INFORMATIONSSIKKERHED

Vi lever i et digitaliseret samfund, som er i konstant udvikling. Det betyder, at de fleste organisationer i dag er afhængige af informationsteknologi til opretholdelse af organisationens drift. I mange organisationer lagres informationer online, og langt de fleste er vant til at bruge internettet i deres arbejde – et behov, der blandt andet i lyset af Coronaviruskrisen – kan siges at være blevet bekræftet, da mange virksomheder har sendt deres ansatte hjem for at arbejde. Fordi vi er afhængige af teknologierne, er det vigtigt at vores adfærd omkring brugen af disse er sikker og velovervejet.

Informationssikkerhed handler altså om at sikre informationer, som kan være vigtige for organisationen at passe på. Det gør vi blandt andet igennem sikker adfærd online, såvel som offline, i behandlingen af data og kritiske informationer, tekniske foranstaltninger og kontraktmæssige forhold med leverandører. Det er altså en overordnet betegnelse for de tiltag, organisationen gør, for at sikre informationer i hverdagen, og når en hændelse indtræffer.

Deling af informationer om en organisations lokaliteter, medarbejdere, projekter, mv. medfører en øget sårbarhed, hvilket påvirker den generelle risiko for potentielle hændelser. Hvis en angriber er interesseret i at skade organisationen på den ene eller anden måde, kan vedkommende komme tættere på et vellykket anslag ved at indhente informationer om eksempelvis spidsbelastningsperioder på en lokalitet, nøglepersoners færden, organisationens vigtigste kunder og lignende.

Derfor er det vigtigt, at man i organisationen har klare informationssikkerhedspolitikker omkring deling og behandling af informationer, så alle i organisationen ved, hvordan de skal forholde sig til problematikker, som er forbundet med informationssikkerheden.

Det kan måske virke indlysende, at det er vigtigt at passe på kritiske informationer, men udfordringen er forbundet med den store ubevidsthed, som følger med, når vi arbejder digitalt. Undersøgelser viser, at omkring 19 ud af 20 klik med musen foregår ubevidst – altså uden, at vi overvejer, hvad vi klikker på, og at op mod halvdelen af alle vellykkede cyberangreb i dag sker på baggrund af uopmærksom adfærd omkring brugen af it.

Det er derfor meget vigtigt, at man som organisation gør, hvad man kan for at øge bevidstheden (awareness) omkring brugen af it i det daglige. Medarbejderne skal tage ansvar, være i besiddelse af sund skepsis og vide, hvad de skal gøre, hvis noget ikke helt er, som det plejer at være. Det handler med andre ord om at gøre den enkelte bevidst om den rolle, som vedkommende spiller i den store sammenhæng. Samtidig skal man som sikkerhedsansvarlig være opmærksom på, at usikker adfærd i forbindelse med it er tabubelagt, og der kan derfor også være et stort arbejde forbundet med at bryde med tabuet uden at skabe en nulfejlskultur.

Det kan være som en stor opgave at tage hul på, når man skal lave en plan for implementering af informationssikkerhed i en organisation. For mange sikkerhedsprofessionelle er det ukendt land at beskæftige sig med it-sikkerhed, og det kan derfor virke nærmest uoverskueligt. Heldigvis, findes der internationale, såvel som nationale standarder, vejledninger og retningslinjer til hjælp i implementeringen af informationssikkerhed, og de ligner meget det, som nogle vil kende fra andre standarder om forretningskontinuitet. Du kan blandt andet finde hjælp via hjemmesiden SikkerDigital.dk og i ISO 27000-serien, som er til for at systematisere og rammesætte arbejdet med etablering, implementering, vedligeholdelse og løbende forbedring af informationssikkerheden i organisationer.