KOMBIT: Derfor vil vi ISO 27001 certificeres

På Dubex Security & Risk Management Summit 2016 fortalte Søren Kromann, COO hos KOMBIT, hvorfor de har valgt en risikobaseret tilgang til sikkerhed. Han fortalte også hvordan de bruger Dubex som sparringspartner, senest i forbindelse med forberedelsen til ISO 27001 certificeringen.

KOMBIT: Derfor vil vi ISO 27001 certificeres

Selv i en it-virksomhed som KOMBIT, hvor næsten alle ansatte har en it-baggrund, er sikkerhed ikke noget, man bare tager for givet. KOMBIT vidste, at det var nødvendigt at opdatere sikkerheden på udvalgte områder, men der var ikke interne ressourcer nok til at sætte ind alle steder. Derfor indledte de et samarbejde med Dubex, der blev bedt om at lave en rating af de enkelte områder ud fra et forretningsmæssigt perspektiv. Sikkerhedsanalysen identificerede en række indsatsområder, som kunne forbedres, heriblandt flere ”lavthængende frugter” - problemer og områder som let og effektivt kunne løses.

Ledelsen fik en aha-oplevelse

”I har alle sammen lavthængende frugter derude”, sagde Søren Kromann og fortalte, at KOMBIT selv havde en del -  der var bare ingen, der havde opdaget det.

”De lavthængende frugter var ikke blevet opdaget uden samarbejdet med Dubex”, uddybede han og beskrev hele processen omkring sikkerhedsanalysen som en ”aha-oplevelse for ledelsen”.

På baggrund af sikkerhedsanalysen opstillede Dubex en række konkrete anbefalinger. En stor del af disse er allerede, eller er på vej til at blive, implementeret. Blandt andet er der udnævnt en sikkerhedschef, og den fysiske sikkerhed og on-boardingprocessen af nye medarbejdere er forbedret. Nogle af anbefalingerne er dog stadig under afklaring, og KOMBIT skal afgøre, hvorvidt der skal tages action. Det handler blandt andet om virksomhedens risikovillighed.

Flere kommuner kigger i KOMBITs retning

Det bliver kun vigtigere for KOMBIT at have styr på processerne, da it-sikkerhed er blevet et varmt emne; både blandt kommunerne men også i medierne.

KOMBIT er kommunernes it-fællesskab, og kommunerne forventer at KOMBIT selv har styr på sikkerheden. Samarbejdet med Dubex har gjort det muligt for KOMBIT at fokusere på kerneforretningen, og samtidig vide sig sikre på, at sikkerheden opretholdes.

Adgangen til opdateret viden og kompetencer hos Dubex har været essentielt i forhold til både sikkerhedsanalysen og arbejdet med ISO certificeringen.

ISO 27001 bruges til at forberede implementeringen af EU-persondataforordningen

Med Dubex som sparringspartner har KOMBIT valgt at arbejde med en ISO 27001-certificering. Standarden beskæftiger sig med best practices inden for informationssikkerhed. Den er derfor et godt værktøj til at opnå compliance med bestemmelserne i den kommende forordning.

”EU-persondataforordningens bestemmelser får også konsekvenser for den offentlige sektor”, påpegede Søren Kromann og henviste til det store fokus, der har været på, hvad forordningen kommer til at betyde for virksomheder i den private sektor, og hvor meget det vil koste, hvis bestemmelserne ikke overholdes.

”De samme regler gælder dog også i den offentlige sektor. Det er endda i særdeleshed essentielt i den offentlige sektor, at organisationerne er i stand til at behandle persondata fra alle de danske borgere efter forordningens krav”, sagde Søren Kromann som en forklaring på, hvorfor KOMBIT allerede nu er gået i gang med forberedelserne.

Den menneskelige faktor er den største risiko

Forud for arbejdet med ISO-certificeringen har KOMBIT benyttet Dubex’ Awareness-uddannelsesprogram til at sætte fokus på sikkerhed. Første skridt efter sikkerhedsanalysen var nemlig at forbedre medarbejdernes it-sikkerhedsmæssige adfærd. Uddannelsesprogrammet fra Dubex satte fokus på den digitale og fysiske adfærd omkring sikkerhed.

Søren Kromann mener, at der ses en tendens til at sætte et særskilt fokus på it og it-sikkerhed som en afgørende spiller. Dette fokus skal ændres. I stedet skal man i højere grad anerkende den menneskelige faktor, som den langt største risiko i virksomheden. Når KOMBIT siger det til deres kunder, er der ofte mange, der spærrer øjnene op; det virker overraskende, at selv it-folk er nødt til at sætte fokus på sikkerhed i form af et uddannelsesprogram, for at sikre sig mod angreb og uagtsom digital adfærd.

Få indblik i KOMBITS arbejde med awareness i denne kundecase

Resultatet af uddannelsen var positivt, men ikke desto mindre blev virksomheden kort tid efter ramt af et angreb, der heldigvis blev afværget. Hændelsen understreger behovet for et kontinuerligt behov for fokus på sikkerhed. Det fokus får KOMBIT med ISO 27001. Med en certificering bliver sikkerheden nemlig sat på dagsordenen hver eneste dag.

”Det skal være en integreret og vedvarende del af KOMBITs hverdag at tale og tænke sikkerhed” sagde Søren Kromann, og fortæller også, at de i arbejdet med standarden ”endnu ikke er stødt på bestemmelser, som ikke er relevante – selvom der er 114 områder, der skal overholdes.”

Vil du vide mere om EU-persondataforordningen og hvordan du kan gribe forberedelserne an med ISO 27001 som rammeværktøj?

Kontakt Dubex her eller på tlf. 3283 0430 eller læs denne artikel, hvor Klaus Kongsted gennemgår de tekniske og organisatoriske værktøjer, der hjælper dig med at overholde forordningen.