Sikker nok?

Skydeskivens sikkerhedskvadranter - sådan forklarer du informationssikkerhed til ledelsen

[fa icon="calendar'] 12. december 2014 / af Lars Neupart

[fa icon="comment"] 0 kommentarer

 

 

Der findes mange forskellige former for tiltag, som virksomheder kan udføre for at beskytte deres informationer og deres forretning. Lige fra klassiske eksempler som firewalls og antivirus, backup/restore til sikkerhedspolitik og it-beredskab, til en række mere eller mindre avancerede teknologier. Modellen viser en række eksempler på tiltag.

For at få struktur på alle disse tiltag deler vi dem op i Fysiske & tekniske tiltag – det er den nederste halvdel på modellen, og Administrative tiltag og processer, som er den øverste halvdel.

Læs videre [fa icon="long-arrow-right"]

DS 484 er død. Her er de vigtige forskelle fra DS 484 til ISO 27001

[fa icon="calendar'] 5. november 2014 / af Lars Neupart

[fa icon="comment"] 0 kommentarer

Det er en misforståelse at tro at hvis man har kørt et DS484-projekt (den nu udgåede danske standard for informationssikkerhed) så har man styr på sin informationssikkerhed. Det betyder nemlig blot at man på et tidpunkt har indført den checkliste-sikkerhed som den gamle standard krævede. I dag ved man at tilstrækkeligt sikkerhed kun kan fås ved at virksomheden indfører processer det sikrer at der løbende gennemføres en række aktiviteter heriblandt:
Læs videre [fa icon="long-arrow-right"]

Kommuner har lav informationssikkerhed fordi ledelserne ikke prioriterer det!

[fa icon="calendar'] 5. november 2014 / af Lars Neupart

[fa icon="comment"] 0 kommentarer

I Neupart har vi lavet en måling af, hvor langt kommunerne er kommet med at indføre ISO 27001, den standard for informationssikkerhedsledelse, som KL anbefaler at kommunerne følger.

Læs videre [fa icon="long-arrow-right"]

Sådan vælger I de rette scenarier til jeres beredskabsplaner

[fa icon="calendar'] 6. oktober 2014 / af Jakob Holm Hansen

[fa icon="comment"] 0 kommentarer

Vores seneste blogindlæg handlede om De 3 beredskabsdyder, som du kan læse her. Denne gang fortsætter vi i beredskabets verden og ser nærmere på scenarier og strategier.

Læs videre [fa icon="long-arrow-right"]

De tre beredskabsdyder

[fa icon="calendar'] 15. august 2014 / af Jakob Holm Hansen

[fa icon="comment"] 0 kommentarer

"Hvor lang skal en beredskabsplan være?" Dette spørgsmål hører vi tit ude hos vores kunder. Mit svar plejer altid at være: "Så kort som muligt!" For sandheden er, at den perfekte beredskabsplan (hvis den overhovedet findes) skal være tre, nogen gange modstridende, ting på én gang:

Læs videre [fa icon="long-arrow-right"]

Tips og erfaringer med it-sikkerhedshåndbøger og -politikker - Ny vs gammel ISO 27002

[fa icon="calendar'] 3. juni 2014 / af Lars Neupart

[fa icon="comment"] 0 kommentarer

Nu har jeg arbejdet med informationssikkerhed i en del år og har set mange forskellige politikker, regler, procedurer, forretningsgange, og andre former for dokumentation på sikkerhedsområdet. Det der virker bedst er, at have en klar, veldefineret opdeling, fx

ISO27001.jpg
  1. Politik: Vores ambitionsniveau og mål, hvad vil vi, hvem er omfattet. Bør være kort, gerne højst en side.
  2. Regler:  Hvad gør vi, hvad gør vi ikke, hvad vi må og ikke må. Reglerne skal være præcise i forhold til, hvem der skal udføre de forskellige aktiviteter.
  3. Procedurer: Sådan-gør-vi-dokumenter.
Jeg vil koncentrere resten af dette indlæg om regel-dokumentet, som har det med at blive (for) langt for en del virksomheder. Et godt råd er derfor at lave målgruppeopdeling, så en bruger kun behøver at læse de regler, der har relevans i forhold til hendes/hans job. Nogle virksomheder skriver og trykker en slutbruger-venlig folder, nogle gange kaldet en pixi-bog om informationssikkerhed.
Læs videre [fa icon="long-arrow-right"]

De næste ofre efter Nets / IBM / Se & Hør-sagen

[fa icon="calendar'] 21. maj 2014 / af Lars Neupart

[fa icon="comment"] 0 kommentarer

Efter den massive omtale af datalækagen, hvor en tidligere IBM ansat er anklaget for at sende oplysninger om kendte fra Nets til Se & Hør, er der mange virksomheder der med god grund tænker "Kan noget tilsvarende ske for os?" og som er ved at træffe ekstra forholdsregler. Hvordan kan vi undgå at det sker for os? Hvor meget sikkerhed er det rimeligt og fornuftigt at indføre?

Læs videre [fa icon="long-arrow-right"]

Nets-sagen - kan vi overhovedet undgå lignende sager?

[fa icon="calendar'] 21. maj 2014 / af Gaffri Johnson

[fa icon="comment"] 0 kommentarer


Det er typisk eksempler i udlandet vi hører om, når snakken falder på datalækager og misbrug af 
følsomme data. I Danmark har vi ikke set mange større sager - det har oftest været mindre lækagesager og de fleste har omhandlet personer i det politiske liv.

Læs videre [fa icon="long-arrow-right"]

Sådan kan I måle jeres informationssikkerhed med ISO 27001-metrikker

[fa icon="calendar'] 11. april 2014 / af Lars Neupart

[fa icon="comment"] 0 kommentarer

Effektivitet og produktivitet debatteres i mange sammenhænge. Også når vi taler informationssikkerhed, giver det mening at sikre, at virksomhedens processer fungerer effektivt. Men hvordan måler man om virksomhedens informationssikkerhed er effektiv, og om den udvikler sig i den rigtige retning?

Virksomheder der følger ISO 27001-standarden, skal sikre løbende forbedringer i deres ISMS (Information Security Management System), og standardens kapitel 9 handler specifikt om målinger. Her står, at virksomheder skal definere hvilke processer og tiltag ("controls") de vil måle, samt beskrive hvordan, hvornår og hvem der skal udføre målingerne. Virksomheden skal også beslutte, hvem der skal vurdere resultatet af målingerne, og hvordan det skal gøres - altså en stillingtagen til "er det godt nok?".

Det giver jo alt sammen god mening, men - for der er et men - standarden giver ingen vejledning i, hvordan man kan måle sine processer for informationssikkerhed. Neupart har derfor udarbejdet en vejledning, som indeholder en række forslag til metrikker, KPI'er (Key Performance Indicators) eller målepunkter, om du vil, der kan bruges til at tage temperaturen på jeres ISMS-processer. Ved at måle med passende intervaller kan I følge om jeres ISMS udvikler sig som ønsket og om det fungerer effektivt.

En proces-måling skal måle om processen kører, i modsætning til at måle på et konkret sikkerhedstiltag (en "control"). Nogle eksempler:

For at måle om tiltagene virker, kan I udføre intern audit eller anvende de mere almindelige control-målinger som fx. hvor meget spam fanger vores spamfilter, hvor mange vira fanger vores anti-virus, hvor mange angreb detekterer vores firewall, nedetid og andre kvantitative målinger. Når I måler på processerne, måler I forbedringer i forhold til mål eller i forhold til tidligere perioder. Fx. hvor mange procent af sikkerhedsopgaverne udføres indenfor aftalt tid, hvor mange af medarbejderne har kvitteret for bring-your-own-device-reglerne eller for sikkerhedspolitikken indenfor en måned, eller tiden der bliver brugt til at korrigere en afvigelse fra politikken eller fra et compliance krav.

Neuparts vejledning har fokus på ISMS-processerne, da der findes masser af metrikker på it-kontroller. ISMS-metrikker måler værdien/effektiviteten af processerne, der udgør jeres informationssikkerhedsstyring. ISMS-metrikker er samtidigt et bud på udfordringen med at kunne vise ændringerne over tid - fx. til ledelsen. Hent vejledningen her

Hvis du vil gøre jeres ISMS mere effektivt, anbefaler jeg, at du også tjekker ISMS-løsningen SecureAware på dette link: www.neupart.dk/produkter

Har du nogle erfaringer eller forslag til hvad man bør måle? Del dem gerne i kommentarfeltet nedenfor.
Læs videre [fa icon="long-arrow-right"]

Har du brug for at formidle hvad ISO 27001 er for noget?

[fa icon="calendar'] 13. februar 2014 / af Lars Neupart

[fa icon="comment"] 0 kommentarer

Vi har lavet dette lille filmklip, som hurtigt forklarer hvad ISO 27001 er.

Læs videre [fa icon="long-arrow-right"]

Sikker Nok?

Neuparts blog er gode råd og viden om effektiv it-sikkerhedsledelse, it-sikkerhedsstrategier, risikostyring, efterlevelse af standarder og andre krav, beredskabsplanlægning, ISO2700x, EU persondatakrav, PCI DSS etc.