Risikovurderinger kan forhindre cybercrime

Infrastruktur

10/09/2018 07:00

Per Roholt

Med risikovurderinger kan man begrænse truslen fra de cyberkriminelle. Derfor er det vigtigt at komme i gang. Her får du en række gode råd fra CISO og it-sikkerhedsekspert Henning Mortensen.

Cybercrime: I kampen mod cybercrime er god forberedelse i form af en professionel risikovurdering det bedste sted at starte, uanset om man er en offentlig eller en privat virksomhed. Derfor er det vigtigt at komme i gang med arbejdet nu – for det tager tid.

Det mener en af Danmarks førende sikkerhedseksperter, Henning Mortensen, der er CISO og CPO ved Brødrene A&O Johansen A/S og formand for Rådet for Digital Sikkerhed.

GDPR har ikke fjernet sikkerhedsudfordringer

EU's persondataforordning, GDPR, tager blandt andet sigte på at undgå cybercrime og beskytte borgernes personoplysninger mod hackerangreb m.m.

Arbejdet med GDPR har generelt øget datasikkerheden i de fleste organisationer og virksomheder, men der er stadig brug for fokus på det forebyggende arbejde i form af risikovurderinger.

- Det er et problem, for det er en stor opgave, der tager tid at løse, mener Henning Mortensen.

Læs mere: JUC's kursus "Cybersikkerhed"

Lav din egen sikkerhedsvurdering

Hvordan kommer man bedst i gang med arbejdet med risikovurderinger? I grunden er det ikke så kompliceret, mener Henning Mortensen.

Arbejdet med risikovurderinger starter med, at man indsamler så mange historiske data om sikkerhedshændelser som muligt og kombinerer dem med branche- og eksperterfaringer. Organisationen kan fx spørge sig selv, hvilke former for cybercrimes den har været udsat for. Har man været udsat for angreb med ransomware, phishing eller lignende?

Dernæst kan man spørge sine kolleger i branchen om, hvad de frygter eller har været udsat for – eller henvende sig til en af de virksomheder, der har specialiseret sig i datasikkerhed.

- Når man skal udarbejde en risikovurdering, er der også god inspiration at hente i de trusselskataloger, som ligger online, fx OCTAVE eller ENISA, foreslår Henning Mortensen:

- Her finder man et godt udvalg af alverdens ondskab, som man kan tage udgangspunkt i, når man skal vurdere, hvad der kan gå galt.

Når man har udarbejdet sin liste over, hvad der konkret kan overgå organisationen eller virksomheden, kan man koncentrere sig om de mulige konsekvenser og sandsynligheden for, at det går galt.

- Step 1 er at fokusere på, hvor det virkelig kan gå galt. Step 2 er at tage sine modforholdsregler og iværksætte de aktiviteter, som kan modvirke truslen. Helt afhængigt af ambitionsniveau kan det på det digitale område handle om alt fra implementering af antivirusprogrammer og bedre firewalls til mere avancerede data loss prevention-løsninger, siger Henning Mortensen, der også minder om betydningen af de organisatoriske tiltag:

- Selvfølgelig er de tekniske tiltag vigtige, men det er de organisatoriske også. Det er vigtigt at sikre sig, at organisationen har de rette sikkerhedspolitikker, regler og procedurer samt ledelsesinformationssystemer og kontroller.

Kort sagt skal beredskabsplanen være på plads, så man ved, hvem der gør hvad i en given situation, lige som man skal have sit kontrolapparat på plads og et årshjul, der sikrer, at kontrollerne bliver gennemført, siger Henning Mortensen. Tilbage vil stå en restrisiko, som ledelsen skal acceptere.

Læs artikel: Databeskyttelse gennem design

Regningen skal betales

Selvom GDPR har fyldt meget, og de fleste organisationer allerede har arbejdet intensivt med at blive klar til lovens ikrafttrædelse i de seneste år, mener Henning Mortensen, at der er lang vej endnu, før alle offentlige og private organisationer efterlever kravene fuldt ud:

- Alt det her er jo ikke noget, man gør på ti minutter. Det tager lang tid og koster mange ressourcer, ikke mindst fordi det mindset, der ligger bag GDPR og arbejdet med informations- og datasikkerhed, mange steder kræver en kulturændring, siger Henning Mortensen.

- Grundlæggende har vi været for hurtige til at tage digitaliseringens velsignelser til os uden at betale regningen for datasikkerheden.

- Vi har udviklet og brugt systemer til at behandle mange og meget fortrolige personoplysninger uden at tage højde for, om systemerne overholder fx persondataloven og nu GDPR, påpeger Henning Mortensen og konkluderer:

- Nu skal regningen betales!

Læs artikel: Nyvalgt formand fastholder fokus på sikkerhedsværktøjer

Mest Læste

Lovgivning

26/03/2024

Gør du det rigtigt? Sådan skal du blinke, når du kører i en rundkørsel
Dyr

31/03/2024

Er din have invaderet af duer? 3 simple tips til at slippe af med dem
Dyr

15/04/2024

Det er blevet flåtsæson - og de tiltrækkes af noget i din lomme
Hus og have

08/04/2024

Sådan gør du en rustfri vask skinnende ren i 6 lette trin
Hus og have

12/04/2024

Hvornår skal det gøres? Eksperter forklarer, hvornår det er bedst at give planterne vand
Lovgivning

28/03/2024

Er dine sko lovlige at køre i? Kan koste dig en formue i bøde
Penge og økonomi

18/04/2024

Vil du opgradere dit hus? Så snyder du måske dig selv for tusindvis af kroner
Bil og motor

22/04/2024

Pas på, hvor du oplader elbilen: Forsikringsselskab advarer mod dette sted

Annonce

Foto : AI Outdoorpro | Et kvalitetssted at shoppe

07/03/2024

Foto: Pexels Gør store besparelser i dag – find de bedste rabatkoder hos HurtigRabat.dk

03/03/2024

Foto: AI Forældre bør overveje lektiehjælp til deres børn, hvis de har det svært med skolen

03/03/2024

Foto : Pexels Sådan vælger du online spillemaskine - en guide til over 800 spil

10/04/2024

Foto : Pexels Derfor vælger mange at læse fysiske bøger frem for lydbøger

01/03/2024

Foto AI Bliv klogere på det danske betting marked

01/03/2024

Foto : AI Tagrens: En væsentlig investering til dit hjem

01/03/2024