De fleste organisationers forsvar mod cyber sikkerhed er ikke gode nok. Hvordan kan de også være det? Selv med en ubegrænset mængde af penge og medarbejdere er det faktisk umuligt at imødegå truslerne, som konstant dukker op og udvikler sig. Der er upatchede systemer, infektioner med potentiel malware, truslen om store angreb og en lang række af sårbarheder, som medarbejdere medfører, fra svage kodeord til modtagelighed overfor phishing e-mails.
Menneskelige fejl er et wildcard i cyber sikkerhed og de overses tit, fordi de ikke er noget som IT afdelinger kan afbøde. For mange organisationer fokuserer kun på at forhindre cyber kriminelle i at udnytte teknologi og ignorerer de fejl, som mennesker kan begå – med eller uden teknologi.
Cyber sikkerhed er alles ansvar
Næsten alle bruger teknologi i deres arbejde på en eller anden måde, lige meget om de sidder ved et skrivebord det meste af dagen eller altid er på fødderne. Mange medarbejdere putter følsomme informationer på en online portal, som kræver individuelle kodeords-beskyttede kontoer. Enhver, som vælger et svagt kodeord, gør det nemt for cyber kriminelle (eller i mange tilfælde, kodeords-brydende maskiner) at bryde ind i organisationens systemer og lede efter brugbare informationer, såsom følsomme virksomhedsfiler, intern kommunikation og medarbejderes persondata.
Cyber kriminelle har hovedsagligt to grunde til at stjæle disse informationer. De kan enten sælge dem til andre kriminelle eller bruge dem til at udføre egne bedragsforsøg. Et typisk bedragsforsøg er spyd phishing, hvor den kriminelle udgiver sig for at være en legitim kontakt og skriver e-mails til medarbejdere for at narre dem til at dele følsomme informationer eller downloade malware.
Det væsentlige ved phishing e-mails er, at de kun til dels kan håndteres ved hjælp af teknologiske forsvar. Organisationer har uden tvivl spamfiltre for at fange phishing e-mails, men helt op til en fjerdedel af dem kommer stadig igennem til medarbejdernes indbakker. Det betyder, at det eneste, der forhindrer et brud på organisationens datasikkerhed, er medarbejderes evne til at spotte en bedragerisk e-mail. Alle kan være en målskive, så alle har behov for at blive undervist i risikoen.
Phishing medarbejderbevidstheds træningskurser kan være en stor hjælp, men organisationer skal også se på det i den større sammenhæng. Phishing er ikke den eneste trussel, som medarbejdere har behov for at blive undervist i. Medarbejdere er i lige så høj grad fare for ved et uheld at begå et brud på datasikkerheden. De mister måske filer eller bærbare enheder, sender informationer med e-mail til den forkerte person eller efterlader optegnelser online uden kodeordsbeskyttelse.
Håndtering af disse problemer
Organisationer kan drastisk forbedre deres cyber sikkerhedssituation ved at implementere et managementsystem for informationssikkerhed (ISMS)
Et ISMS er en systematisk tilgang bestående af politikker og procedurer og kontrolinstanser, som håndterer trusler mod dine data såsom cyber angreb, hacks, data læk eller tyveri. Det kan anvendes til hele eller dele af organisationen.
ISO 27001 beskriver bedste praksis for et ISMS. Certificering efter standarden sikrer også, at din organisations sikkerhedstiltag er så omkostningseffektive som muligt.
Det kan være hårdt arbejde at implementere et ISMS og kommer til at involvere hele din organisation. Projektet kan vare alt fra tre måneder til et år og lige meget hvordan du fortsætter, er du nødt til at tage højde for din organisations størrelse, de trusler den kan være udsat for og de tiltag, den allerede har på plads.
At komme i gang
ISO27001 certificeret ISMS grundlag online – Tag de første skridt hen imod at hjælpe din organisation med at beskytte sig selv imod cyber kriminalitet. Lær online fra eksperterne at drage fordel af ISO 27001 bedste praksis og konformitet. Indblik i og erfaring fra den virkelige verden.
Udviklet af ISO 27001 eksperterne Alan Calder og Steve Watkins og baseret på deres implementeringsguide, som er førende indenfor branchenIT Governance:Som international guide til datasikkerhed og IS027001/ISO27002forklarer dette interaktive Live Onlineen-dags-kursus fordelene ved IEC/ISO 27001:2013 managementstandarden for informationssikkerhed og giver en komplet introduktion til nøgleelementerne, der er nødvendige for at opnå bedste praksis og konformitet.
Ved at bruge en kombination af formel træning, praktiske øvelser og relevante case studier kan en erfaren ISO 27001 træner og konsulent:
- Identificere risici forbundet med cyber kriminalitet for en individuel person og for en organisation
- Hjælpe dig med at forstå fordelene ved ISO 27001 bedste praksis og certificering
- Forklare elementerne af implementeringen inklusive risikovurderinger og anneks a tiltag
Dette kursus understøtter også professionel udvikling: repræsentanter, som består den inkluderede eksamen, får den ISO 17024-certificerede ISO 27001 certificeret ISMS grundlag (CIS F) kvalifikation af IBITGQ.
