Sæt dig ind i denne standard - det vil kunne betale sig

I takt med at truslerne bliver mere varierede og avancerede, er der brug for nye værktøjer og teknologier, der imødegår dem. Ny standard kan blive din bedste ven, skriver Shehzad Ahmad i denne klumme fra Computerworld.

Shehzad Ahmad, der er chef for DKCERT, skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Genkender du denne situation? Din virksomhed bliver ramt af en virus, der hurtigt inficerer mange af brugernes pc'er. Som resultat investerer du i antivirus.

Sådan er mange sikkerhedsprodukter blevet købt gennem tiden: Som resultat af en konkret trussel eller sikkerhedshændelse.

Det beskytter virksomheden mod de trusler, som sikkerhedsproduktet virker mod.
Men den måde at købe sikkerhed på er ikke bæredygtig.

For man kan ikke købe sikkerhed. Man kan købe produkter, der kan hjælpe med at gennemføre en sikkerhedspolitik.

Du skal have en sikkerhedspolitik
Det kræver imidlertid, at man har en sikkerhedspolitik.

Ellers ender virksomheden med en række produkter, der ikke spiller sammen, og som ikke er et middel til at gennemføre en politik.

I min seneste klumme skrev jeg om et bud på, hvordan man kan få styr på den strategiske og ledelsesmæssige side af arbejdet med informationssikkerhed: Den internationale standard ISO 27001. Den beskriver, hvordan man opbygger et ledelsessystem for informationssikkerhed (ISMS, Information Security Management System).

Lad mig her gå lidt mere i detaljer med standarden og løfte sløret for, hvordan den senere på ret bliver ændret.

Forretning er udgangspunkt
ISO 27001 bygger på tanken om, at sikkerhed er ledelsens ansvar. Derfor tager arbejdet med informationssikkerhed udgangspunkt i den virksomhed, den indgår i.

Hvad er vores forretningsmodel? Hvordan tjener vi vores penge? Hvad er de vigtigste trusler mod vores forretning?

Hvis man lever af at projektere cementfabrikker, kan virksomhedens websted godt være nede en uges tid, uden at man mister ordrer af den grund.

Omvendt kan en webbutik miste omsætning og kunder, hvis den er nede i en uge.

De to virksomheder har forskellige risikoprofiler og skal derfor prioritere forskelligt, når det gælder informationssikkerhed.

Virksomheden med cementfabrikkerne skal sikkert investere mere i beskyttelse mod industrispionage, hvor det for webbutikken er mere afgørende at beskytte mod nedbrud og tabt internetforbindelse.

Fastlæg politikker
Når en virksomheds ledelse går i gang med at opbygge et ISMS, skal den derfor begynde med at definere systemets anvendelsesområde – og ikke mindst afgrænsningen af det: Hvad skal ikke være dækket?

Det arbejde tager udgangspunkt i virksomhedens forretning, hvor den ligger, og hvad dens aktiver og teknologier er.

Når området er defineret, går man i gang med ISMS-politikken. Den afstikker de overordnede mål og tager også eksterne krav med i betragtning.

Det er afgørende, at informationssikkerhed ikke bliver en ø i virksomheden, som overlades til it-funktionen. Derfor understreger ISO 27001 også, at ISMS-politikken skal ligge inden for rammerne af virksomhedens strategiske risikoledelse.

Et hackerangreb er med andre ord en forretningsmæssig risiko på linje med risikoen for, at en underleverandør går konkurs.

Jeg synes, det er en af standardens stærke sider: Den undgår at se på informationssikkerhed som et isoleret område, men lader det indgå i virksomhedens samlede arbejde med risikovurdering.

Arbejd i cyklus
Som arbejdsform forudsætter standarden, at man bruger den såkaldte PDCA-cyklus: Plan – Do – Check – Act.

Først planlægger man, hvad man vil gøre.

Så gør man det og indsamler data om resultatet.

Herefter evaluerer man data, hvorefter man ændrer de ting, der ikke fungerer som ventet.

Den nuværende version af ISO 27001 er fra 2005. Den næste er færdig og ventes udsendt senere på året.

I forhold til forgængeren lægger 2013-versionen mere vægt på at måle og vurdere, hvor godt ISMS'et fungerer.

Endvidere er der kommet et afsnit om outsourcing. Det er en god forbedring, ikke mindst fordi mange virksomheder lægger opgaver ud i skyen. Men selvom man outsourcer en opgave, kan man ikke outsource risikoen.

2013-udgaven lægger ikke så meget vægt på PDCA-cyklussen.

Arbejdet med at se holistisk på sikkerheden har betydet, at standarden har fået en struktur, der ligner andre ledelsesmæssige standarder.

Det er godt, da det så bliver lettere at indføre ISO 27001 sideløbende med standarder som ISO 9000 (kvalitetsstyring) og ISO 20000 (IT Service Management).

Stadig brug for teknik
Al denne fokus på ledelsen betyder ikke, at den tekniske side er ligegyldig.

Den er faktisk vigtigere end nogensinde: I takt med at truslerne bliver mere varierede og avancerede, er der brug for nye værktøjer og teknologier, der imødegår dem.

ISO 27001 kan dermed bliver teknikerens bedste ven. For når først ledelsen har forpligtet sig til at tage informationssikkerheden alvorligt, er den også nødt til at lytte, når de tekniske eksperter anbefaler et nyt produkt eller en ændret procedure.

Så mit råd til jer, der arbejder med it-sikkerhed, lyder: Sæt jer ind i ISO 27001 – og få jeres ledelse til at gøre det samme.

Oprindelig offentliggjort i magasinet Computerworld og på Computerworld Online den 27. september 2013

LINKS

Upcoming revision of the ISO/IEC 27001 standard, BSI
Denne klumme på Computerworld.dk

Keywords: