Sponseret indhold

Sikkerhedschef: Ensidigt fokus på hackerangreb kan overskygge større trusler mod virksomheders informationssikkerhed

Informationssikkerhed handler om langt mere end blot beskyttelse mod udefrakommende angreb, men særligt små og mellemstore virksomheder har en tendens til at underprioritere vigtigere aspekter af informationssikkerhed, og det kan få alvorlige konsekvenser, advarer sikkerhedsekspert.
Af TECH RELATIONS for Dansk Standard
Illustration: Big Stock

I de seneste år har der været stor fokus på cybersikkerhed og beskyttelse af informationer – ikke mindst på grund af indførelsen af Persondataforordningen – men trods dette er mange virksomheder ikke sikrede mod selv de mest basale sikkerhedshændelser. Det mener Rasmus Theede, der er selvstændig sikkerhedskonsulent med en fortid som sikkerhedsansvarlig i virksomheder som Mærsk, KMD og CSC og tidligere formand for Rådet for Digital Sikkerhed.

”Jeg oplever ofte, at der mangler helt elementære sikkerhedskontroller. Man har simpelthen ikke tænkt over informationssikkerheden, og det bunder generelt i manglende tid og forståelse. Det gælder især for mindre virksomheder uden egen sikkerhedsafdeling, men også mellemstore og større virksomheder har en tendens til at underprioritere informationssikkerhed,” siger han.

De fleste sikkerhedshændelser sker internt

Det grundlæggende problem, mener sikkerhedseksperten, er, at overvejelser om informationssikkerhed ofte ikke indgår i risikostyringen på linje med eksempelvis markedsrisici og operationelle risici.

”Et typisk eksempel er, at virksomheden har anskaffet nogle basale kontroller som antivirussoftware og en firewall, og så tror man, at man er sikret. Der er en tendens til at fokusere på hackertruslen, da det er disse angreb, vi hører om i medierne, men langt de fleste brud på informationssikkerheden sker faktisk internt, fordi en medarbejder for eksempel kommer til at slette en database eller klikke på et link med ransomware. Det kan føre til store økonomiske tab og svække virksomhedens omdømme,” siger Rasmus Theede.
Han understreger, at det ikke er nok at købe et stykke sikkerhedssoftware. At sikre information kræver også uddannelse af medarbejdere, rapportering, revision, osv.

”For de fleste virksomheder er det ikke højeste prioritet at sikre sig mod målrettede angreb fra Rusland eller Kina. For at finde ud af, hvilke risici der skal nedbringes, og hvilke der kan accepteres, er man nødt til at gennemføre en grundig vurdering af de potentielle trusler, sandsynligheden for at blive ramt og konsekvenserne af et brud på sikkerheden,” forklarer sikkerhedskonsulenten.

Risikostyring kobler informationssikkerhed til forretningen

For en mindre eller mellemstor virksomhed uden en sikkerhedsafdeling kan det være komplekst at navigere i det evigt omskiftelige digitale landskab, men det behøver ikke være svært at inddrage informationssikkerhed i risikostyringen, mener Rasmus Theede, der opfordrer til, at man begynder i det små ved blandt andet at sørge for regelmæssig backup og opdaterede systemer. Han råder også virksomheder til at konsultere standarder for informationssikkerhed og risikostyring.

Dansk Standard, som rådgiver virksomheder om arbejdet med standarder, oplever ligesom Rasmus Theede, at risikostyring er den største hurdle for mange virksomheder.

”For fem år siden var udfordringen at få organisationer til at forstå vigtigheden af informationssikkerhed, men i dag er udfordringen snarere at forstå, hvordan man i praksis sikrer informationer. Her er risikostyring et afgørende skridt,” siger Anders Linde, der er chefkonsulent i Dansk Standard, og uddyber:

”Risikovurderingen kobler informationssikkerhed til forretningen. Det er en cost-benefit-analyse, hvor man finder ud af, hvor man skal lægge sine kræfter. Derfor er det vigtigt at involvere hele forretningen i processen og løbende følge op på risikobilledet. Det kræver tid og ressourcer, men det er godt givet ud, hvis man vil sikre sig mod de enorme tab, der kan være forbundet med en sikkerhedshændelse.”

Klik her og tilmeld dig Dansk Standards MorgenBriefing om cybersikkerhed og risikostyring.