Er IT sikkerheden i virksomheden effektiv nok og er I klar til GDPR ? 

Passer virksomhedens sikkerhedsprofil til den vurderede risiko og hvordan bliver organisationen klar til persondataforordningens krav til behandlingssikkerhed og notifikationspligt?

Cyber angreb og intern misbrug af rettigheder fortsætter med uformindsket styrke og konsekvensen kan være kompromittering af (person)følsomme data. Med persondataforordningen (GDPR) stilles der nu krav til virksomheders IT sikkerhed omkring forebyggelse, sprobarhed, handlingsplaner og kontrol.

Draware A/S har udviklet Dansk IT-Sikkerhedsbarometer™ som er GAP analyser baseret på Center for Internet Security 20 Critical Security Controls, der giver din virksomhed værktøjer til at vurdere IT sikkerheden i praksis -både den nuværende profil (A) og den målsatte profil (B), samt hvordan du kommer fra A til B.

Sådan foretages GAP analysen

For at komme i gang med de 20 Critical Security Controls (20 CSC) skal man lave en GAP analyse, der har til formål at måle organisationens IT Sikkerhed op mod de 20 CSC for at se, hvor mange af kontrollerne man opfylder*. Dette giver en nuværende IT Sikkerhedsprofil (Eng: ”Posture”). Man sætter derefter et nyt mål for en forbedret IT Sikkerhedsprofil og GAP analysen fortæller dig:

  • 1. Hvad din nuværende IT Sikkerhedsprofil er (et tal fra 20-100) ?
  • 2. Hvor langt er der mellem den nuværende og den målsatte IT sikkerhedsprofil?
  • 3. Hvad du skal gøre for at nå den målsatte profil?

*20 CSC er ikke en standard man kan blive ”compliant” med, men en række pragmatiske kontroller / ToDos, som kan efterleves/opfyldes i større eller mindre grad. Man kan ikke blive certificeret i 20 CSC.

Draware har lavet en DANSK udgave af denne GAP analyse som gennemføres på følgende måde:

A) Vi sidder on-site sammen med din organisations ledende medarbejdere fra IT afdelingen i 2 dage:

  1. Første dag går med at måle organisationens nuværende IT Sikkerhedsprofil baseret på de 20 CSC (et tal fra 20-100)
  2. Anden dag går med at formulere hvad den nye målsatte IT Sikkerhedsprofil skal være og hvordan den opnås i praksis ved en række ”ToDos” udmøntet som: Bemærkninger, Processer, Kontroller og Løsninger. Resultatet ligger i et Excel regneark, hvor hver enkelt kontrol er scoret på en skala fra 1 til 5:, hvor 1 er ingen opfyldelse, som markeres med rød, 3 er medium opfyldelse, som markeres med gul og 5 er komplet opfyldelse, som markeres med grøn. Vi bestemmer sammen den enkelte score og regnearket bliver efter GAP analysen din ejendom. Summen af alle kontroller giver et tal for organisationens IT Sikkerhedsprofil og den målsatte sum minus summen for den nuværende IT Sikkerhedsprofil giver den målbare vækst i IT Sikkerhed.

B) Draware udarbejder derefter en præsentation, som du internt i organisationen kan bruge til at synliggøre den aktuelle risiko for ledelsen. Bl.a. på basis af dette dokument kan ledelsen så træffe en informeret beslutning om, hvilket niveau af risiko man vil acceptere og bevilge de nødvendige ressourcer.  Dokumentet indeholder bl.a:

  1. En let forståelig forklaring af organisationens nuværende IT Sikkerhedsprofil og konsekvensen af denne
  2. En prioriteret liste med ”straks-tiltag”, der er praktiske ToDos fundet under GAP analysen
  3. En række IT projekter, der skal gennemføres for at opnå den målsatte IT Sikkerhedsprofil. Disse projekter indeholder referencer til kontroller i 20 CSC og ISO27002, projekt økonomi og forventet tid, som skal bruges på implementering og efterfølgende drift.
  4. En prioriteret plan for hvilke 20 CSC kontroller, der skal implementeres i hvilken rækkefølge og i hvilke faser (fx 20CSC Fase 1: #1-6, #13, #17 og #19, Fase 2: resten)


Du kan se forløbet af Drawares 20 CSC GAP analyse forklaret på vores YouTube video 

Resultatet af GAP analysen og brug af 20 CSC

Det er vores erfaring fra MANGE sikkerhedsvurderinger, at organisationer efter at have adopteret 20 CSC og have gennemført den første GAP analyse:

  • 1. Forstår deres nuværende IT Sikkerhedsprofil (hvilket ofte er en profil med adskilligt flere brister end forventet)
  • 2. Forstår hvad der skal til – både teknisk og organisatorisk – for at opnå en IT Sikkerhedsprofil, der passer til den aktuelle risiko
  • 3. Forstår den store forskel på IT Sikkerhed, der bygger på gode intentioner versus IT Sikkerhed, der bygger på kontroller
  • 4. Forstår hvilke af de nuværende IT Sikkerhedsløsninger, der skal implementeres bedre og suppleres med organisatoriske kontroller,
    hvilke løsninger, der overlapper og hvilke løsninger, der mangler.
  • 5. Får et nyt klippe-solidt grundlag for at træffe informerede beslutninger om IT Sikkerhed
  • 6. Får et værktøj/en metode, der hjælper med at formidle IT Sikkerhedsbudskabet og risikoen til ledelsen, som derefter kan træffe beslutningerne om tildeling af de nødvendige ressourcer på et informeret grundlag (IT Sikkerhed der matcher den accepterede risiko)

Dit næste skridt...

Hvis du gerne vil bestille en GAP analyse, skal du kontakte Christian Schmidt på e-mail chr@draware.dk eller ringe til os på 45 76 20 21.

Hvis du har brug for en nærmere forklaring på 20 CSC og GAP analysen, gennemgår vi emnet på ca. 1½ time enten on-site eller on-line. Denne service er gratis.

Kontakt os

Nyttige links:

Anmeldelse af sikkerhedsbrud til datatilsynet

Eksempel på tekst til notifikationspligt

 

Info om CIS 20 CSC of ISO27001/2

Se artikel om ISO2700x på siden advisera

CSC mapping -andre frameworks (se side 2)

Den politiske modstand mod enkelte cyber sikkerhedstiltag

Information om, hvordan man kommunikere IT Sikkerhed til ledelsen:

https://www.tenable.com/whitepapers/using-security-metrics-to-drive-action

https://www.tenable.com/infographics/security-assurance

https://www.ponemon.org/local/upload/file/Firemon%20Research%20Report%20FINAL%202.pdf