Vi bruger cookies, så vi kan give dig den bedst mulige brugeroplevelse. Cookieoplysninger gemmes i din browser og udfører funktioner som at genkende dig, når du vender tilbage til vores hjemmeside og hjælpe vores team med at forstå, hvilke dele du finder mest interessant og nyttig. Du kan se vores Cookie og Privatlivs politik her.
IT er mere end bits n’bites
24/11/2020
En blåstempling af it-sikkerheden
16/06/2021Kend dine risici og forhold dig til dem
Kortlægning af it-sikkerheden efter NIST metode gav værdifuld viden
Hos Lyngby-Taarbæk Kommune tog man tyren ved hornene, og gik i gang med at kortlægge sin it-sikkerhedssituation. Med udgangspunkt i den amerikanske NIST CSF-model (et værktøj til forebyggelse og bekæmpelse af cybercrime) blev it-organisationen og systemerne endevendt, hvad angår sikkerhed, politikker og adfærd.
KonsensIT var på opgaven, og gennemførte blandt andet en række dybdegående interviews med medarbejdere i organisationen. “Vi blev vurderet på en skala fra et til fem på en række punkter, og kollegerne fik på forhånd at vide, at det handlede om at være så ærlige som muligt – ikke om at opnå flest point,” fortæller Mikkel Arp, som er it-chef hos Lyngby-Taarbæk Kommune.
NIST for danske kommuner
KonsensIT havde på forhånd tilpasset analysen, så den ikke slavisk fulgte NIST-direktivet, men i højere grad passede til kommunen og det sikkerhedsniveau, en kommune bør være på. “Det er mit indtryk, at kollegerne i it-organisationen er trygge ved KonsensIT og derfor svarer fuldstændig ærligt på spørgsmålene.
De fleste kender allerede KonsensIT fra de tidligere opgaver, de har løst. Men alligevel vil jeg sige, at det er vigtigt at bruge eksterne folk til at gennemføre den slags undersøgelser. Det betyder, at kolleger i anonymiseret form kan svare fuldstændig ærligt,” siger Mikkel Arp.
Mere kommunikation – mindre teknik
På baggrund af analysen har KonsensIT udarbejdet en rapport med anbefalinger til ting, der bør følges op på. “Heldigvis var vi i kommunen allerede langt fremme med hensyn til sikkerheden omkring de enkelte arbejdspladser.
En af de lidt overraskende resultater af undersøgelsen har været, hvor svært det er at inddrage 3. parts leverandører sikkerhedsmæssigt korrekt i sine arbejds-processer. Vi har ligesom de fleste kommuner – og virksomheder også for den sags skyld – mange 3. parts leverandører, som vi skal huske at tænke ind i vores sikkerhedsarbejde, og der er virkelig mange detaljer, man skal huske at få med. Vi skal for eksempel bede alle vores cloud-leverandører om at dokumentere, hvor de gemmer data, der har med os at gøre, og hvordan de håndterer dem. Det er ikke nok at stole på, at de har styr på det. Det er jo os, der bliver holdt ansvarlige, hvis der sker brud.
Det har været en rigtig god proces, hvor mange ting er kommet op til overfladen, og det kan fortælle os, hvor vi skal lægge vores energi,” siger Mikkel Arp. “En anden ting, vi har bemærket i løbet af processen, er, at it-sikkerhed mere og mere kommer til at handle om kommunikation og mindre og mindre om teknik, og det er afgørende, at man kan balancere mellem de to”.
Download og læs Lyngby Taarbæk Kommunes referencehistorie her