Kravene til virksomheders håndtering af data bliver løbende skrappere. Og hvis man vil levere til den offentlige sektor, skal man efterhånden kunne dokumentere, at man følger principperne i informationssikkerhedsstandarden ISO/IEC 27001.

Alligevel er der mange små og mellemstore virksomheder, der ikke arbejder struktureret med informationssikkerhed. Det viser bl.a. en undersøgelse fra Erhvervsstyrelsen om digital sikkerhed i danske SMV’er. Det kan dels skyldes manglende viden om, hvad informationssikkerhed indebærer, dels manglende ressourcer.

Men man bør ikke udelukkende betragte implementering af sikkerhedsprocedurer som en udgift. Det mener Christian Tange, partner i Dain Partners og tidligere CFO i it-virksomheden Agillic, som har implementeret et ledelsessystem til informationssikkerhed, der bygger på ISO/IEC 27001-standarden.

- Vi oplever, at flere og flere kunder kræver, at vi har et informationssikkerhedssystem, og at vi kan fremvise dokumentation for det. Samtidig er systemet en nødvendig intern sikkerhedsforanstaltning. Det er en forsikring og et vigtigt konkurrenceparameter for os, fortæller han.

En risikovurdering er alfa og omega
Samtidigt kan et ledelsessystem for informationssikkerhed give en økonomisk gevinst, hvis det gribes rigtigt an. Christian Tange har erfaret, at det bedste udgangspunkt er et scope, som er tilpasset virksomhedens behov. Er man for ambitiøs, kræver det for mange ressourcer at bruge systemet, og det kan ende med ikke at blive brugt.

Ifølge Dansk Standard, som rådgiver virksomheder om arbejdet med standarder, er et af de første skridt at foretage en risikovurdering, hvor man evaluerer de trusler, virksomheden er udsat for, herunder sandsynligheden for at blive ramt og konsekvenserne af et angreb.

- Risikovurderingen er en grundlæggende øvelse, som alle virksomheder bør foretage, uanset om de har tænkt sig at arbejde med en standard eller ej, mener Anders Linde, chefkonsulent i Dansk Standard. Han anbefaler virksomheder at konsultere sikkerdigital.dk for at få inspiration til, hvordan man laver en risikovurdering.

Dokumentation og styrket beredskab
Ved at implementere en informationssikkerhedsstandard er man ikke blot i stand til at dokumentere over for kunder og myndigheder, at man lever op til krav og lovgivning. Man styrker også beredskabet mod de cyberangreb, som virksomheder, store som små, udsættes for: ransomware, industrispionage, tab af fortrolighed, driftsstop osv.

Der hersker imidlertid en forestilling om, at altødelæggende cyberangreb er noget, som kun større organisationer bør finde ressourcer til at værne sig mod. Men det er en myte, mener Anders Linde.

- Det er sandt, at større, succesfulde virksomheder kan have mere avancerede trusselscenarier at bekymre sig om – f.eks. industrispionage, som ofte er målrettet virksomhedens kendte værdier. Men mange af de angreb, som kan kompromittere virksomheders data, er netop ikke målrettede. Der skydes med spredehagl for at finde sårbarheder, og man vil blive udsat for angreb før eller siden, forklarer chefkonsulenten.

Det kan være noget så simpelt som afarter af de berygtede Nigeria-breve, som på et ringe dansk informerer om, at man har arvet en større sum penge fra en afrikansk prins. De moderne versioner af Nigeria-brevene er langt mere professionelle i indhold og form – velkendte eksempler er dansksprogede mails fra banker, myndigheder eller streamingtjenester.

- Angrebene fortsætter, så længe nogen hopper på limpinden, og selvom de fleste forstår, at det er fup, kan en enkelt uopmærksom medarbejder være nok til at lægge virksomheden ned. Det er blandt andet den slags, man beskytter sig mod, når man formaliserer arbejdet med informationssikkerhed, siger Anders Linde.