En ultra-kort præsentation som giver korte og ikke-tekniske svar på disse spørgsmål:
* Hvorfor virksomheder skal risikovurdere deres afhængighed af it?
* Hvordan investerer man optimalt i it-sikkerhed?
* Hvorfor egentlig have et Information Security Management System?
* Hvorfor skal man arbejde med beredskab og nødprocedurer?
Denne præsentation giver nogle ikke-tekniske svar på :Hvorfor virksomheder skal risikovurdere deres afhængighed af itHvordan man investerer optimalt i it-sikkerhedHvorfor have et Information Security Management SystemHvorfor skal man arbejde med beredskab og nødprocedeurer
Mange virksomheder har udmærket styr på fysiske & tekniske tiltag. Men uden en passende mængde administrative tiltag, giver de tekniske / fysiske kun ringe værdi. Eksempel 1: Et adgangskontrolsystem hvor der man ikke helt ved hvem der har adgangskortene kun ringe værdi-Eksempel 2: En firewall der ikke administreres giver kun en meget ringe beskyttelse- Hem bestemmer firewall regler – er det en tekniske eller en ledelses beslutning om vi må bruge Facebook, Skype, Bring YourOwn Device. Hvordan undgår vi nøglepersonafhængighed et eksempler på administrative tiltag.Bemærk at ”optimeret” it-sikkerhed ikke betyder højest mulige absolut it-sikkerhed – det betyder det niveau, der passer bedst til den konkrete virksomhed.
I Europa er ISO 2700x serien langt den mest udbredte. Når man bruger samme standard som de fleste, øger man genkendelses-graden, hvilket opfattes bedre end et selv-opfundet koncept og system. Det giver mere troværdighed.To virksomheder er ikke ens; Vigtigheden af sikkerhed derfor også forskellig, og derfor skal når det er muligt man bruge sikkerhedstandarder der giver fleksibilitet fremfor firkantede check-liste standarder. Alt sammen argument for ISMS jævnfør ISO 27001.Sikkerhedspolitik er en del af ISMS – den overordnede sikkerhedspolitik er ledelsens erklæring til organisationen om ambitionsniveauet for informationssikkerhed.
Nogle kalder beredskabsplan for ”plan for fortsat drift”. It-beredskab er blevet vigtigere i takt med at virksomheders it-afhængighed er vokset.
Nogle / alle it-medarbejdere skal måske hjælpe med at få it og/eller systemer på plads igen.Nogle medarbejdere kan måske passe deres arbejde I en vis udstrækning uden it – de arbejder efter en nødprocedureVirksomheden vil måske vælge at sende nogle medarbejdere hjem med it bliver genetableret.
IT GRC betyder IT Governance, Risk og Compliance Management, og begrebet dækker over flere forskellige discipliner. For eksempel sikkerhedspolitik, strategi og beredskab. IT GRC handler også om at vurdere leverandører - både på jorden og i skyen, sårbarheder og konsekvenser. Og om at efterleve branchekrav, lovkrav som persondatalov og standarder som ISO 27001, Cobit,PCI DSS.