ISO 27001 og it-sikkerhed i IPW

Der er næppe tvivl om, at it-sikkerhed er blevet mere aktuelt end nogensinde. Vi er dybt afhængige af it og vi er derfor også potentielt sårbare, når et stigende antal mennesker med onde hensigter vil forsøge at ramme os. Derfor efterspørger it-ansvarlige, hvordan de kan bruge deres IPW-system som et redskab til arbejdet med it-sikkerhed. De er også nysgerrige på, hvordan vi selv, internt i IPW, arbejder med it-sikkerhed.

Hvorfor ISO 27001? Kan man ikke bare have en god it-sikkerhedsprocedure?

Jo, det kan man sikkert. Men der er mange – og gode – grunde til at arbejde hen imod en ISO 27001-certificering. ISO 27001 er en international standard, som ikke kun fokuserer på det tekniske – hardware og software – men også på mennesker og processer. Teknisk sikkerhed er meget lidt værd, hvis der ikke er kontrol over det menneskelige aspekt.

Hvordan anvender vi vores software til ISO 27001?

Vi er selv ISO 27001-certificerede og har en god portion erfaring med, hvad det kræver i praksis – nemlig et fleksibelt system, som både sikrer overblik og fremdrift – og gør det nemt at dokumentere, at vi faktisk har styr på det.

Som med andre ledelsesstandarder er politikker, procedurer og vejledninger et nødvendigt fundament i ISO 27001. Alt det får du direkte ud af boksen i vores software. Her dokumenterer og kommunikerer vi tydeligt, hvad der gælder – uanset om det handler om adgangskoder, datalagring, persondata eller brug af tredjepartsløsninger.

Præcis som med de øvrige ledelsesstandarder, så skal vi ikke kun udstikke regler. Vi skal også kontrollere, at de efterleves og har den tiltænkte effekt, og vi skal løbende evaluere, om de skal udvides med yderligere tiltag.

Registrering af findings

Til dette formål har vi bygget en findings-formular, hvor vi registrerer fundne svagheder eller måske blot observationer, der kan styrke planen yderligere. Hvad har vi fundet hvor, hvem er ansvarlig for at rette op på det, og inden hvornår skal det udbedres?

Findings-formularen hjælper til at identificere områder, der kræver forbedring, og vi kan samtidig dokumentere, at vi auditerer vores procedurer med jævne mellemrum og håndterer eventuelle udfald.

Overblik over informationsaktiver

I arbejdet med it-sikkerhed er det nødvendigt at få det fulde overblik over virksomhedens informationsaktiver – altså groft sagt alle de systemer, hvori virksomhedens data opbevares og bearbejdes.

Hertil har vi bygget en formular til informationsaktiver. Her kan vi blandt andet vurdere det enkelte informationsaktivs score på de centrale begreber i it-sikkerhed: Fortrolighed, integritet og tilgængelighed. På baggrund af blandt andet dette, kan vi nemt identificere og dokumentere, hvilke informationsaktiver der er kritiske forretningssystemer. Det er også her, vi dokumenterer det interne ejerskab af informationsaktivet, har kobling til vores leverandørstyring, leverandørevaluering, vores risikovurdering og ikke mindst eventuelle GDPR artikel 30-registreringer på informationaktivet.

Dokumentation af SoA’en

Har man kendskab til ISO 27001, så vil man også være stødt på begrebet SoA – Statement of Applicability. Dette er listen over centrale it-sikkerhedsrelaterede kontroller, man skal have taget stilling til og – med få undtagelser – have implementeret.

Dette er også oprettet som en formular i vores eget ISMS. Her har listet alle SoA’ens punkter sammen med vurderingen af vores implementeringsgrad af det enkelte punkt. For at gøre det nemt at auditere er hvert enkelt punkt også knyttet sammen med alle ressourcer, der kan dokumentere vores implementering. Det kan fx være links til relevante politikker og producerer, eller være links til de andre formularer, hvor kontrollen håndteres og dokumenteres.

Awarenesstræning

Et eksempel på en sådan formular er planlægning og dokumentation af awarenesstræning. I ISO 27001 – og for den sags skyld enhver it-sikkerhedsstandard – kommer man
ikke uden om struktureret at arbejde med træning af medarbejderne. Med
registreringerne i vores formular til dette kan vi dokumentere ikke kun den allerede
udførte træning, men også give et samlet overblik over planerne for det kommende år.
Inklusive beskrivelse af træningen, hvem den er tiltænkt og hvem der er ansvarlig for
udførelse.

Samlet plan for interne og eksterne audits

Noget tilsvarende gælder for auditering. Heller ikke her adskiller it-sikkerhedsarbejdet sig fra øvrige ledelsesstandarder. Der skal løbende auditeres både internt og eksternt, og det er nødvendigt at have en dokumenteret plan for dette. Dette etableres også nemt som en formular i IPW, så det kan vises, at årets auditarbejde spænder bredt over itsikkerhedsarbejdets forskellige områder. Der er også her et overskueligt overblik over alle de forskellige typer ekstern auditering, der foretages, hvad enten det er auditbesøg fra kunder, vores eksterne samarbejdspartnere til sikkerhedsaudit, penetrationstest eller ekstern audit af vores egne leverandører. Dine audits også være kilden til findings, der skal viderebearbejdes.

Risikostyring på informationsaktiver

Som du måske kan fornemme, indeholder IPWs ISMS mange elementer. Dette er uundgåeligt i ISO 27001. En sidste ting, jeg også bør fremhæve, er formularen til
risikostyring. Risikostyring er et afgørende element i arbejdet med it-sikkerhed. For at etablere tilstrækkelige kontroller, er du nødt til at overveje, hvilke risici der findes.
Hos os er risikostyringen især knyttet til informationsaktiverne. Hvad er for eksempel risikoen, og hvordan håndterer vi det, hvis Microsoft 365 eller vores datacenter ikke er
tilgængeligt eller bliver kompromitteret.

En god kilde til inspiration til risici er naturligvis at kigge på tidligere sikkerhedshændelser. Også indsamlingen af sikkerhedshændelser – og deres efterfølgende behandling – kan
naurligvis bygges i IPW-systemet.