Hvem er ansvarlig for cybersikkerhed?
Mange virksomheder er i dag afhængige af information. Jo mere forretningskritisk information, desto mere skade kan forskellige risici og trusler forårsage. Nutidens trusselsbillede er mere komplekst, og cyberkriminelle grupper er velorganiseret.
Det har nok aldrig været mere aktuelt, end det er i dag, at arbejde struktureret. Det kan ske ved at implementere et ISMS – Information Security Management System til at identificere risici samt til at beskytte, opdage og genoprette systemer fra interne nedbrud eller angreb udefra.
Når det er sagt, så er det korte svar på spørgsmålet i overskriften, at alle i virksomheden har ansvar for at opretholde deres del af sikkerheden. Cybersikkerhed er den samlede anvendelse af teknologi, processer og kontroller, hvoraf nøgleaspektet er den menneskelige faktor. Hvis vi som virksomhed mangler bevidsthed om og ikke forstår kompleksiteten og de risici, vi er udsat for, kan det være det, der gør, at vi rammes af cyberangreb – på trods af alle de tekniske løsninger, som vi ellers har iværksat for at undgå dem.
Vi har defineret tre ansvarsområder:
- Ledelse
- Brugere
- Teknisk personale
Ledelsen er ansvarlig for virksomhedens samlede sikkerhedsydelse, inklusive leverandører og partnere såvel som den interne organisation. Ledelsen definerer sikkerhedsomfanget, rollerne, ansvaret og mandatet og er ansvarlig for at finansiere arbejdet med cybersikkerhed. Gennem kontrolmekanismer sikrer ledelsen indsigt som beslutningsgrundlag til at etablere og opretholde et acceptabelt risikoniveau.
Brugere er ansvarlige for at tage del i oplæringsprogrammer samt forstå og følge de gældende regler og procedurer i virksomheden. Brugere skal være i stand til at opdage og undgå angreb og rapportere hændelser og bekymringer.
Teknisk personale har ansvar for, at virksomheden har en sikker teknisk arkitektur i henhold til det bestemte risikoniveau. IT-afdelingen skal oversætte forretningsmål, processer, regler og retningslinjer til tekniske implementeringer. Det tekniske personale er også ansvarlig for at overvåge den daglige drift og evaluere og administrere tekniske ændringer ud fra et sikkerhedsperspektiv.
Hvordan kommer vi i gang?
Hvis din virksomhed ikke har fastsat nogen regler eller ansvar angående sikkerhed, så er det på tide at gøre det. Det er ikke kun ’IT-gutterne’, der har ansvaret. Kæmper du med, hvor du skal begynde? Et generelt tip er at starte ’top-down’ ved at klargøre omfanget og etablere roller med kapacitet og de relevante kompetencer i forhold til virksomhedens ambitioner for sikkerheden. Arbejdet med sikkerhed bør struktureres i et Information Security Management System (ISMS) for at sikre effektivitet, samt at tiltag er baseret på cost-benefit-vurderinger og prioriteret for best muligt at understøtte virksomhedens forretningsmål.