Hvornår er det nok? Det kan synes som en endeløs række af GDPR tilbud, der rammer os. Kurser og certificeringer, og rigtig mange advokater og konsulenthuse tilbyder en række af services som ofte fremstilles som nødvendige for at vi (virksomhederne) ikke skal blive ramt af gigant-bøder lige så snart vi når maj 2018.

Selvfølgelig er ordentlig beskyttelse af persondata vigtig, og det er jo også nødvendigt for virksomheder at følge lovgivning, så måske en (hel?) del af disse tilbud har berettigelse. Men hvor svært kan det egentlig være at blive “compliant” med EUs nye GDPR-krav (GDPR = General Data Protection Regulation)?

Risikovurderinger er en nødvendighed, hvis vi vil have styr på informationssikkerheden. Desværre er det ikke ualmindeligt, at virksomheder ser risikovurdering som noget, der skal overstås, fordi de skal efterleve forskellige krav. 

 
Det kan være krav fra eksterne interessenter som for eksempel lovgivning, samarbejdspartnere, kundekontrakter etc. Eller kravene kan være pålagt af virksomheden selv, fordi man måske ønsker at efterleve internationale standarder som ISO 27001 (om ledelsessystem til informationssikkerhed) og/eller ISO 27005 (om risikostyring).

Du skal involvere dig i sikkerhed fordi sikkerhed betyder noget for jeres kunder og fordi cyberangreb og sikkerhedshændelser er begyndt at ske for alle slags virksomheder. CSC, Nets, IBM, Terma, Novozymes, Erhvervsministeriet m.fl. er eksempler på virksomheder i Danmark, som man forventede eller håbede var bedre beskyttet end de faktisk var. It-sikkerhed er i den grad kommet på dagsordenen i 2014, både i virksomhederne og i medierne.

Der findes mange forskellige former for tiltag, som virksomheder kan udføre for at beskytte deres informationer og deres forretning. Lige fra klassiske eksempler som firewalls og antivirus, backup/restore til sikkerhedspolitik og it-beredskab, til en række mere eller mindre avancerede teknologier. Modellen viser en række eksempler på tiltag.

For at få struktur på alle disse tiltag deler vi dem op i Fysiske & tekniske tiltag – det er den nederste halvdel på modellen, og Administrative tiltag og processer, som er den øverste halvdel.

I Neupart har vi lavet en måling af, hvor langt kommunerne er kommet med at indføre ISO 27001, den standard for informationssikkerhedsledelse, som KL anbefaler at kommunerne følger.

1. Politik: Vores ambitionsniveau og mål, hvad vil vi, hvem er omfattet. Bør være kort, gerne højst en side.
2. Regler:  Hvad gør vi, hvad gør vi ikke, hvad vi må og ikke må. Reglerne skal være præcise i forhold til, hvem der skal udføre de forskellige aktiviteter.
3. Procedurer: Sådan-gør-vi-dokumenter.

Efter den massive omtale af datalækagen, hvor en tidligere IBM ansat er anklaget for at sende oplysninger om kendte fra Nets til Se & Hør, er der mange virksomheder der med god grund tænker "Kan noget tilsvarende ske for os?" og som er ved at træffe ekstra forholdsregler. Hvordan kan vi undgå at det sker for os? Hvor meget sikkerhed er det rimeligt og fornuftigt at indføre?