Trendrapport 2012 - DK-Cert

cert.dk

Trendrapport 2012 - DK-Cert

Anbefalinger56I sidste ende er det jeres kundegrundlag, der risikerer at blivekompromitteret.Informationssikkerhedspolitikken konkretiserer og operationalisererstrategiernes overordnede målsætninger. Det er her, organisationensforretningsaktiver risikovurderes og der beskrives tiltag for, hvordan manønsker at sikre dem. Som ved budgetter og regnskaber foretages derperiodisk ekstern revision af politikken. En godkendt revision bør dogikke være et mål i sig selv. Det er derfor vigtigt, at politikken løbendeopdateres og følges.Skab rammer, der synliggør organisationens tiltag og indbyg procedurer,der sikrer, at de efterleves. Vi mener, at der bør være transparensomkring denne proces, således at organisationens ansatte bidrager,kender, forstår og følger beslutninger om brugen af organisationensit-aktiver. I modsat fald kan det medføre kompromittering af systemer ogdata med mistet tillid og omdømme til følge.Informationssikkerhed i et perspektiv af god selskabsledelse:4. Skab synlighed af ledelsens involvering i informationssikkerhed.Ledelsesinvolvering er en afgørende faktor for, at informationssikkerhedspolitikkenikke bare følger gældende standarder og kanrevideres, men at den rent faktisk også følges. Derfor skal ledelseninvolvere sig og skabe synlighed om den.5. Prioriter og synliggør risikostyring. Lad risikostyringsaktivitetervære en naturlig og synlig del af ledelsens arbejde, også påinformationssikkerhedsområdet. Trods alt er det jo ledelsen, derbedst er i stand til at vurdere de forretningsmæssige konsekvenserved brud på sikkerheden.6. Afsæt de fornødne ressourcer til uddannelse. Viden ogerfaring er grundlæggende fundamenter for opretholdelse afinformationssikkerheden. Ledelsen bør derfor prioritere deansattes uddannelse og styrke aktiviteter til oplysning, videndelingog samarbejde. Herved synliggøres, at sikkerhed er et område, derprioriteres.7. Skab samarbejdsrelationer omkring informationssikkerhed.Informationssikkerhed implementeres og udvikles ikke i lukkedefora. Skab rammer for samarbejder, der inkluderer de ansatte,leverandører, kunder og øvrige interessenter. Det handler omgensidig videndeling og forventningsafstemning, der gavnerhelheden.Informationssikkerhed er en afvejning af risici, konsekvenser ogøkonomi. I anvendelighedens hellige navn vil det ofte betyde, at man pånogle områder må gå på kompromis med informationssikkerheden. Deter derfor nødvendigt at vide, hvordan skaden begrænses, når det gårgalt.Som ved andre krisesituationer er det ofte beslutningstagerne, der erblandt de første, som bliver orienteret, når systemerne ikke er tilgængelige,eller organisationens data kompromitteres. Eller sådan bør det ihvert fald være, da det er dem, der kan afsætte de fornødne ressourcertil at afværge en krisesituation. Ofte er det også beslutningstagerne,der efterfølgende skal orientere leverandører, kunder og presse, indgå iforhandlinger om eventuel bod og lignende. Et ordentligt kriseberedskaber derfor afgørende, når det går galt.Vær beredt:8. Hav beredskabsplanen på plads. Sørg for, at der er udfærdigetfyldestgørende beredskabsplaner for kritiske forretningsaktiver, derklart beskriver arbejds- og kommunikationsgange. Hav nødplanerparat, så kommunikationskanaler og produktion kan opretholdesunder krisen, og sørg for løbende at efterprøve beredskabet.Der er gennem de seneste års finanskrise blevet effektiviseret ogskåret i budgetterne til investeringer i informationsteknologi. Det er oftebudgettet til informationssikkerheden, der står for skud, da investeringerher ikke skaber værdi for forretningen. Det kan på sigt vise sig at væreen dyr beslutning, når organisationens systemer kompromitteres.Informationssikkerhed koster:9. Brug de fornødne ressourcer. At spare på informationssikkerhedenkan i det lange løb være en dyrt. Et ønske om ateffektivisere bør ikke give anledning til at gå på kompromis medde grundlæggende principper for informationssikkerhed. De midlerman bruger her, skal jo fortsat stå mål med værdien af det,man ønsker at sikre. I sidste ende kan besparelser på informationssikkerhednemlig koste langt mere end det, som er sparet.Overvej derfor, om der er råd til at spare på informationssikkerhed.Der kan argumenteres for, at borgernes informationssikkerhed erderes eget ansvar, ligeså vel som det er organisationernes eget ansvarat opretholde den nødvendige sikkerhed. I en stadig mere kompleksverden er de nødvendige forholdsregler dog blevet vanskeligere at gennemskuefor borgeren. Vi mener, at en optrapning af midlerne til ogsåoffensiv krigsførelse introducerer nogle risici, som i sidste ende kanramme borgerne. Det er jo også deres data, som er placeret i de offentligesystemer, der kan blive mål for angreb, eller deres internetforbundnesystemer, der utilsigtet kan blive ramt.Borgernes informationssikkerhed:10. Glem ikke borgerne i cyberkrigen. I takt med optrapningen afressourcer til både offensiv og defensiv krigsførelse på internettetbør vi ikke glemme borgernes sikkerhed. Vores frygt er nemlig, aten global optrapning utilsigtet vil ramme borgernes systemer ogdata. Hvor vi tidligere byggede beskyttelsesrum og informeredeom, hvordan man skulle forholde sig ved atomangreb og lignende,er der på internettet ikke taget tilsvarende foranstaltninger til atbeskytte borgerne. Inddrag derfor internetudbyderne i arbejdetmed at sikre borgernes systemer og data.

More magazines by this user
Similar magazines