Her er DKCERTs anbefalinger til ledelsen om informationssikkerhed

I DKCERT samler vi hvert år vores viden i en Trendrapport, der blandt andet danner udgangspunkt for vores anbefalinger om informationssikkerhed. Har er vores 11 anbefalinger til (universitets)ledelsen.
Henrik Larsen, chef for DKCERT
Henrik Larsen, der er chef for DKCERT, skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Hvert år udgiver DKCERT en rapport, der analyserer informationssikkerheden på forskningsnettet ud fra alle de tal, scanninger, registreringer og meget mere, som vi indsamler.

Det sammenfatter vi i Trendrapporten, og 2019-udgaven er netop kommet på gaden. Hvis du har interesse i informationssikkerhed, er du meget velkommen til at hente en gratis kopi på vores webside.

Den nationale strategi er omdrejningspunktet

Omdrejningspunktet i rapporten er National strategi for cyber- og informationssikkerhed, der har fyldt meget i landskabet i 2018 - og også vil gøre det fremover. Strategien belyses fra flere vinkler blandt andet gennem indlæg, der er skrevet af branchefolk med meget forskellige tilgange til informationssikkerhed.

Hvis du har læst mine tidligere klummer her på Computerworld, kan du måske også huske, at DKCERT spiller en væsentlig rolle i forbindelse med udmøntning af strategien, både i forbindelse med håndteringen af Telesektorens DCIS, der skal placeres hos os, og via udarbejdelsen af rapporten Danskernes informationssikkerhed 2018, der har været et af elementerne i udviklingen af sikkerdigital.dk.

Sikkerdigital er en portal, hvor Digitaliseringsstyrelsen og Erhvervsstyrelsen har samlet vigtig viden om informationssikkerhed til både borger, virksomhed eller myndighed.

11 anbefalinger

I årets Trendrapport sammenligner vi også vores sikkerhedsregistreringer og –analyser fra forskningsnettet med de data, der er på det ’store’ internet for derved at give et helhedsbillede af sikkerhedssituationen.

Herefter koger vi vores viden ned til en række anbefalinger om informationssikkerhed, der kan bruges som retningslinjer for at forbedre sikkerheden.

Anbefalingerne i Trendrapport 2019 er målrettet mod uddannelses- og forskningsinstitutioner, men de er generelle, hvilket betyder, at andre også kan anvende dem som udgangspunkt for en sikkerhedspolitik.

I den nyeste udgave lyder vores 11 anbefalingerne til ledelsen på uddannelses- og forskningsinstitutioner således:

  • Inkluder informationssikkerhed i den langsigtede strategiske planlægning.
  • Tænk risiko og sikkerhed ind fra starten i udviklingen af produkter og tjenester.
  • Gør det tydeligt, at ledelsen er aktivt involveret i informationssikkerheden.
  • Før tilsyn med overholdelse af databeskyttelsesforordningen.
  • Hold de ansatte, studerende og gæster informeret om informationssikkerhedspolitikken og aktuelle problemer.
  • Etabler et beredskab, udarbejd en beredskabsplan for kritiske hændelser og hold øvelser.
  • Prioriter og synliggør risikostyring.
  • Foretag løbende risikovurderinger af forretningskritiske systemer.
  • Afsæt ressourcer til uddannelse og kompetenceudvikling for alle medarbejdere i informationssikkerhed.
  • Arbejd sammen med andre institutioner om informationssikkerhed.
  • Afsæt tid, penge og personale til håndtering af informationssikkerhed.

Informationssikkerhed er ledelsens ansvar og brud på sikkerheden kan koste dyrt i form af økonomisk tab, brud på databeskyttelseslovgivningen, dårlig omtale og udgifter til oprydning. DKCERT anbefaler derfor, at ledelsen afsætter de fornødne ressourcer til at løfte opgaven.

Vi har også 17 anbefalinger til de it-ansvarlige. Hvis du vil se dem, kan du finde dem i Trendrapport 2019.

Oprindelig bragt på Computerworld Online den 31. maj 2019.