliseringsanalyse til fast pris for at afklare hvordan din virksomhed kan digitaliseres med Uniconta og om det vil være en god business case for virksomheden. Kontakt os i dag for en uforpligtende dialog om optimering af din forretning.

Ikke at forveksle med de 10 bud. Datatilsynet har netop offentliggjort en liste over de 10 oftest sete brud på persondatasikkerheden. Det er en god liste at blive klog af. Listen er samtidig et godt eksempel på at det er vigtigt løbende at kunne arbejde nemt med risikovurderinger. Nem ISMS app'en er fleksibel, så det er nemt at oprette en risikoanalyse ud fra en sådan tjekliste over trusler som disse 10 brud udgør - vi kalder det et trusselskatalog. I Nem ISMS kan du nemt importere trusselskataloger og foranstaltningskataloger og vi leverer dem gratis til dig. Vi tilbyder sågar at stå for importen uden beregning. Det er blot en af de store fordele der er ved at basere sit IT-sikkerhedsarbejde på en brugervenlig og fleksibel app. Læs mere om "De 10 brud" på Datatilsynets hjemmeside. .

I denne juletid er der nok mange der reflekterer over året der er gået og tænker over hvilke projekter der skal igangsættes i det nye år 2024. Måske har din virksomhed som så mange andre været ramt at en cyberhændelse i årets løb, en hændelse som har kostet tid, penge og slidt på virksomhedens omdømme. Måske du som så mange andre har måttet beklage at I ikke var i stand til at passe på kundernes data? Hvis ikke, så bør du tænke på om det er rent held eller er et udtryk for en bevidst indsats fra din side. Jeg håber på at 2024 bliver året hvor flere topledere, ejerledere og bestyrelser igangsætter vedvarende IT-sikkerhedsindsatser. IT-sikkerhed er et marathon, ikke en sprint. Samtidig er det en vedvarende holdindsats som omfatter hele organisationen og de kritiske samarbejdspartnere. For at kunne arbejde struktureret og vedvarende med IT-sikkerheden er det afgørende at have et ISMS - et Information Security Management System fx vores Nem ISMS. Nem ISMS sætter IT-sikkerheden i system, sikrer overholdelse af standarder og gør det nemt at samarbejde og dokumentere IT-sikkerhedsarbejdet. Start det nye år med at få IT-sikkerheden på dagsordenen, vi er klar til at hjælpe. Jeg ønsker jer alle en rigtig glædelig jul og et cybersikkert nytår. Venlig hilsen Kaj Asmussen

Center for Cybersikkerhed har lige offentliggjort deres trusselsvurdering ”Ransomware-truslen mod produktionsvirksomheder”. Og ikke uventet er deres trusselsvurdering ”MEGET HØJ”. Det er samtidig disse virksomheder som også i denne tid bør kigge i retning af NIS2 kravene, da mange produktionsvirksomheder indenfor fødevarer, medicin, maskiner o.l. bliver direkte omfattet af NIS2 kravene. Men hvorfor er produktionsvirksomhederne så attraktive for de IT-kriminelle? Der er uden tvivl flere svar, men lad mig prøve at fokusere på nogen af de væsentligste. Panik-faktoren For en produktionsvirksomhed betyder oppetid alt, når IT-systemerne er lagt ned, går der typisk ikke lang tid før produktionen stopper og medarbejdere skal sendes hjem. Det er utrolig dyrt at holde en produktion stoppet, derfor er det nemt for de IT-kriminelle at skabe panik og måske overtale en virksomhed til at betale en løsesum. Komplekse sårbarheder Produktionsvirksomheder har både IT og OT, dvs. at de har operationel teknologi, som anvendes til at styre maskiner og processer i produktionen. Dette gør det mere kompliceret at få overblik og beskytte virksomheden. Og det åbner flere angrebsmuligheder for de IT-kriminelle. Høj grad af on-premise Lidt i boldgade med anvendelse af OT, er det også typisk sådan at produktionsvirksomheder ikke er så langt med at flytte applikationer og data i skyen. Applikationer og data i skyen er nemmere at beskytte og en stor del af ansvaret for en høj IT-sikkerhed overtages af IT-leverandørerne. Dette er ofte ikke tilfældet for producerende virksomheder, som oftest har servere og en del af infrastrukturen placeret i deres eget serverrum. Dette betyder at kunden selv har et stort ansvar for løbende opdatering, antimalware og backup. Opgaver der kræver kompetencer som ikke altid er til stede. Alt i alt er produktionsvirksomheder således en lækkerbisken for de IT-kriminelle og det anbefales på det kraftigste at arbejde med IT-sikkerheden løbende. Du kan læse Center for Cybersikkerheds trusselsvurdering for produktionsvirksomheder her. .