Vi bruger cookies og andre sporingsteknologier til at forbedre browsing-oplevelsen på vores hjemmeside, vise personaliseret indhold og målrettede annoncer, analysere trafikken på siden, og forstå hvor vores besøgende kommer fra. Hvis du vil vide mere, kan du læse vores cookie-politik. Du kan desuden læse vores privatlivspolitik, hvis du ønsker mere information. Ved at klikke ’accepter og luk’ giver du samtykke til, at vi bruger cookies og andre sporingsteknologier.
Hjem > Services > Advisory > Cybersikkerhed > IT Sikkerhedspolitik
  • IT Sikkerhedspolitik

    Sådan kan en IT sikkerhedspolitik se ud

    Kontakt os

IT Sikkerhedspolitik skræddersyet din virksomhed

Virker din sikkerhedspolitik, hvis du er udsat for et cyberangreb? Forebygger den muligheden, for at et angreb trænger igennem dine forsvarssystemer?

Svaret på de og lignede spørgsmål kræver, at virksomheder og organisationer er velinformerede om, hvilke trusler, der lurer, og er grundigt forberedt på, hvordan de skal håndteres.

Næste skridt er at integrere al din viden i den bedst mulige sikkerhedspolitik.

Mange forberedelser bygger ofte på bagudskuende, historiske trusler. Samtidig kan virksomheder og organisationer have en tendens til at fokusere på de mest velkendte former for sårbarheder. Som resultat kan forsvaret mod angreb være mere vakkelvornt, end man regner med. Det samme gælder for IT-sikkerhedspolitikken, informationssikkerhedspolitikken eller cybersikkerhedspolitikken.

Løsningen kan være ekstern hjælp fra eksperter, som kan identificere, hvad de nuværende svagheder i din organisations sikkerhedssetup er og dermed hjælpe dig med at skabe den bedste sikkerhedspolitik.

Vores IT-konsulenter har erfaring i at bistå virksomheder med at udvikle den optimale udgangsposition for at modstå trusler mod IT-sikkerhed. Det gælder blandt andet med formulering, udvikling og implementering af sikkerhedspolitikker. Kontakt os for at høre mere om, hvordan vi kan hjælpe med at sikre din virksomhed mod angreb.

Vil du vide mere?

 

Din sikkerhedspolitik begynder her

At oprette en forebyggende og klar strategi for, hvordan trusler kan modvirkes – og hvad man skal gøre, hvis et angreb finder sted – er essentielt.

Den skal indeholde områder som ledelsesstrategi, retningslinjer for reaktion på angreb, og regler og vejledning for opførsel, der er med til at minimere risikoen for, at et angreb kan være effektivt. Egenskaber, der skal bygges på løbende indsigt og evnen til at forudse mulige angreb, før de finder sted.

 

Hvad indeholder en sikkerhedspolitik?

En sikkerhedspolitik kan være så dybdegående og detaljeret, som en organisation ønsker eller har behov for. Den kan fastlægge både forebyggelse, reaktioner på angreb, og hvor ofte organisationens sikkerhedsniveau i relation til IT-sikkerhed, og cybersikkerhed skal testes og/eller opgraderes.

Eksempelvis kan det fastsættes, at der foretages en penetrationtstest tre gange om året, at firewall audits udføres hver måned, eller at nye applikationer skal gennemgå code review, før de udrulles. Desuden kan den fastlægge best practices og generel opførsel for medarbejdere, underleverandører, samarbejdspartnere og kunder/klienter.

 

Spørgsmålene, som sikkerhedspolitikken skal svare på

Overordnet set skal en sikkerhedspolitik gøre organisationen i stand til at svare på de følgende spørgsmål:

  • Hvordan sikrer vi data, informationer og systemer mod ulovlig/uautoriseret adgang?
  • Hvilke trusler står vores organisation over for?
  • Hvad gør organisationen for at opdage trusler?
  • Hvordan skal best practices for awareness om IT-sikkerhed og cybersikkerhed integreres i organisationen?
  • Hvad er mulige sanktioner, hvis It-sikkerhedspolitikken ikke overholdes af medarbejdere, samarbejdspartnere og lignende?
  • Hvordan skal forskellige dele af organisationen reagere på trusler?
  • Hvor ofte og hvordan skal sikkerhedsforanstaltninger testes?

Skal vi kontakte dig?

 

Identificering kræver indsigt

Spørgsmålet om, hvad der udgør en trussel for en given virksomhed eller organisation, kan være svært at svare på. Udgangspunktet for formuleringen af en sikkerhedspolitik er indsigt i de interne og eksterne faktorer og elementer, som kan udgøre en trussel.

Research og kortlægning af trusler bør inkludere, men ikke være begrænset til:

  • Overvågning af relevant information om trusler
  • Indsigt i mulige sårbarheder forbundet med eksisterende og kommende IT-systemer
  • Kortlægning og risikovurdering foretaget af samtlige dele af digitale aktiver, informationer og data
  • Vurdering af, hvilke medarbejdergrupper, der kan være mest udsatte for angreb
  • Analyse af, hvor et angreb vil gøre størst skade.

Indsigt i – og svar på de spørgsmål - giver mulighed for at evaluere, hvad man vil gøre i tilfælde af et angreb, samt hvordan man kan minimere de mulige trusler. Næste skridt er at formulere det som del af en IT-sikkerhedspolitik.

En sikkerhedspolitik gør virksomheder og organisationer i stand til at identificere de punkter, hvor der er størst behov for at investere i udvikling og/eller forbedring af sikkerheden.

Vores IT-eksperter og cybersikkerhedseksperter har bred erfaring med den analyse og research, der er det nødvendige grundlag for en stærk sikkerhedspolitik. Kontakt os for at høre nærmere om, hvordan vi kan hjælpe dig med at udvikle den bedst mulige sikkerhedspolitik.

 

Omsæt sikkerhedspolitik til handling

I forbindelse med formulering/opgradering af IT-politikken kan virksomheder og organisationer proaktivt gennemgå og analysere mulige fejl og mangler i planer og identificere barrierer i forhold til effektiv performance. Det er også et godt grundlag for at fremtidssikre aktiver via regelmæssige sårbarhedsscanninger.

Det kan inkludere, men er ikke begrænset til:

  • Sårbarhedsskanninger
  • Penetrationstest
  • Firewall Review
  • Active Directory test
  • Code Review
  • Image test
  • Log configuration/management
  • GAP analyse.

Har du brug for hjælp?

 

Sådan kan en IT-sikkerhedspolitik se ud

Nedenstående er et eksempel på nogle af de områder, vi anbefaler at inkludere i en IT-sikkerhedspolitik:

Målsætning/formål – det overordnede mål for sikkerhedspolitikken, som defineres ud fra virksomhedens værdigrundlag, vision og strategiske mål.

  • En sidegevinst ved et klart mål med sikkerhedspolitikken er, at den tilkendegiver over for kunder, medarbejdere og andre interessenter, at behandlingen af informationer og beskyttelsen af elektroniske enheder og systemer sker ud fra klare standarder og retningslinjer.
  • Kan med fordel tage udgangspunkt i overordnede mål for virksomhedens IT-systemer, såsom at højne driftssikkerhed, minimere risici for manipulation eller tyveri af data eller enheder, sikre fortrolig behandling, deling og opbevaring af data og information mm.

Omfang – Hvor bredt dækkende er sikkerhedspolitikken, og hvilke områder medtages?

  • Der kan eksempelvis udarbejdes en sikkerhedshåndbog, som uddyber og forklarer forskellige tiltag. Håndbogen kan desuden anvendes i forbindelse med områder som compliance og i forbindelse med awareness og træning af medarbejderne. Regler og procedurer for sikkerhed formuleres og fastlægges.

Gyldighedsområde - Hvem og hvad dækker din sikkerhedspolitik?

  • Som udgangspunkt må den være gældende for alle informationsrelaterede aktiviteter, uanset om disse udføres af ansatte i eller af samarbejdspartnere. Det inkluderer fx data om personale, om finansielle forhold, og data som bidrager til administrationen af virksomheden, produktionsdata og anlægsdata samt informationer, som er overladt til af andre. Data kan i denne sammenhæng være faktuelle oplysninger, optegnelser, registreringer, rapporter, forudsætninger for planlægning eller anden information, som kun er til intern brug.

Organisation og ansvar – hvad er rollefordelingen og hvem er beslutningstagerne?

  • En sikkerhedspolitik fastlægger det sikkerhedsrelaterede ansvar for forskellige dele af din organisations setup for IT-sikkerhed og cybersikkerhed. Det samme gælder for, hvem der har ansvar for og myndighed til at opdatere din sikkerhedspolitik.

Beredskabsplanlægning – hvordan undgår du skade, og hvordan reagerer du på angreb?

  • En sikkerhedspolitik bør fastlægge standarder for, hvordan data og informationer sikres. Den bør samtidig indeholde detaljerende planer for, hvordan din organisation vil reagere i en angrebssituation. Planen bør inkludere, men ikke være begrænset til, skadebegrænsende tiltag, backup-løsninger, reviewprocedurer efter angreb og videreudvikling af forsvar som følge af angreb. I denne sammenhæng bør der fastlægges en tidsmæssig ramme for, hvor ofte beredskabsplanerne som minimum skal opgraderes og/eller testes.

Sanktioner – hvad sker der, hvis medarbejdere eller samarbejdspartnere bryder sikkerhedspolitikken?

  • Mens det kan virke oplagt at ville straffe medarbejdere, der bryder regler for sikker omgang med informationer og data, så er det kun i grove tilfælde det rette førstevalg. En sikkerhedspolitik bør starte sanktioner med krav om videreuddannelse.

Styring af aktiver – hvem har ansvaret under specifikke opgaver i relation til informationer og data?

  • Formulering af regler, procedurer og politikker, data- og informations-relaterede arbejdsopgaver og – procedurer. Tæller blandt andet brug af elektroniske systemer såsom e-mail, internet og trådløse netværk, behandling af fysiske dokumenter (eksempelvis clean-desk-policy), og opbevaring af data og information. Tæller optimering af fysisk sikkerhed, og regler og retningslinjer for gæster (både fysisk i organisationens lokaler og elektronisk på netværk).

Sikring af elektronisk udstyr – adgang, anskaffelse og styring.

  • Regler og politikker for drift af netværk og styring af operationelle procedurer. Regler vedrørende eksterne leverandører og underleverandører, sikkerhedskopiering, drift og styring af trådløse netværk, udveksling af data og informationer mv. Administration af brugeradgang og af netværksadgang. Regler og retningslinjer for anskaffelse, udvikling og vedligeholdelse af IT-systemer.

Reaktioner på og håndtering af sikkerhedshændelser, såsom cyberangreb, hacking og beredskabsstyring.

  • Politik og strategi for opdagelse af, reaktion på og håndtering af sikkerhedshændelser såsom hackerangreb eller angreb fra cyberkriminelle. Inkluderer retningslinjer for ’chain-of-command’, rapportering og kommunikation af sikkerhedshændelser, regler og krav til beredskabsstyring.

Compliance – overhold gældende regler og love.

  • Retningslinjer for sikring af overholdelse af gældende lovkrav og krav/aftaler i forbindelse med indgåelse af kontrakter. Retningslinjer for identifikation af gældende love, tiltag for at sikre overholdelse af love og dokumentation af overholdelse af gældende compliance-krav.

Formuleringen af en effektiv, brugbar sikkerhedspolitik kræver indsigt og erfaring. To af de ting, som vi tilbyder din organisation eller virksomhed.

 

Udfyld nedenstående formular og send den til os. Så bliver du kontaktet.

Sikkerhedskode:
Retype the numbers below:
 Security code

Næste:

Kontakt os

Mikkel Jon Larssen, Partner, chef for Risk Assurance
Mikkel Jon Larssen
Partner, chef for Risk Assurance
København
Relaterede publikationer
Cybersikkerhed 2020
Publikation:
Cybersikkerhed i 2020
Se alle publikationer