Sikker nok?

Lars Neupart


Seneste indlæg

Persondatabeskyttelse - hvor svært kan det være?

[fa icon="calendar'] 5. december 2016 / af Lars Neupart under Compliance and task management, eu persondataforordning, eu general data protection regulation, eu gdpr

[fa icon="comment"] 0 kommentarer

Hvornår er det nok? Det kan synes som en endeløs række af GDPR tilbud, der rammer os. Kurser og certificeringer, og rigtig mange advokater og konsulenthuse tilbyder en række af services som ofte fremstilles som nødvendige for at vi (virksomhederne) ikke skal blive ramt af gigant-bøder lige så snart vi når maj 2018.

Selvfølgelig er ordentlig beskyttelse af persondata vigtig, og det er jo også nødvendigt for virksomheder at følge lovgivning, så måske en (hel?) del af disse tilbud har berettigelse. Men hvor svært kan det egentlig være at blive “compliant” med EUs nye GDPR-krav (GDPR = General Data Protection Regulation)?

Læs videre [fa icon="long-arrow-right"]

Sådan efterlever du EU’s persondataforordning

[fa icon="calendar'] 16. juni 2016 / af Lars Neupart under eu persondataforordning

[fa icon="comment"] 0 kommentarer

Den nye EU Persondataforordning er ét af de væsentligste sikkerhedsinitiativer i mange år. Dels fordi omfanget af lovgivningsarbejdet i EU har været omfattende og længe undervejs. Dels fordi konsekvensen af EU Persondataforordningen får stor betydning for både det private og offentlige Danmark. EU Persondataforordningen peger på mange ting. Men fællesnævneren og den overordnede forståelsesramme bag EU Persondataforordningen er, at den er at betragte som en tillidsøvelse.
Læs videre [fa icon="long-arrow-right"]

EU’s persondataforordning - hvor svært kan det være?

[fa icon="calendar'] 16. marts 2016 / af Lars Neupart under eu persondataforordning

[fa icon="comment"] 0 kommentarer

Indrømmet, det er en kompleks ny persondataforordning vi lige har fået teksten til. Den kommer til at erstatte den nuværende danske persondatalov. Den nye indeholder mange krav til, hvordan virksomheder skal behandle og beskytte persondata, og ikke mindst hvilke processer der skal fungere i virksomhederne. Neupart-teamet hos KMD er vant til, at finde på pragmatiske løsninger til enklere efterlevelse af it-sikkerhedskrav. Den indgangsvinkel har vi brugt til at udvikle dette standard værktøj, som vi nu vil præsentere dig for.
Læs videre [fa icon="long-arrow-right"]

Risikovurdering er en proces - 3 grunde til at gøre det igen (og igen)

[fa icon="calendar'] 10. juli 2015 / af Lars Neupart

[fa icon="comment"] 0 kommentarer

Risikovurderinger er en nødvendighed, hvis vi vil have styr på informationssikkerheden. Desværre er det ikke ualmindeligt, at virksomheder ser risikovurdering som noget, der skal overstås, fordi de skal efterleve forskellige krav. 

 
Det kan være krav fra eksterne interessenter som for eksempel lovgivning, samarbejdspartnere, kundekontrakter etc. Eller kravene kan være pålagt af virksomheden selv, fordi man måske ønsker at efterleve internationale standarder som ISO 27001 (om ledelsessystem til informationssikkerhed) og/eller ISO 27005 (om risikostyring).

Læs videre [fa icon="long-arrow-right"]

Hvorfor i alverden skal ledere interessere sig for it-sikkerhed?

[fa icon="calendar'] 18. februar 2015 / af Lars Neupart

[fa icon="comment"] 0 kommentarer

Du skal involvere dig i sikkerhed fordi sikkerhed betyder noget for jeres kunder og fordi cyberangreb og sikkerhedshændelser er begyndt at ske for alle slags virksomheder. CSC, Nets, IBM, Terma, Novozymes, Erhvervsministeriet m.fl. er eksempler på virksomheder i Danmark, som man forventede eller håbede var bedre beskyttet end de faktisk var. It-sikkerhed er i den grad kommet på dagsordenen i 2014, både i virksomhederne og i medierne.

Læs videre [fa icon="long-arrow-right"]

Yes! Vores politikere interesserer sig for datasikkerhed :-)

[fa icon="calendar'] 12. december 2014 / af Lars Neupart

[fa icon="comment"] 0 kommentarer

Jeg synes det er positivt, at vores politikere vil gøre noget for at forbedre datasikkerheden. En arbejdsgruppe under retsudvalget har holdt 2 høringer om emnet.

Læs videre [fa icon="long-arrow-right"]

Skydeskivens sikkerhedskvadranter - sådan forklarer du informationssikkerhed til ledelsen

[fa icon="calendar'] 12. december 2014 / af Lars Neupart

[fa icon="comment"] 0 kommentarer

 

 

Der findes mange forskellige former for tiltag, som virksomheder kan udføre for at beskytte deres informationer og deres forretning. Lige fra klassiske eksempler som firewalls og antivirus, backup/restore til sikkerhedspolitik og it-beredskab, til en række mere eller mindre avancerede teknologier. Modellen viser en række eksempler på tiltag.

For at få struktur på alle disse tiltag deler vi dem op i Fysiske & tekniske tiltag – det er den nederste halvdel på modellen, og Administrative tiltag og processer, som er den øverste halvdel.

Læs videre [fa icon="long-arrow-right"]

DS 484 er død. Her er de vigtige forskelle fra DS 484 til ISO 27001

[fa icon="calendar'] 5. november 2014 / af Lars Neupart

[fa icon="comment"] 0 kommentarer

Det er en misforståelse at tro at hvis man har kørt et DS484-projekt (den nu udgåede danske standard for informationssikkerhed) så har man styr på sin informationssikkerhed. Det betyder nemlig blot at man på et tidpunkt har indført den checkliste-sikkerhed som den gamle standard krævede. I dag ved man at tilstrækkeligt sikkerhed kun kan fås ved at virksomheden indfører processer det sikrer at der løbende gennemføres en række aktiviteter heriblandt:
Læs videre [fa icon="long-arrow-right"]

Kommuner har lav informationssikkerhed fordi ledelserne ikke prioriterer det!

[fa icon="calendar'] 5. november 2014 / af Lars Neupart

[fa icon="comment"] 0 kommentarer

I Neupart har vi lavet en måling af, hvor langt kommunerne er kommet med at indføre ISO 27001, den standard for informationssikkerhedsledelse, som KL anbefaler at kommunerne følger.

Læs videre [fa icon="long-arrow-right"]

Tips og erfaringer med it-sikkerhedshåndbøger og -politikker - Ny vs gammel ISO 27002

[fa icon="calendar'] 3. juni 2014 / af Lars Neupart

[fa icon="comment"] 0 kommentarer

Nu har jeg arbejdet med informationssikkerhed i en del år og har set mange forskellige politikker, regler, procedurer, forretningsgange, og andre former for dokumentation på sikkerhedsområdet. Det der virker bedst er, at have en klar, veldefineret opdeling, fx

ISO27001.jpg
  1. Politik: Vores ambitionsniveau og mål, hvad vil vi, hvem er omfattet. Bør være kort, gerne højst en side.
  2. Regler:  Hvad gør vi, hvad gør vi ikke, hvad vi må og ikke må. Reglerne skal være præcise i forhold til, hvem der skal udføre de forskellige aktiviteter.
  3. Procedurer: Sådan-gør-vi-dokumenter.
Jeg vil koncentrere resten af dette indlæg om regel-dokumentet, som har det med at blive (for) langt for en del virksomheder. Et godt råd er derfor at lave målgruppeopdeling, så en bruger kun behøver at læse de regler, der har relevans i forhold til hendes/hans job. Nogle virksomheder skriver og trykker en slutbruger-venlig folder, nogle gange kaldet en pixi-bog om informationssikkerhed.
Læs videre [fa icon="long-arrow-right"]

Sikker Nok?

Neuparts blog er gode råd og viden om effektiv it-sikkerhedsledelse, it-sikkerhedsstrategier, risikostyring, efterlevelse af standarder og andre krav, beredskabsplanlægning, ISO2700x, EU persondatakrav, PCI DSS etc.