Sådan finder du rundt i junglen af sikkerhedspolitikker!

I arbejdet med cyber-sikkerhed udgør sikkerhedspolitikkerne rammen om den bane, som organisationen kan spille på. Det er i politikkerne, at trådene trækkes til forretningens strategi og risici.

Ligesom det er i politikkerne, at ansvaret for de enkelte områder fastlægges, så cyber-sikkerhed bliver håndgribelig og håndtérbar. 

Hvor mange politikker en organisation skal have, er op til den enkelte organisations individuelle risikovurdering. Der er dog en række områder, som anses for at være universelle, og som alle organisationer – store som små – har risici inden for. Det gælder fx adgang til og klassificering af data samt krav til backup, som vi helt konkret ser det i GDPR-forordningen. 

Politikker til enhver organisation

Politikker kan udformes efter mange standarder og kontrolsystemer. Det er ofte en jungle at finde rundt i hvilken standard eller ramme, som bedst passer til netop din organisation. Combitech har udviklet en række politikker, der baserer sig på ISO 27001, men som samtidig skeler til andre anerkendte standarder og rammer som fx NIST-, COBIT- og CIS20-kontrollerne. Politikkerne er skrevet i et letforståeligt sprog, følger samme struktur og kan med ganske få justeringer implementeres i enhver organisation.  

Politikkernes indhold er formuleret på en måde, som er både konkret og enkel. Samtidig lever de fuldt ud op til ISO27001 og derfor også de krav, som organisationer møder i en certificeringssituation. 

Først politikker - så processer

Politikker skal altid understøttes af processer, der sikrer, at politikkerne bliver fulgt. Combitech har udviklet en række processer, som understøtter de mest kritiske funktioner i en organisations værn mod cyber-angreb, og som med ganske få justeringer kan implementeres i enhver organisation.

 

Politikkerne ledsages af en service, hvor organisationen får rådgivning hen over året, samt sikkerhed for at politikkerne opdateres, såfremt trusselsbilledet udvikler sig dramatisk, eller hvis der lanceres nye versioner af de standarder, politikkerne baserer sig på.

Sidst men ikke mindst så er det naturligvis vigtigt, at man får kommunikeret rigtigt ud i organisationen omkring cyber-sikkerhed, så alle reagerer korrekt og effektivt på sikkerhedshændelser. Der er ingen grund til at opfinde den dybe tallerken her. Hos Combitech har vi prøvet det før, så vi udarbejdet en række skabeloner for, hvordan man sikrer en effektiv kommunikation.