Siscon har ekspertviden, og vi deler den gerne med dig!
Siscon har ekspertviden, og vi deler den gerne med dig! Siscons ideologi og grundtanke med ControlManager™ - er at sikre kvalitet, struktur og overblik for de virksomheder, som ønsker at arbejde professionelt med informationssikkerhed. Derfor kan vi hjælpe dig hvis: - Du står over for en kommende revision? Du ønsker bedre forankring og ledelsesinvolvering Du skal skabe mere Awareness i din organisation Du ønsker, at medarbejderne får værdifuld viden, der forankres bedre Du vil udarbejde risikovurdering med forretningen og dennes processer i fokus Du har et ønske om at synliggøre det implementerede sikkerhedsniveau Du ønsker at efterleve en eller flere standarder (ISO, IKT, PCI etc.) Tankerne bag ControlManager™ er at komme ”hel vejen rundt” og give virksomheder et ISMS-værktøj, der både retter sig mod ledelsen, sikkerhedsmedarbejderne, it-medarbejderne og den almindelige medarbejder, og derved sikre forankring i HELE organisationen. Risikostyring / Risk Management: Uden en reel risikovurdering af virksomheden baseret på forretningsprocesserne / forretningsgangene, er det ikke muligt for ledelsen at opnå et reelt billede af virksomhedens sikkerhedsstatus. De største risici ligger ikke nødvendigvis der, hvor man forventer. Nogle systemer kan være næsten irrelevante i forretningsmæssig sammenhæng, mens andre potentielt kan stoppe virksomhedens vigtigste drift. De to vigtigste faktorer, der indgår i risikovurderingen til at skabe det samlede risikobillede, er konsekvensanalyse og sårbarhedsanalyse – Disse skal adskilles for at opnå det mest realistiske resultat. Konsekvensanalyse: (På forretningsprocesser) Giver det forretningsmæssige perspektiv på, hvad det betyder for virksomheden og dens forretningsprocesser, når der sker en sikkerhedshændelse for et eller flere af de understøttende systemer. Sårbarhedsanalyse (På Aktiver). Giver status på, hvor sårbar organisationen er på IT-understøttelse, eller hvor sandsynligt det er, at en trussel udvikler sig til en konkret hændelse. Den samlede risikovurdering/Risk Management: Samlet set giver de to analyser tilsammen en risikovurdering, der fra toppen taler direkte til ledelsen og skal forstås af ledelsen. Ved at ”grave dybere” gives vigtige informationer til de IT-ansvarlige og deres medarbejdere, i forhold til at prioritere ressourcer i den retning, hvor det giver mest værdi for virksomheden. Siscon anbefaler denne metode til udarbejdelse af risikovurderingen: Systemer SE SISCON VIDEO RISK Processer Risikovurdering Prioritering af ressourcer Beslutningsgrundlag & Ledelsesforankring Forventningsafstemning Med Siscon og ControlManager™ by Siscon får du: - Forretningsbaseret risikovurdering med dokumentation af konsekvenser for organisationen Konsekvensanalyse (BIA) der sikrer forståelse fra ledelsen og forankring Et bredt funderet trusselskatalog, der dækker såvel interne som Cloud baserede systemer Visualiseret risikobillede, der gør ledelsen i stand til at træffe beslutninger Klart billede af, hvor ressourcer skal prioriteres og hvor de ”svage led” findes VIL DU HAVE MERE VIDEN? KLIK HER Beredskab – BCP – DRP Enhver organisation, der ønsker at være forberedt på et større IT-nedbrud eller en IT-katastrofe, skal have udarbejdet en beredskabsplan! Ofte bliver beredskabsplanerne ikke udarbejdet, fordi det virker uoverskueligt, og der er usikkerhed om, hvilke informationer der skal med, samt hvor omfangsrig den skal være. Ved at opdele beredskabsplanen i en klar struktur med en række delelementer, der specifikt omhandler en mindre del, bliver udarbejdelse og senere vedligeholdelse af beredskabsplanen til en overkommelig opgave. En opgave der kan deles mellem forskellige personer. På denne måde opnår organisationen, at det vil være de mest kompetente personer, der skriver de dele af planen, netop de er bedst til. Der er ingen beredskabsplaner, der er perfekte, derfor er test og afprøvning en meget vigtig faktor. En test vil dels foretage løbende kvalitetssikring af de udarbejdede dokumenter, dels vil en test træne de personer, der indgår med en central rolle i beredskabet, til at være bedst muligt ”beredt” på den givne situation. Det at sprede udarbejdelse over en række personer og samtidig fortage test og afprøvning giver en høj grad af forankring og bevidsthed hos ledelsen. En måde at strukturere beredskabsplanen kunne være således: Overordnet Beredskabsplan Organisering Kontakt informationer Eskalering Forløb Reetableringsplaner Nødplaner Evt. Scenarier Dokumentation Instrukser Med Siscon og ControlManager™ by Siscon får du: - VIL DU HAVE MERE VIDEN? KLIK HER Et solidt fundament, der sikrer, at organisationen kommer bedst igennem en IT-katastrofe En klart struktureret beredskabsplan, der er let at opbygge og vedligeholde = færre ressourcer En kendt plan for både videreførelse af forretningen og reetablering af IT-systemer Automatisk opdatering og vedligeholdelse af alarmeringslister En løbende statusoversigt, som viser indvirkning på andre aktiver samt på forretningsprocesser Mulighed for at benytte de relevante dele - baseret på den konkrete hændelse Sikkerhedspolitik / Sikkerhedshåndbog Sikkerhedspolitikken er omdrejningspunktet i enhver virksomheds sikring af det ønskede sikkerheds- eller kvalitetsniveau. Sikkerhedspolitikken eller sikkerhedshåndbogen skal opdeles i tre niveauer. Sikkerhedspolitikken, som udstikker de overordnede rammer og målsætninger for sikkerhedsniveauet i virksomheden, underskrevet og godkendt af ledelsen til at understøtte den overordnede forretningsstrategi. Sikkerhedspolitikken udmønter sig i en række konkrete sikkerhedstiltag eller sikkerhedsregler, der beskriver, hvad der skal gøres for at opnå det ønskede sikkerhedsniveau. Alle de konkrete tiltag skal have en ”målgruppe”, således rettet mod specifikke personer, der får tildelt en opgave eller et ansvar for, at tiltaget bliver efterlevet. For flere af disse tiltag er det nødvendigt at have en procedure til at beskrive, hvorledes de enkelte regler eller tiltag skal udføres, det kan for eksempel være procedure for brugeradministration eller backup/restore. Ved samtidig at linke regler og procedure sammen opnår modtageren = målgruppen en gennemskuelighed for, hvorfor og hvordan sikkerhedsniveauet implementeres. Implementering af en sikkerhedshåndbog uden opfølgende kontroller - giver falsk sikkerhed! Tillknytning af kontroller til både regler, tiltag og procedure vil være den eneste metodik, hvormed virksomheden kan vide sig sikker på, at sikkerhedsniveauet også er på det stade, der er ønsket fra ledelsen. Figuren herunder er Siscons struktur for opbygning af en sikkerhedshåndbog med tilhørende kontroller. Virksomheden kan på enkel vis få kendskab til eget sikkerhedsniveau, og den kan dokumentere det over for relevante interessenter, som for eksempel samarbejdspartnere, intern eller ekstern revision/audit. Krav (ex. ISO27001) Politik Regler & Tiltag Procedure Med Siscon og ControlManager™ by Siscon får du: - Kontroller Logbog VIL DU HAVE MERE VIDEN? KLIK HER Fast struktur af sikkerhedshåndbog, der giver hurtig og enkel opbygning og vedligehold ”Rød tråd” fra politik til regler og procedure, således af modtager forstår hvorfor og hvordan Tilknytning af målgrupper for de enkelte tiltag – målrettet kommunikation – stor forankring Løbende opfølgning på sikkerhedsniveau - altid kendskab til status Hurtig og enkel udarbejdelse af dokumentation til interessenter for eksempel revisionen Uddelegering af arbejde med udførelse af løbende kontroller Automatisk e-mail notifikation af de personer, der har ansvar og opgaver / kontroller Awareness I mange virksomheder og organisationer bliver der skrevet store flotte IT-sikkerhedspolitikker, regler og procedurer for, hvordan medarbejderne i virksomheden skal agere i deres brug af IT-systemerne. Alt for ofte bliver disse dokumenter ”gemt væk” enten på et fil-drev eller langt væk på intranettet, hvor der går langt imellem, at nogle medarbejdere ser dem og læser lidt. Hvis disse dokumenter skal udbredes i organisationen og dermed opnå den værdi de har, skal der skabes Awareness omkring dem, så medarbejderne opnår kendskab og viden, hvilket medfører, at de kan arbejde ud fra de sikkerheds- og kvalitetsnormer, der er fastsat fra ledelsens side i organisationen. Når denne Awareness blot opbygges ved at omtale dokumenterne på intranet eller på fællesmøder, bliver der kun opnået et minimalt bedre kendskab til indholdet, da det for læseren virker stort, tungt og uoverskueligt. Her er det vigtigt at opdele indholdet af dokumenterne til at være målrettet de målgrupper, der er modtagere af budskabet. Ved at foretage denne form for opdeling opnår modtageren at få information, der udelukkende er relevant for vedkommende og dermed kan relateres til den hverdag, de befinder sig i. - Hjælp modtageren af budskabet med at forstå Kommuniker tydeligt med fælles stemme fra Ledelsen Lav alternative Awareness kampagner - så du rammer bredest muligt Lav både store og små Awareness kampagner løbende over året Quiz og Awareness kan med fordel honoreres med præmier Såfremt det ønskes at opnå et endnu større kendskab og efterlevelsesgrad fra medarbejdernes side, skal ovennævnte målretning af informationer kombineres med udarbejdelse af E-learning emner. Der bør efterfølgende følges op med spørgsmål, således at der opnås kendskab til forståelsen af sikkerhedsog kvalitetsnormer. Når der løbende bliver lavet Awareness kampagner om informationssikkerhed mod medarbejderne i organisationen, vil det sikre, at de beskrevne sikkerheds- og kvalitetsnormer bliver en naturlig del af medarbejdernes dagligdag – og dermed højner organisationen kvaliteten og sikkerheden. Med Siscon og ControlManager™ by Siscon får du: - VIL DU HAVE MERE VIDEN? KLIK HER Automatisk udsendelse af notifikationer, når der er nye sikkerheds- og kvalitetsnormer Facilitering af E-learningkampagner med tekst, billeder og videosekvenser Gennemførelse af spørgeskema / quiz med relation til sikkerheds- og kvalitetsnormer og E-learning Rapporter på resultatet for spørgeskema / quiz, både til ledelse og detailniveau Indsamling af underskrift på, at medarbejdere vil efterleve sikkerheds- og kvalitetsnormer Compliance Standarder som for eksempel ISO27001 sikrer, at organisationer internt og eksternt har samme referenceramme, når der diskuteres informationssikkerhed. Desuden giver det vished for, at de grundlæggende overvejelser inden for informationssikkerhed er gennemgået. At benytte ISO27001 bygger på ”Best practice” fra tusindvis af virksomheder, der har arbejdet systematisk med informationssikkerhed, samlet af en lang række eksperter, der i en årrække har gennembearbejdet de omfattede områder. En standard som ISO27001 kan være et ledelsesværktøj, der kan bruges til at sikre en høj kvalitet i it-driften samt et sikkerhedsniveau tilpasset den enkelte virksomhed. Det være sig både i forhold til de arbejdsgange, medarbejderne anvender, samt de tekniske sikkerhedstiltag, der bliver implementeret igennem diverse systemer. Det er ofte en svær opgave for den it-ansvarlige at sikre sig et helhedsbillede over de områder, der skal dækkes for at have en tilstrækkelig platform for en opnå en høj kvalitet i it-driften. Ved at tage ISO27001 eller en anden lignende standard ind i organisationen tvinges ledelse, it-ansvarlige og medarbejdere til at tage stilling til væsentlige områder og dermed danne et helhedsbillede, der kan anvendes fra top til bund i organisationen. Kvalitetssikring Det at efterleve eller være ”compliant” med egne krav, eksterne krav eller lovgivningskrav er en væsentlig faktor for virksomheder for at fremstå som en troværdig og tillidsfuld samarbejdspartner. For nogen virksomheder vil det ligefrem være en begrænsning i deres forretningsudvikling, såfremt de ikke kan dokumentere, at de efterlever en eller flere standarder. De fire vigtigste områder: Dokumentere / Implementere / Kontrollere / Korrigere er den direkte vej til at opnå dokumenteret efterlevelse og dermed kunne påberåbe sig at være i compliance med de relevante standarder / referencerammer, som virksomheden ønsker. Alt dette skal ske på en struktureret måde, således at det hurtigt skaber det ønskede overblik, således at ledelsen i virksomheden kan prioritere og have fokus på bundlinje, økonomi og virksomhedens processer. Compliance er allervigtigst i forhold til egne vedtagne foranstaltninger – så man altid kan måle, hvorvidt man efterlever egne regler, og få et reelt billede af organisationens implementerede VIL DU sikkerhedsniveau. HAVE MERE Hos Siscon og med ControlManager™ by Siscon får du: VIDEN? KLIK HER Let og enkel måde til at dokumentere efterlevelse af relevante standarder (ISO, IKT, - Persondata lov etc.) Udarbejdelse af Statement of Applicability (SoA) for individuelle standarder Intern måling af efterlevelsesgrad – baseret på forretningsområder eller fagområder Ledelsesdokumentation og rapportering om implementeringsgraden og efterlevelse Governance Sådan opnår du at implementere IT-Governance i organisationen – om du benytter ISO27001 eller ISO38500 som referenceramme er ikke vigtigt, metoden er den samme ISO38500 har følgende punkter – du kan se dem på næste side. - Strategi - Ansvar - Overtagelse/erhvervelse - Ydelse - Efterlevelse - Menneskelig adfærd For hvert af disse områder omtaler ISO38500, at der skal foretages en vurdering, beskrives tiltag og endelig laves opfølgning! Det er kvalitetssikring, når det er bedst. Netop her begynder det at ligne den samme arbejdsmetodik, som der ligger til grund for arbejdet med ledelse af informationssikkerhed – ud fra ISO27001. De seks områder for IT-Governance, som ISO38500 standarden omtaler, er alle nogen der bliver behandlet i større eller mindre grad, hvis du benytter ISO27001 som referenceramme for din ledelse af informationssikkerhed, så omfanget er altså også tilnærmelsesvis dækket. Er der så ikke nogen forskel? Den store forskel ligger i, at der i ISO38500 er beskrevet at: - det er Ledelsen der skal lave vurdering, - det er Ledelsen der skal sikre iværksættelse af tiltag - det er Ledelsen der skal lave den løbende opfølgning. Det er meget eksplicit skrevet – Ledelsen – , men står det ikke også i ISO27001? Jo, det gør det i indledningen og starten af standarden, men det fortoner sig hurtigt, når de enkelte tiltag skal implementeres i organisationen, så er det ikke længere et ledelsesprojekt, så er det havnet et sted nede i organisationen – det er her Siscon ser den store forskel! To Do fra ISO38500 – How To? - Udarbejde en sikkerhedshåndbog med politik, regler og procedurer, - Udarbejde en risikovurdering baseret på forretningsprocesser, - Fastlægge de referencerammer virksomheden ønsker at være compliant med Det er ledelsen, der skal tage ”førertrøjen”, og igennem en kontinuerlig dialog med den øvrige del af organisationen sker der en løbende vurdering – tilpasning af tiltag samt opfølgning. Hos Siscon og med ControlManager™ by Siscon får du: - Målgruppe-orienteret formidling af de fastlagte tiltag Let og overskuelig ledelsesrapportering Enkel metode til at gennemføre vurderinger Løbende opfølgning / kvalitetssikring med automatisk udsendelse af notifikation VIL DU HAVE MERE VIDEN? KLIK HER SÅDAN opnår du at implementere IT-Governance i virksomheden. Strategi er ledelsens input til udvikling af IT-anvendelsen og vice versa. Det, at der fra ledelsen bliver taget en løbende dialog med de IT-ansvarlige om, hvor forretningen er på vej hen, og i hvilken form det kræver IT-understøttelse. Det er også i ligeså høj grad de IT-ansvarliges pligt at informere ledelsen om den udvikling, der sker inden for IT-området og involvere ledelsen i, hvordan de nyvundne teknologiske fremskridt kan understøtte de forretningsmæssige strategiske mål. Denne form for dialog kræver, at de ITansvarlige har kendskab til virksomhedens strategiske mål, og at ledelsen kommunikerer målene til de ITansvarlige. Ansvar skal uddelegeres fra direktionen til ledelsen i organisationen, med opfordring om løbende at komme med evalueringer og forbedringsforslag til udnyttelse af IT-systemerne til optimal IT-understøttelse mod forretningsprocesserne. På denne måde sikres den største værdi for virksomheden med den investering, der er gjort i IT-systemerne. Denne løbende evaluering skal ske i tæt dialog med de IT-ansvarlige, således at der samlet set opnås en gruppe af personer med indsigt i forretningen og indsigt i IT-området – således at IT-anvendelsen bliver optimal. Erhvervelse af nye IT-aktiver/systemer skal foretages i tæt dialog med ledelsen, således sikres det, at ITsystemerne understøtter de nuværende og fremtidige strategiske forretningsmæssige målsætninger. En opgave, der stiller krav til såvel ledelsen som IT-ansvarlige om, at de løbende er bekendt med virksomhedens målsætning og opretholder en løbende dialog om det gensidige samspil. Ydelsen fra IT-systemerne og de personer, der driver systemer, skal til stadighed have fokus fra ledelsens side. Dette medfører, at der skal foretages en vurdering af værdien, af de enkelte systemer og den forretningsmæssige risiko, der er forbundet med IT-anvendelsen. Dette betyder endvidere, at der fra ledelsen skal foretages en vurdering af, hvad eksempelvis et udfald af et eller flere IT-systemer eller de personer, der driver systemerne, betyder for virksomheden og virksomhedens mulighed for at opfylde de forretningsmæssige målsætninger. Efterlevelse af love, regulative krav, normer, egne interne politikker og regler, skal løbende have opmærksomhed fra ledelsen side. Såfremt ledelsen ikke er bekendt med disse, ikke løbende holder sig ajour med tilføjelser og ændringer inden for deres ansvarsområder, ikke sikrer sig, at disse krav bliver formidlet til de IT-ansvarlige, vil det medføre, at IT-anvendelsen ikke opfylder de krav, der stilles til virksomheden. Virksomheden kan dermed risikere lovovertrædelser og andre former for ageren, der skaber dårligt omdømme og image for virksomheden. De eneste der kan sikre, at dette ikke sker – er ledelsen, de skal holde sig ajour og indgå i dialog med de IT-ansvarlige for at sikre, at IT-systemerne i størst muligt omfang er med til at opfylde kravene. Menneskelig adfærd er i sidste ende det, der skal bære virksomheden frem mod de strategiske målsætninger. Det er ledelsens ansvar, at der sker en løbende evaluering og tilpasning af de menneskelige ressourcer, der er til stede i virksomheden, samt en vurdering af det potentiale, de besidder, og den risiko, de udgør i forhold til anvendelsen af IT i virksomheden. For at sikre den størst mulige ”kvalitet i den menneskelige adfærd” er det ledelsens ansvar at sikre en række politikker, regler og procedurer, således at der sker en ensartethed i anvendelsen af IT-systemerne og dermed en minimering af risici og samtidig en højnelse af kvaliteten. Ledelsen skal gå forrest for at skabe den nødvendige Awareness i virksomheden.
© Copyright 2024