Få styr på dine CISO-aktiviteter

03.06.2019 - Af John Clayton

At have din virksomheds informationssikkerhed under kontrol ses nu mere og mere som en forretningskritisk aktivitet for virksomheder og organisationer, når de arbejder på at beskytte deres data og systemer mod et konstant skiftende trusselslandskab.

Men "hvor skal vi begynde?" er ofte det spørgsmål mange virksomheder og organisationer stiller. Og "hvordan kan vi bedst bruge de tildelte budgetter til at øge sikkerhedsniveauerne på tværs af mennesker, processer og teknologi for at sikre, at vi får mest ude af vores investering”?

I dette blogindlæg kommer jeg ind på, hvilke steps du skal tage for at forberede dine sikkerhedsaktiviteter, og hvordan en specialist kan hjælpe dig med at nå dine mål. Men hvor skal du starte?

Definer dit mål
Er du bevidst om hvilket mål der skal være for din virksomheds it-sikkerheds niveau? Det er vigtigt at sætte målet for compliance. Skal der måles op imod den interne it-sikkerhedspolitik eller er der et højere compliance-mål f.eks. ISAE 3402, ISO27001, PCI eller lignende? Målet er afgørende for omfanget og metoderne for test og rapportering.

Find dine huller
Den første aktivitet, der skal fokuseres på, når du igangsætter dit informationssikkerhedsarbejde, er at få en forståelse af dine nuværende AS-IS-sikkerhedsniveauer ved brug af en sikkerhedsanalyse. Når nu sikkerhedstrusselslandskabet og sikkerhedsløsningerne er i konstant forandring, anbefales det at foretage en samlet informationssikkerhedsanalyse mindst en gang om året. Det vil hjælpe dig med at identificere eventuelle huller, der skal have dit fokus de kommende 12 måneder.

Lav en plan
De aktiviteter, du identificerede under din sikkerhedsanalyse for at lukke hullerne, vil udgøre grundlaget for din informationssikkerhedsaktivitetsplan – også kaldet roadmap, og vil også udgøre grundlaget for din informationssikkerhedsstrategi.

Typiske Roadmap aktiviteter
Typisk vil et roadmap indeholde en blanding af aktiviteter, der spænder over mennesker, proces og teknologi og her er et par eksempler:

Mennesker:

  • Awareness-træning: Medarbejdertræning i informationssikkerhed. Kan leveres via klasseundervisning eller som e-learning.
  • Kommunikation: Forskellige typer af intern kommunikation, f.eks. via intranet, e-mail eller posters rundt i virksomheden, som behandler forskellige informationssikkerhedsemner.
  • Phishing-kampagner: Udsendelse af phishing-e-mails internt i organisationen for at teste, hvor sikkerhedsbevidste medarbejderne er. Resultaterne kan bruges til at måle effektiviteten af andre initiativer og til at løfte sikkerhedsbevidstheden.

Processer:

  • Informationssikkerhedspolitik: Et dokument, der på overordnet niveau, definerer de overordnede principper for informationssikkerhed på tværs af organisationen.
  • Informationssikkerhedshåndbog: Et dokument, der beskriver de forskellige sikkerhedskrav, der gælder på mennesker, processer og teknologi i hele organisationen.
  • Medarbejder adfærdskodeks: Et dokument, der henvender sig til slutbrugerne, og som giver vejledning i, hvordan it-systemerne skal bruges ud fra en sikkerhedsmæssig tankegang og ud fra acceptable anvendelses principper.
  • Plan for genoprettelse efter nedbrud: Et dokument, der beskriver, hvordan man som virksomhed eller organisation gendanner fra hændelser, hvor it-systemer ikke er tilgængelige på grund af menneskeskabte- eller naturkatastrofer.

Teknologi:

  1. Implementer krypteret email: Implementering af krypteret email, enten som en forbedring af det eksisterende system eller som en separat løsning, der kan bruges til at sende og modtage e-mails, der indeholder fortrolige oplysninger eller personlige data.
  2. Implementer Cloud Access Security Broker-løsning: Implementering af en løsning, der gør det muligt for virksomheden og organisationen at genvinde kontrollen over cloud-tjenester og identificere eventuelle skygge-it-tjenester i brug.
  3. Implementere sikkerhedsoplysninger og hændelsesovervågning: Implementering af en løsning, der sikrer, at sikkerhedslogfiler fra de forskellige systemer og enheder på tværs af netværket samles centralt til analyse og afsløring af ondsindet aktivitet.

Få hjælp fra en specialist – CISO-as-a-service
De aktiviteter, der er beskrevet ovenfor, kræver først og fremmest CISO-kompetencer. En medarbejder, der kan udforme, udvikle og implementere løsninger, der øger sikkerhedsniveauerne i hele virksomheden og organisationen, og som kan kommunikere med ledelsen.

Mange virksomheder og organisationer står over for udfordringen med at finde og rekruttere informationssikkerhedsmedarbejdere til at hjælpe dem med disse aktiviteter, og det er her, Ezenta kan hjælpe.

Med vores CISO-as-a-service kan vi hjælpe dig med blot nogle eller alle dine informationssikkerhedsaktiviteter - enten som sparringspartner, med hvem du kan diskutere strategier eller planer eller som en lejet ressource, som kan hjælpe med at implementere aktiviteterne i samarbejde med dig.

Denne service giver en omkostningseffektiv løsning, der gør det muligt at opfylde dine sikkerhedsmål hurtigt og med succes og er blevet brugt af virksomheder og organisationer enten som midlertidig løsning, mens de rekrutterer eller på en løbende basis for at opfylde krævende forretningsmæssige behov. Hvad er dit behov? 

Vil du gerne vide mere?
Hvis du gerne vil vide mere omkring vores CISO-as-a-service, eller hvordan Ezenta kan assistere dig med dine CISO-aktiviteter, så tag endelig fat i mig eller en af mine kolleger.

X

Tak for din tilmelding

Du er nu tilmeldt vores nyhedsbrev!

Tilbage til topppen