Hvad er ISO/IEC 27001, informationssikkerhedsstandarden

Den ultimative guide til ISO 27001

ISO/IEC 27001 er en informationssikkerhedsstyringsstandard, der giver organisationer en struktureret ramme til at beskytte deres informationsaktiver og ISMS, der dækker risikovurdering, risikostyring og løbende forbedringer. I denne artikel vil vi undersøge, hvad det er, hvorfor du har brug for det, og hvordan du opnår certificering.

Opnå robust informationssikkerhed med ISO 27001:2022

Vores platform giver din organisation mulighed for at tilpasse sig ISO 27001 og sikrer omfattende sikkerhedsstyring. Denne internationale standard er afgørende for at beskytte følsomme data og forbedre modstandsdygtigheden over for cybertrusler. Med over 70,000 certifikater udstedt globalt understreger ISO 27001's udbredte anvendelse dens betydning for at beskytte informationsaktiver.

Hvorfor ISO 27001 betyder noget

Opnåelse ISO 27001: 2022 certificering lægger vægt på en omfattende, risikobaseret tilgang til at forbedre informationssikkerhedsstyring, der sikrer, at din organisation effektivt administrerer og afbøder potentielle trusler, tilpasset moderne sikkerhedsbehov. Det giver en systematisk metode til håndtering af følsom information, der sikrer, at den forbliver sikker. Certificering kan reducere omkostningerne ved databrud med 30 % og er anerkendt i over 150 lande, hvilket forbedrer internationale forretningsmuligheder og konkurrencefordele.

Hvordan ISO 27001-certificering gavner din virksomhed

Opnå omkostningseffektivitetSpar tid og penge ved at forhindre dyre sikkerhedsbrud. Implementer proaktive risikostyring foranstaltninger til at reducere sandsynligheden for hændelser betydeligt.
Fremskynde salgsvækstenStrømlin din salgsproces ved at reducere omfattende anmodninger om sikkerhedsdokumentation (RFI'er). Vis din overholdelse af internationale informationssikkerhedsstandarder for at forkorte forhandlingstider og lukke handler hurtigere.
Øg kundetillidenDemonstrer dit engagement i informationssikkerhed for at øge kundernes tillid og opbygge varig tillid. Øg kundeloyalitet og fastholde kunder i sektorer som finans, sundhedspleje og IT-services.

Omfattende vejledning om, hvordan man implementerer ISO 27001:2022-certificering

Standardens struktur omfatter et omfattende rammeværk for informationssikkerhedsstyringssystem (ISMS) og en detaljeret implementeringsvejledning til ISO 27001, der integrerer risikostyringsprocesser og kontroller i bilag A. Disse komponenter skaber en holistisk sikkerhedsstrategi, der adresserer forskellige aspekter af sikkerhed (ISO 27001:2022 klausul 4.2). Denne tilgang forbedrer ikke kun sikkerheden, men fremmer også en kultur af bevidsthed og compliance i organisationen.

Strømlining af certificering med ISMS.online

ISMS.online spiller en afgørende rolle i at lette tilpasningen ved at tilbyde værktøjer, der strømliner certificeringsprocessen. Vores platform leverer automatiserede risikovurderinger og overvågning i realtid, hvilket forenkler implementeringen af ISO 27001:2022-kravene. Dette reducerer ikke kun den manuelle indsats, men øger også effektiviteten og nøjagtigheden i at opretholde justeringen.

Slut dig til 25000 + brugere, der opnår ISO 27001 med ISMS.online. Book din gratis demo i dag!

Forståelse af ISO 27001:2022

ISO 27001 er en central standard for forbedring af et Information Security Management System (ISMS), der tilbyder en struktureret ramme til at beskytte følsomme data. Denne ramme integrerer omfattende risikoevalueringsprocesser og bilag A-kontroller og danner en robust sikkerhedsstrategi. Organisationer kan effektivt identificere, analysere og adressere sårbarheder og forbedre deres overordnede sikkerhedsposition.

Nøgleelementer i ISO 27001:2022

ISMS-ramme: Denne grundlæggende komponent etablerer systematiske politikker og procedurer til styring af informationssikkerhed (ISO 27001:2022 paragraf 4.2). Det afstemmer organisatoriske mål med sikkerhedsprotokoller og fremmer en kultur af overholdelse og bevidsthed.
Risikovurdering: Centralt for ISO 27001, denne proces involverer udførelse af grundige vurderinger for at identificere potentielle trusler. Det er afgørende for at implementere passende sikkerhedsforanstaltninger og sikre kontinuerlig overvågning og forbedring.
ISO 27001 kontrol: ISO 27001:2022 skitserer et omfattende sæt af ISO 27001 kontroller i bilag A, designet til at behandle forskellige aspekter af informationssikkerhed. Disse kontroller omfatter foranstaltninger til adgangskontrol, kryptografi, fysisk sikkerhedog incident managementblandt andet. Implementering af disse kontroller sikrer dit informationssikkerhedsstyringssystem (ISMS) reducerer effektivt risici og beskytter følsomme oplysninger.

iso 27001 krav og struktur

Tilpasning til internationale standarder

ISO 27001:2022 er udviklet i samarbejde med Den Internationale Elektrotekniske Kommission (IEC), der sikrer, at standarden stemmer overens med globale bedste praksis inden for informationssikkerhed. Dette partnerskab øger troværdigheden og anvendeligheden af ISO 27001 på tværs af forskellige industrier og regioner.

Hvordan ISO 27001 integreres med andre standarder

ISO 27001:2022 integreres problemfrit med andre standarder som ISO 9001 for kvalitetsstyring, ISO 27002 for adfærdskodeks for informationssikkerhedskontroller og regler som f.eks GDPR, forbedring af overholdelse og operationel effektivitet. Denne integration giver organisationer mulighed for at strømline reguleringsindsatser og tilpasse sikkerhedspraksis med bredere forretningsmål. Den indledende forberedelse involverer en hulanalyse for at identificere områder, der skal forbedres, efterfulgt af en risikoevaluering for at vurdere potentielle trusler. Gennemførelse af bilag A-kontroller sikrer, at omfattende sikkerhedsforanstaltninger er på plads. Finalen revisionsproces, herunder trin 1- og trin 2-audits, verificerer overholdelse og parathed til certificering.

Hvorfor er ISO 27001:2022 vigtigt for organisationer?

ISO 27001 spiller en afgørende rolle i at styrke din organisations databeskyttelse strategier. Det giver en omfattende ramme for håndtering af følsom information, der er tilpasset nutidige cybersikkerhedskrav gennem en risikobaseret tilgang. Denne tilpasning styrker ikke kun forsvar, men sikrer også overholdelse af regler som GDPR, hvilket mindsker potentielle juridiske risici (ISO 27001:2022 paragraf 6.1).

ISO 27001:2022 Integration med andre standarder

ISO 27001 er en del af den bredere ISO-familie af ledelsessystemstandarder. Dette gør det muligt at integrere den problemfrit med andre standarder, såsom:

ISO 9001 (Kvalitetsstyring): Tilpas din kvalitet og informationssikkerhedspraksis for at sikre ensartede driftsstandarder på tværs af begge funktioner.
ISO 22301 (Business Continuity): Styrk din virksomheds modstandskraft ved at integrere sikkerhed og kontinuitetsstyring i et samlet system.
ISO 27701 (Håndtering af privatlivsoplysninger): Beskyt personlige data og sørg for overholdelse af GDPR ved at inkorporere ISO 27701 sammen med ISO 27001.

Denne integrerede tilgang hjælper din organisation med at opretholde robuste driftsstandarder, strømline certificeringsprocessen og forbedre overholdelse.

Hvordan forbedrer ISO 27001:2022 risikostyring?

Struktureret risikostyring: Standarden lægger vægt på systematisk identifikation, vurdering og begrænsning af risici, hvilket fremmer en proaktiv sikkerhedsposition.
Hændelsesreduktion: Organisationer oplever færre brud på grund af de robuste kontroller, der er skitseret i bilag A.
Driftseffektivitet: Strømlinede processer øger effektiviteten og reducerer sandsynligheden for dyre hændelser.

Struktureret risikostyring med ISO 27001:2022

ISO 27001 kræver, at organisationer vedtager en omfattende, systematisk tilgang til risikostyring. Dette omfatter:

Risikoidentifikation og -vurdering: Identificer potentielle trusler mod følsomme data og evaluer alvoren og sandsynligheden for disse risici (ISO 27001:2022 paragraf 6.1).
Risikobehandling: Vælg passende behandlingsmuligheder, såsom at afbøde, overføre, undgå eller acceptere risici. Med tilføjelsen af nye muligheder som at udnytte og forbedre, kan organisationer tage kalkulerede risici for at udnytte muligheder.

Hvert af disse trin skal revideres regelmæssigt for at sikre, at risikolandskabet løbende overvåges og afbødes efter behov.

Hvad er fordelene for tillid og omdømme?

Certificering betyder en forpligtelse til databeskyttelse, hvilket forbedrer din virksomheds omdømme og kundernes tillid. Certificerede organisationer oplever ofte en stigning på 20 % i kundetilfredsheden, da kunder sætter pris på forsikringen om sikker datahåndtering.

Hvordan ISO 27001-certificering påvirker kundernes tillid og salg

Øget kundetillid: Når potentielle kunder ser, at din organisation er ISO 27001-certificeret, øger det automatisk deres tillid til din evne til at beskytte følsomme oplysninger. Denne tillid er afgørende for sektorer, hvor datasikkerhed er en afgørende faktor, såsom sundhedspleje, finans og offentlige kontrakter.
Hurtigere salgscyklusser: ISO 27001-certificering reducerer den tid, der bruges på at besvare sikkerhedsspørgeskemaer under indkøbsprocessen. Potentielle kunder vil se din certificering som en garanti for høje sikkerhedsstandarder, hvilket fremskynder beslutningstagningen.
Konkurrencefordel: ISO 27001-certificering positionerer din virksomhed som førende inden for informationssikkerhed, hvilket giver dig et forspring i forhold til konkurrenter, som muligvis ikke har denne certificering.

Hvordan giver ISO 27001:2022 konkurrencefordele?

ISO 27001 åbner op for internationale forretningsmuligheder, som er anerkendt i over 150 lande. Den dyrker en kultur præget af sikkerhedsbevidsthed, påvirker organisationskulturen positivt og fremmer løbende forbedringer og modstandsdygtighed, hvilket er afgørende for at trives i dagens digitale miljø.

Hvordan kan ISO 27001 understøtte reguleringsoverholdelse?

At tilpasse sig ISO 27001 hjælper med at navigere i komplekse regulatoriske landskaber og sikrer overholdelse af forskellige lovkrav. Denne tilpasning reducerer potentielle juridiske forpligtelser og forbedrer den overordnede styring.

At inkorporere ISO 27001:2022 i din organisation styrker ikke kun din databeskyttelsesramme, men bygger også et fundament for bæredygtig vækst og tillid på det globale marked.

Forbedring af risikostyring med ISO 27001:2022

ISO 27001:2022 tilbyder et robust rammeværk for håndtering af informationssikkerhedsrisici, hvilket er afgørende for at beskytte din organisations følsomme data. Denne standard lægger vægt på en systematisk tilgang til risikovurdering, der sikrer, at potentielle trusler identificeres, vurderes og afbødes effektivt.

Hvordan strukturerer ISO 27001 risikostyring?

ISO 27001:2022 integrerer risikoevaluering i Information Security Management System (ISMS), der involverer:

Risikovurdering: Udførelse af grundige evalueringer for at identificere og analysere potentielle trusler og sårbarheder (ISO 27001:2022 paragraf 6.1).
Risikobehandling: Implementering af strategier til at mindske identificerede risici ved at bruge kontroller skitseret i bilag A for at reducere sårbarheder og trusler.
Kontinuerlig overvågning: Regelmæssig gennemgang og opdatering af praksis for at tilpasse sig nye trusler og opretholde sikkerhedseffektivitet.

Hvilke teknikker og strategier er nøglen?

Effektiv risikostyring i henhold til ISO 27001:2022 involverer:

Risikovurdering og analyse: Brug af metoder som SWOT-analyse og trusselsmodellering til at evaluere risici omfattende.
Risikobehandling og reduktion: Anvendelse af kontroller fra bilag A for at imødegå specifikke risici, hvilket sikrer en proaktiv tilgang til sikkerhed.
Kontinuerlig forbedring: Fremme af en sikkerhedsfokuseret kultur, der tilskynder til løbende evaluering og forbedring af risikostyringspraksis.

Hvordan kan rammen skræddersyes til din organisation?

ISO 27001:2022's rammeværk kan tilpasses din organisations specifikke behov og sikre, at sikkerhedsforanstaltningerne stemmer overens med forretningsmål og lovgivningsmæssige krav. Ved at fremme en kultur af proaktiv risikostyring oplever organisationer med ISO 27001-certificering færre sikkerhedsbrud og forbedret modstandsdygtighed over for cybertrusler. Denne tilgang beskytter ikke kun dine data, men opbygger også tillid hos interessenter, hvilket forbedrer din organisations omdømme og konkurrencefordel.

Nøgleændringer i ISO 27001:2022

ISO 27001:2022 introducerer centrale opdateringer, der styrker dens rolle i moderne cybersikkerhed. De væsentligste ændringer findes i bilag A, som nu omfatter avancerede foranstaltninger til digital sikkerhed og proaktiv trusselshåndtering. Disse revisioner adresserer den udviklende karakter af sikkerhedsudfordringer, især den stigende afhængighed af digitale platforme.

Nøgleforskelle mellem ISO 27001:2022 og tidligere versioner

Forskellene mellem 2013- og 2022-versionerne af ISO 27001 er afgørende for at forstå den opdaterede standard. Selvom der ikke er nogen omfattende eftersyn, sikrer justeringerne i bilag A kontroller og andre områder, at standarden forbliver relevant for moderne cybersikkerhedsudfordringer. De vigtigste ændringer omfatter:

Omstrukturering af bilag A-kontrol: Bilag A-kontroller er blevet kondenseret fra 114 til 93, hvor nogle er blevet slået sammen, revideret eller nyligt tilføjet. Disse ændringer afspejler det nuværende cybersikkerhedsmiljø, hvilket gør kontrollerne mere strømlinede og fokuserede.
Nye fokusområder: De 11 nye kontroller, der introduceres i ISO 27001:2022, omfatter områder som trusselsintelligens, fysisk sikkerhedsovervågning, sikker kodning og cloudservicesikkerhed, der adresserer stigningen i digitale trusler og den øgede afhængighed af cloudbaserede løsninger.

Forståelse af bilag A kontroller

Forbedrede sikkerhedsprotokoller: Bilag A indeholder nu 93 kontroller, med nye tilføjelser, der fokuserer på digital sikkerhed og proaktiv trusselshåndtering. Disse kontroller er designet til at mindske nye risici og sikre robust beskyttelse af informationsaktiver.
Fokus på digital sikkerhed: Efterhånden som digitale platforme bliver en integreret del af driften, lægger ISO 27001:2022 vægt på at sikre digitale miljøer, sikre dataintegritet og sikre mod uautoriseret adgang.
Proaktiv trusselshåndtering: Nye kontroller gør det muligt for organisationer at forudse og reagere på potentielle sikkerhedshændelser mere effektivt, hvilket styrker deres overordnede sikkerhedsposition.

Detaljeret opdeling af bilag A kontroller i ISO 27001:2022

ISO 27001:2022 introducerer et revideret sæt af bilag A-kontroller, hvilket reducerer det samlede antal fra 114 til 93 og omstrukturerer dem i fire hovedgrupper. Her er en oversigt over kontrolkategorierne:

Kontrolgruppe	Antal kontroller	Eksempler
Organisatorisk	37	Trusselintelligens, IKT-beredskab, informationssikkerhedspolitikker
Medarbejdere	8	Ansvar for sikkerhed, screening
Fysisk	14	Fysisk sikkerhedsovervågning, udstyrsbeskyttelse
Teknologisk	34	Webfiltrering, sikker kodning, forebyggelse af datalækage

Ny kontrol
ISO 27001:2022 introducerer 11 nye kontroller med fokus på nye teknologier og udfordringer, herunder:

Cloud-tjenester: Sikkerhedsforanstaltninger for cloud-infrastruktur.
Trusselsintelligens: Proaktiv identifikation af sikkerhedstrusler.
IKT-beredskab: Forretningskontinuitetsforberedelser til IKT-systemer.

Ved at implementere disse kontroller sikrer organisationer, at de er rustet til at håndtere moderne informationssikkerhedsudfordringer.

iso 27002 nye kontroller

Komplet tabel over ISO 27001-kontroller

Nedenfor er en komplet liste over ISO 27001:2022 kontroller

ISO 27001:2022 Organisationskontrol

Bilag A Kontroltype	ISO/IEC 27001:2022 Bilag A Identifikator	ISO/IEC 27001:2013 Bilag A Identifikator	Bilag A Navn
Organisatoriske kontroller	Bilag A 5.1	Bilag A 5.1.1 Bilag A 5.1.2	Politikker for informationssikkerhed
Organisatoriske kontroller	Bilag A 5.2	Bilag A 6.1.1	Informationssikkerhedsroller og -ansvar
Organisatoriske kontroller	Bilag A 5.3	Bilag A 6.1.2	Adskillelse af opgaver
Organisatoriske kontroller	Bilag A 5.4	Bilag A 7.2.1	Ledelsesansvar
Organisatoriske kontroller	Bilag A 5.5	Bilag A 6.1.3	Kontakt med myndigheder
Organisatoriske kontroller	Bilag A 5.6	Bilag A 6.1.4	Kontakt med særlige interessegrupper
Organisatoriske kontroller	Bilag A 5.7	NY	Threat Intelligence
Organisatoriske kontroller	Bilag A 5.8	Bilag A 6.1.5 Bilag A 14.1.1	Informationssikkerhed i projektledelse
Organisatoriske kontroller	Bilag A 5.9	Bilag A 8.1.1 Bilag A 8.1.2	Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontroller	Bilag A 5.10	Bilag A 8.1.3 Bilag A 8.2.3	Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontroller	Bilag A 5.11	Bilag A 8.1.4	Tilbagelevering af aktiver
Organisatoriske kontroller	Bilag A 5.12	Bilag A 8.2.1	Klassificering af oplysninger
Organisatoriske kontroller	Bilag A 5.13	Bilag A 8.2.2	Mærkning af information
Organisatoriske kontroller	Bilag A 5.14	Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3	Informationsoverførsel
Organisatoriske kontroller	Bilag A 5.15	Bilag A 9.1.1 Bilag A 9.1.2	Adgangskontrol
Organisatoriske kontroller	Bilag A 5.16	Bilag A 9.2.1	Identitetsstyring
Organisatoriske kontroller	Bilag A 5.17	Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3	Autentificeringsoplysninger
Organisatoriske kontroller	Bilag A 5.18	Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6	Adgangsrettigheder
Organisatoriske kontroller	Bilag A 5.19	Bilag A 15.1.1	Informationssikkerhed i leverandørforhold
Organisatoriske kontroller	Bilag A 5.20	Bilag A 15.1.2	Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontroller	Bilag A 5.21	Bilag A 15.1.3	Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontroller	Bilag A 5.22	Bilag A 15.2.1 Bilag A 15.2.2	Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontroller	Bilag A 5.23	NY	Informationssikkerhed til brug af skytjenester
Organisatoriske kontroller	Bilag A 5.24	Bilag A 16.1.1	Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontroller	Bilag A 5.25	Bilag A 16.1.4	Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontroller	Bilag A 5.26	Bilag A 16.1.5	Reaktion på informationssikkerhedshændelser
Organisatoriske kontroller	Bilag A 5.27	Bilag A 16.1.6	Lær af informationssikkerhedshændelser
Organisatoriske kontroller	Bilag A 5.28	Bilag A 16.1.7	Indsamling af beviser
Organisatoriske kontroller	Bilag A 5.29	Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3	Informationssikkerhed under afbrydelse
Organisatoriske kontroller	Bilag A 5.30	NY	IKT-beredskab til forretningskontinuitet
Organisatoriske kontroller	Bilag A 5.31	Bilag A 18.1.1 Bilag A 18.1.5	Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontroller	Bilag A 5.32	Bilag A 18.1.2	Intellektuelle ejendomsrettigheder
Organisatoriske kontroller	Bilag A 5.33	Bilag A 18.1.3	Beskyttelse af optegnelser
Organisatoriske kontroller	Bilag A 5.34	Bilag A 18.1.4	Privatliv og beskyttelse af PII
Organisatoriske kontroller	Bilag A 5.35	Bilag A 18.2.1	Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontroller	Bilag A 5.36	Bilag A 18.2.2 Bilag A 18.2.3	Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontroller	Bilag A 5.37	Bilag A 12.1.1	Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A Kontroltype	ISO/IEC 27001:2022 Bilag A Identifikator	ISO/IEC 27001:2013 Bilag A Identifikator	Bilag A Navn
People Controls	Bilag A 6.1	Bilag A 7.1.1	Screening
People Controls	Bilag A 6.2	Bilag A 7.1.2	Ansættelsesvilkår
People Controls	Bilag A 6.3	Bilag A 7.2.2	Informationssikkerhedsbevidsthed, uddannelse og træning
People Controls	Bilag A 6.4	Bilag A 7.2.3	Disciplinær proces
People Controls	Bilag A 6.5	Bilag A 7.3.1	Ansvar efter opsigelse eller ændring af ansættelse
People Controls	Bilag A 6.6	Bilag A 13.2.4	Aftaler om fortrolighed eller tavshedspligt
People Controls	Bilag A 6.7	Bilag A 6.2.2	Fjernbetjening
People Controls	Bilag A 6.8	Bilag A 16.1.2 Bilag A 16.1.3	Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A Kontroltype	ISO/IEC 27001:2022 Bilag A Identifikator	ISO/IEC 27001:2013 Bilag A Identifikator	Bilag A Navn
Fysiske kontroller	Bilag A 7.1	Bilag A 11.1.1	Fysiske sikkerhedsomkredse
Fysiske kontroller	Bilag A 7.2	Bilag A 11.1.2 Bilag A 11.1.6	Fysisk adgang
Fysiske kontroller	Bilag A 7.3	Bilag A 11.1.3	Sikring af kontorer, lokaler og faciliteter
Fysiske kontroller	Bilag A 7.4	NY	Fysisk sikkerhedsovervågning
Fysiske kontroller	Bilag A 7.5	Bilag A 11.1.4	Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontroller	Bilag A 7.6	Bilag A 11.1.5	Arbejde i sikre områder
Fysiske kontroller	Bilag A 7.7	Bilag A 11.2.9	Clear Desk og Clear Screen
Fysiske kontroller	Bilag A 7.8	Bilag A 11.2.1	Udstyrsplacering og beskyttelse
Fysiske kontroller	Bilag A 7.9	Bilag A 11.2.6	Sikkerhed af aktiver uden for lokalerne
Fysiske kontroller	Bilag A 7.10	Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5	Storage Media
Fysiske kontroller	Bilag A 7.11	Bilag A 11.2.2	Understøttende hjælpeprogrammer
Fysiske kontroller	Bilag A 7.12	Bilag A 11.2.3	Kabler sikkerhed
Fysiske kontroller	Bilag A 7.13	Bilag A 11.2.4	Vedligeholdelse af udstyr
Fysiske kontroller	Bilag A 7.14	Bilag A 11.2.7	Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A Kontroltype	ISO/IEC 27001:2022 Bilag A Identifikator	ISO/IEC 27001:2013 Bilag A Identifikator	Bilag A Navn
Teknologisk kontrol	Bilag A 8.1	Bilag A 6.2.1 Bilag A 11.2.8	Brugerendepunktsenheder
Teknologisk kontrol	Bilag A 8.2	Bilag A 9.2.3	Privilegerede adgangsrettigheder
Teknologisk kontrol	Bilag A 8.3	Bilag A 9.4.1	Begrænsning af informationsadgang
Teknologisk kontrol	Bilag A 8.4	Bilag A 9.4.5	Adgang til kildekode
Teknologisk kontrol	Bilag A 8.5	Bilag A 9.4.2	Sikker godkendelse
Teknologisk kontrol	Bilag A 8.6	Bilag A 12.1.3	Kapacitetsstyring
Teknologisk kontrol	Bilag A 8.7	Bilag A 12.2.1	Beskyttelse mod malware
Teknologisk kontrol	Bilag A 8.8	Bilag A 12.6.1 Bilag A 18.2.3	Håndtering af tekniske sårbarheder
Teknologisk kontrol	Bilag A 8.9	NY	Configuration Management
Teknologisk kontrol	Bilag A 8.10	NY	Sletning af oplysninger
Teknologisk kontrol	Bilag A 8.11	NY	Datamaskering
Teknologisk kontrol	Bilag A 8.12	NY	Forebyggelse af datalækage
Teknologisk kontrol	Bilag A 8.13	Bilag A 12.3.1	Backup af information
Teknologisk kontrol	Bilag A 8.14	Bilag A 17.2.1	Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrol	Bilag A 8.15	Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3	Logning
Teknologisk kontrol	Bilag A 8.16	NY	Overvågningsaktiviteter
Teknologisk kontrol	Bilag A 8.17	Bilag A 12.4.4	Ursynkronisering
Teknologisk kontrol	Bilag A 8.18	Bilag A 9.4.4	Brug af privilegerede hjælpeprogrammer Adgangsrettigheder
Teknologisk kontrol	Bilag A 8.19	Bilag A 12.5.1 Bilag A 12.6.2	Installation af software på operationelle systemer
Teknologisk kontrol	Bilag A 8.20	Bilag A 13.1.1	Netværkssikkerhed
Teknologisk kontrol	Bilag A 8.21	Bilag A 13.1.2	Sikkerhed af netværkstjenester
Teknologisk kontrol	Bilag A 8.22	Bilag A 13.1.3	Adskillelse af netværk
Teknologisk kontrol	Bilag A 8.23	NY	Webfiltrering
Teknologisk kontrol	Bilag A 8.24	Bilag A 10.1.1 Bilag A 10.1.2	Brug af kryptografi
Teknologisk kontrol	Bilag A 8.25	Bilag A 14.2.1	Sikker udviklingslivscyklus
Teknologisk kontrol	Bilag A 8.26	Bilag A 14.1.2 Bilag A 14.1.3	Applikationssikkerhedskrav
Teknologisk kontrol	Bilag A 8.27	Bilag A 14.2.5	Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser
Teknologisk kontrol	Bilag A 8.28	NY	Sikker kodning
Teknologisk kontrol	Bilag A 8.29	Bilag A 14.2.8 Bilag A 14.2.9	Sikkerhedstest i udvikling og accept
Teknologisk kontrol	Bilag A 8.30	Bilag A 14.2.7	Udliciteret udvikling
Teknologisk kontrol	Bilag A 8.31	Bilag A 12.1.4 Bilag A 14.2.6	Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrol	Bilag A 8.32	Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4	Change Management
Teknologisk kontrol	Bilag A 8.33	Bilag A 14.3.1	Testinformation
Teknologisk kontrol	Bilag A 8.34	Bilag A 12.7.1	Beskyttelse af informationssystemer under revisionstest

Navigering af implementeringsudfordringer

Organisationer kan stå over for udfordringer såsom ressourcebegrænsninger og utilstrækkelig ledelsesstøtte, når de implementerer disse opdateringer. Effektiv ressourceallokering og interessentengagement er afgørende for at opretholde momentum og opnå vellykket overholdelse. Regelmæssige træningssessioner kan hjælpe med at præcisere standardens krav og dermed reducere compliance-udfordringer.

Tilpasning til skiftende sikkerhedstrusler

Disse opdateringer demonstrerer ISO 27001:2022's tilpasningsevne til det skiftende sikkerhedsmiljø og sikrer, at organisationer forbliver modstandsdygtige over for nye trusler. Ved at tilpasse sig disse forbedrede krav kan din organisation styrke sit sikkerhedsrammeværk, forbedre compliance-processer og opretholde en konkurrencefordel på det globale marked.

Hvordan kan organisationer med succes opnå ISO 27001-certificering?

At opnå ISO 27001:2022 kræver en metodisk tilgang, der sikrer, at din organisation overholder standardens omfattende krav. Her er en detaljeret vejledning til at navigere effektivt i denne proces:

Kickstart din certificering med en grundig kløftanalyse

Identificer forbedringsområder med en omfattende gap-analyse. Vurder nuværende praksis i forhold til ISO 27001-standarden for at identificere uoverensstemmelser. Udvikl en detaljeret projektplan, der beskriver mål, tidslinjer og ansvar. Involver interessenter tidligt for at sikre opbakning og allokere ressourcer effektivt.

Implementer et effektivt ISMS

Etabler og implementer et Information Security Management System (ISMS), der er skræddersyet til dine organisatoriske mål. Implementer de 93 bilag A-kontroller, med vægt på risikovurdering og -behandling (ISO 27001:2022, paragraf 6.1). Vores platform, ISMS.online, automatiserer overholdelsesopgaver, reducerer manuel indsats og øger præcisionen.

Udfør regelmæssige interne revisioner

Adfærd regelmæssige interne revisioner at evaluere effektiviteten af jeres ISMS. Ledelsesevalueringer er afgørende for præstationsevaluering og nødvendige justeringer (ISO 27001:2022 klausul 9.3). ISMS.online letter samarbejde i realtid, hvilket øger teamets effektivitet og revisionsberedskab.

Engagere sig med certificeringsorganer

Vælg et akkrediteret certificeringsorgan og tidsplan revisionsprocessen, herunder trin 1 og trin 2 revisioner. Sørg for, at al dokumentation er komplet og tilgængelig. ISMS.online tilbyder skabeloner og ressourcer til at forenkle dokumentation og spore fremskridt.

Overvind almindelige udfordringer med en gratis konsultation

Overvind ressourcebegrænsninger og modstand mod forandring ved at fremme en kultur med sikkerhedsbevidsthed og løbende forbedringer. Vores platform understøtter opretholdelse af tilpasning over tid, og hjælper din organisation med at opnå og opretholde certificering.

Planlæg en gratis konsultation for at håndtere ressourcebegrænsninger og håndtere modstand mod forandring. Lær, hvordan ISMS.online kan understøtte din implementering og sikre en vellykket certificering.

ISO 27001:2022 og krav til leverandørforhold

ISO 27001:2022 har indført nye krav for at sikre, at organisationer opretholder robuste leverandør- og tredjepartsstyringsprogrammer. Dette omfatter:

Identifikation og vurdering af leverandører: Organisationer skal identificere og analysere tredjepartsleverandører, der påvirker informationssikkerheden. En grundig risikovurdering for hver leverandør er obligatorisk for at sikre overholdelse af dit ISMS.
Leverandørsikkerhedskontrol: Sørg for, at dine leverandører implementerer tilstrækkelige sikkerhedskontroller, og at disse regelmæssigt gennemgås. Dette strækker sig til at sikre, at kundeserviceniveauer og beskyttelse af personlige data ikke påvirkes negativt.
Revision af leverandørerOrganisationer bør regelmæssigt revidere deres leverandørers processer og systemer. Dette er i overensstemmelse med de nye ISO 27001:2022-krav, der sikrer, at leverandørernes overholdelse af reglerne opretholdes, og at risici fra tredjepartspartnerskaber mindskes.

Forbedret medarbejders cybersikkerhedsbevidsthed

ISO 27001:2022 understreger fortsat vigtigheden af medarbejderbevidsthed. Implementering af politikker for løbende uddannelse og træning er afgørende. Denne tilgang sikrer, at dine medarbejdere ikke kun er opmærksomme på sikkerhedsrisici, men også er i stand til aktivt at deltage i at afbøde disse risici.

Forebyggelse af menneskelige fejl: Virksomheder bør investere i træningsprogrammer, der har til formål at forhindre menneskelige fejl, en af de førende årsager til sikkerhedsbrud.
Klar politikudvikling: Etabler klare retningslinjer for medarbejdernes adfærd vedrørende datasikkerhed. Dette inkluderer oplysningsprogrammer om phishing, adgangskodeadministration og mobilenhedssikkerhed.
Sikkerhedskultur: Fremme en sikkerhedsbevidst kultur, hvor medarbejdere føler sig bemyndiget til at rejse bekymringer om cybersikkerhedstrusler. Et miljø præget af åbenhed hjælper organisationer med at tackle risici, før de bliver til hændelser.

ISO 27001:2022 Krav til menneskelig ressourcesikkerhed

En af de væsentlige forbedringer i ISO 27001:2022 er dets udvidede fokus på menneskelig ressourcesikkerhed. Dette involverer:

Personalescreening: Klare retningslinjer for personalescreening før ansættelse er afgørende for at sikre, at medarbejdere med adgang til følsomme oplysninger opfylder de nødvendige sikkerhedsstandarder.
Træning og bevidsthedLøbende uddannelse er nødvendig for at sikre, at personalet er fuldt ud bekendt med organisationens sikkerhedspolitikker og -procedurer.
Disciplinære handlinger: Definer klare konsekvenser for overtrædelser af politikker, og sørg for, at alle medarbejdere forstår vigtigheden af at overholde sikkerhedskravene.

Disse kontroller sikrer, at organisationer håndterer både interne og eksterne personalesikkerhedsrisici effektivt.

Medarbejderbevidsthedsprogrammer og sikkerhedskultur

Fremme af en kultur med sikkerhedsbevidsthed er afgørende for at opretholde et stærkt forsvar mod cybertrusler under udvikling. ISO 27001:2022 fremmer løbende uddannelses- og oplysningsprogrammer for at sikre, at alle medarbejdere, fra ledelse til personale, er involveret i at opretholde informationssikkerhedsstandarder.

Phishing-simuleringer og sikkerhedsøvelser: Gennemførelse af regelmæssige sikkerhedsøvelser og phishing-simuleringer hjælper med at sikre, at medarbejderne er parate til at håndtere cyberhændelser.
Interaktive workshops: Engager medarbejderne i praktiske træningssessioner, der styrker vigtige sikkerhedsprotokoller, hvilket forbedrer den overordnede organisatoriske bevidsthed.

Kontinuerlig forbedring og cybersikkerhedskultur

Endelig fortaler ISO 27001:2022 for en kultur for løbende forbedring, hvor organisationer konsekvent evaluerer og opdaterer deres sikkerhedspolitikker. Denne proaktive holdning er integreret i at opretholde compliance og sikre, at organisationen er på forkant med nye trusler.

Sikkerhedsstyring: Regelmæssige opdateringer af sikkerhedspolitikker og revisioner af cybersikkerhedspraksis sikrer løbende overholdelse af ISO 27001:2022.
Proaktiv risikostyring: Opmuntring af en kultur, der prioriterer risikovurdering og afbødning, giver organisationer mulighed for at forblive lydhøre over for nye cybertrusler.

Optimal timing for ISO 27001 vedtagelse

At implementere ISO 27001:2022 er en strategisk beslutning, der afhænger af din organisations parathed og mål. Det ideelle tidspunkt er ofte i perioder med vækst eller digital transformation, hvor forbedring af sikkerhedsrammer kan forbedre forretningsresultaterne betydeligt. Tidlig implementering giver en konkurrencefordel, da certificering er anerkendt i over 150 lande, hvilket udvider internationale forretningsmuligheder.

Udførelse af en parathedsvurdering

For at sikre en problemfri adoption skal du udføre en grundig beredskabsvurdering for at evaluere nuværende sikkerhedspraksis i forhold til opdateret standard. Dette indebærer:

Gap-analyse: Identificer områder, der skal forbedres, og afstem dem med kravene i ISO 27001:2022.
Resource Allocation: Sørg for, at der er tilstrækkelige ressourcer, herunder personale, teknologi og budget, til rådighed for at understøtte vedtagelsen.
Interessentengagement: Sikker buy-in fra nøgleinteressenter for at lette en smidig adoptionsproces.

At tilpasse certificering til strategiske mål

At tilpasse certificering til strategiske mål forbedrer forretningsresultater. Overvej:

Tidslinje og deadlines: Vær opmærksom på branchespecifikke frister for overholdelse for at undgå sanktioner.
Kontinuerlig forbedring: Fremme en kultur med løbende evaluering og forbedring af sikkerhedspraksis.

Brug af ISMS.online til effektiv ledelse

Vores platform, ISMS.online, spiller en afgørende rolle i at administrere adoptionen effektivt. Det tilbyder værktøjer til at automatisere overholdelsesopgaver, reducere manuel indsats og levere samarbejdsfunktioner i realtid. Dette sikrer, at din organisation kan opretholde overholdelse og spore fremskridt effektivt gennem hele adoptionsprocessen.

Ved strategisk planlægning og brug af de rigtige værktøjer kan din organisation navigere problemfrit i vedtagelsen af ISO 27001:2022, hvilket sikrer robust sikkerhed og overholdelse.

Hvor stemmer ISO 27001:2022 overens med andre regulatoriske standarder?

ISO 27001 spiller en væsentlig rolle i tilpasningen til vigtige lovgivningsmæssige rammer, såsom GDPR og NIS 2, for at forbedre databeskyttelsen og strømline overholdelse af lovgivningen. Denne tilpasning styrker ikke kun databeskyttelse, men forbedrer også organisatorisk modstandskraft på tværs af flere rammer.

Hvordan forbedrer ISO 27001:2022 GDPR-overholdelse?

ISO 27001:2022 supplerer GDPR ved at fokusere på databeskyttelse og privatliv gennem sine omfattende risikostyringsprocesser (ISO 27001:2022 klausul 6.1). Standardens vægtning af beskyttelse af personoplysninger er i overensstemmelse med GDPR's strenge krav og sikrer robuste databeskyttelsesstrategier.

Hvilken rolle spiller ISO 27001:2022 i at understøtte NIS 2-direktiver?

Standarden understøtter NIS 2-direktiverne ved at forbedre cybersikkerhedens modstandsdygtighed. ISO 27001:2022's fokus på trusselsefterretninger og hændelsesrespons stemmer overens med NIS 2's mål om at styrke organisationer mod cybertrusler og sikre kontinuitet i kritiske tjenester.

Hvordan integreres ISO 27001:2022 med andre ISO-standarder?

ISO 27001 integreres effektivt med andre ISO-standarder, såsom ISO 9001 og ISO 14001, der skaber synergier, der forbedrer den overordnede reguleringstilpasning og operationelle effektivitet. Denne integration letter en samlet tilgang til styring af kvalitets-, miljø- og sikkerhedsstandarder i en organisation.

Hvordan kan organisationer opnå omfattende lovgivningsmæssig tilpasning til ISO 27001:2022?

Organisationer kan opnå omfattende lovgivningsmæssig tilpasning ved at synkronisere deres sikkerhedspraksis med bredere krav. Vores platform, ISMS.online, tilbyder omfattende certificeringssupport og giver værktøjer og ressourcer til at forenkle processen. Brancheforeninger og webinarer øger forståelsen og implementeringen yderligere, hvilket sikrer, at organisationer forbliver kompatible og konkurrencedygtige.

Kan ISO 27001:2022 effektivt afbøde nye sikkerhedsudfordringer?

Nye trusler, herunder cyberangreb og databrud, kræver robuste strategier. ISO 27001:2022 tilbyder en omfattende ramme for styring af risici, der lægger vægt på en risikobaseret tilgang til at identificere, vurdere og afbøde potentielle trusler.

Hvordan forbedrer ISO 27001:2022 reduktion af cybertrusler?

ISO 27001:2022 styrker afbødning gennem strukturerede risikostyringsprocesser. Ved at implementere bilag A-kontroller kan organisationer proaktivt adressere sårbarheder og reducere cyberhændelser. Denne proaktive holdning opbygger tillid til kunder og partnere, og adskiller virksomheder på markedet.

Hvilke foranstaltninger sikrer cloud-sikkerhed med ISO 27001:2022?

Cloudsikkerhedsudfordringer er fremherskende, når organisationer migrerer til digitale platforme. ISO 27001:2022 omfatter specifikke kontroller til cloudmiljøer, der sikrer dataintegritet og sikrer mod uautoriseret adgang. Disse tiltag fremmer kundeloyalitet og øger markedsandele.

Hvordan forhindrer ISO 27001:2022 databrud?

Databrud udgør betydelige risici, som påvirker omdømme og finansiel stabilitet. ISO 27001:2022 etablerer omfattende protokoller, der sikrer kontinuerlig overvågning og forbedring. Certificerede organisationer oplever ofte færre brud og opretholder effektive sikkerhedsforanstaltninger.

Hvordan kan organisationer tilpasse sig udviklende trusselslandskaber?

Organisationer kan tilpasse ISO 27001:2022 til nye trusler ved regelmæssigt at opdatere sikkerhedspraksis. Denne tilpasningsevne sikrer tilpasning til nye trusler og opretholder robuste forsvar. Ved at demonstrere en forpligtelse til sikkerhed opnår certificerede organisationer en konkurrencefordel og foretrækkes af kunder og partnere.

At dyrke en sikkerhedskultur med ISO 27001-overensstemmelse

ISO 27001 fungerer som en hjørnesten i udviklingen af en robust sikkerhedskultur ved at lægge vægt på bevidsthed og omfattende træning. Denne tilgang styrker ikke kun din organisations sikkerhedsposition, men er også i overensstemmelse med de nuværende cybersikkerhedsstandarder.

Sådan øger du sikkerhedsbevidsthed og træning

Sikkerhedsbevidsthed er en integreret del af ISO 27001:2022, hvilket sikrer, at dine medarbejdere forstår deres roller i at beskytte informationsaktiver. Skræddersyede træningsprogrammer giver personalet mulighed for at genkende og reagere på trusler effektivt, hvilket minimerer hændelsesrisici.

Hvad er effektive træningsstrategier?

Organisationer kan forbedre træningen ved at:

Interaktive workshops: Gennemfør engagerende sessioner, der styrker sikkerhedsprotokollerne.
E-læringsmoduler: Tilbyder fleksible onlinekurser til kontinuerlig læring.
Simulerede øvelser: Implementer phishing-simuleringer og hændelsesreaktionsøvelser for at teste beredskab.

Hvordan påvirker lederskab sikkerhedskulturen?

Ledelse spiller en central rolle i indlejring af en sikkerhedsfokuseret kultur. Ved at prioritere sikkerhedsinitiativer og gå foran med et godt eksempel, indgyder ledelsen ansvar og årvågenhed i hele organisationen, hvilket gør sikkerheden integreret i den organisatoriske etos.

Hvad er de langsigtede fordele ved sikkerhedsbevidsthed?

ISO 27001:2022 tilbyder vedvarende forbedringer og risikoreduktion, hvilket øger troværdigheden og giver en konkurrencefordel. Organisationer rapporterer om øget driftseffektivitet og reducerede omkostninger, hvilket understøtter vækst og åbner nye muligheder.

Hvordan understøtter ISMS.online din sikkerhedskultur?

Vores platform, ISMS.online, hjælper organisationer ved at tilbyde værktøjer til at spore træningsfremskridt og fremme samarbejde i realtid. Dette sikrer, at sikkerhedsbevidstheden opretholdes og løbende forbedres i overensstemmelse med ISO 27001:2022's mål.

Navigering af udfordringer i ISO 27001:2022 implementering

Implementering af ISO 27001:2022 indebærer at overvinde betydelige udfordringer, såsom at håndtere begrænsede ressourcer og håndtere modstand mod forandring. Disse forhindringer skal håndteres for at opnå certificering og forbedre din organisations informationssikkerhedsposition.

Identifikation af fælles implementeringshinder

Organisationer har ofte vanskeligheder med at allokere tilstrækkelige ressourcer, både økonomiske og menneskelige, til at opfylde ISO 27001:2022's omfattende krav. Modstand mod at implementere nye sikkerhedspraksisser kan også hæmme fremskridt, da medarbejdere kan være tøvende med at ændre etablerede arbejdsgange.

Effektive ressourcestyringsstrategier

For at optimere ressourcestyring, prioriter opgaver baseret på risikovurderingsresultater, med fokus på områder med stor indvirkning (ISO 27001:2022 paragraf 6.1). Vores platform, ISMS.online, automatiserer overholdelsesopgaver, reducerer manuel indsats og sikrer, at kritiske områder får den nødvendige opmærksomhed.

Overvinde modstand mod forandring

Effektiv kommunikation og træning er nøglen til at afbøde modstand. Engager medarbejderne i implementeringsprocessen ved at fremhæve fordelene ved ISO 27001:2022, såsom forbedret databeskyttelse og GDPR-tilpasning. Regelmæssige træningssessioner kan fremme en kultur af sikkerhedsbevidsthed og overholdelse.

Forbedring af implementering med ISMS.online

ISMS.online spiller en central rolle i at overvinde disse udfordringer ved at levere værktøjer, der forbedrer samarbejdet og strømliner dokumentation. Vores platform understøtter integrerede overholdelsesstrategier, der tilpasser ISO 27001 til standarder som ISO 9001, hvorved den overordnede effektivitet og overholdelse af lovgivningen forbedres. Ved at forenkle implementeringsprocessen hjælper ISMS.online din organisation med at opnå og vedligeholde ISO 27001:2022-certificering effektivt.

Hvad er de vigtigste forskelle mellem ISO 27001:2022 og tidligere versioner?

ISO 27001:2022 introducerer afgørende opdateringer for at imødekomme de skiftende sikkerhedskrav og øge dens relevans i nutidens digitale miljø. En væsentlig ændring er udvidelsen af Annex A-kontrollerne, der nu er i alt 93, og som inkluderer nye foranstaltninger til cloudsikkerhed og trusselsinformation. Disse tilføjelser understreger den voksende betydning af digitale økosystemer og proaktiv trusselsstyring.

Indvirkning på overholdelse og certificering
Opdateringerne i ISO 27001:2022 kræver justeringer i overholdelsesprocesser. Din organisation skal integrere disse nye kontroller i sine informationssikkerhedsstyringssystemer (ISMS) for at sikre overensstemmelse med de seneste krav (ISO 27001:2022 paragraf 6.1). Denne integration strømliner certificering ved at give en omfattende ramme til styring af informationsrisici.

Nye kontroller og deres betydning
Indførelsen af kontroller fokuseret på skysikkerhed og trusselsintelligens er bemærkelsesværdig. Disse kontroller hjælper din organisation med at beskytte data i komplekse digitale miljøer og adresserer sårbarheder, der er unikke for cloud-systemer. Ved at implementere disse foranstaltninger kan du forbedre din sikkerhedsposition og reducere risikoen for databrud.

Tilpasning til nye krav
For at tilpasse sig disse ændringer bør din organisation udføre en grundig gap-analyse for at identificere områder, der skal forbedres. Dette indebærer at vurdere nuværende praksis i forhold til den opdaterede standard, hvilket sikrer tilpasning til nye kontroller. Ved at bruge platforme som ISMS.online kan du automatisere overholdelsesopgaver, hvilket reducerer den manuelle indsats og øger effektiviteten.

Disse opdateringer fremhæver ISO 27001:2022's engagement i at håndtere moderne sikkerhedsudfordringer og sikre, at din organisation forbliver modstandsdygtig over for nye trusler.

Hvorfor bør complianceansvarlige prioritere ISO 27001:2022?

ISO 27001:2022 er afgørende for compliance-ansvarlige, der søger at forbedre deres organisations informationssikkerhedsramme. Dens strukturerede metode til overholdelse af lovgivning og risikostyring er uundværlig i dagens sammenkoblede miljø.

Navigering af regulatoriske rammer
ISO 27001:2022 er i overensstemmelse med globale standarder som GDPR, hvilket giver en omfattende ramme, der sikrer databeskyttelse og privatliv. Ved at overholde dens retningslinjer kan du trygt navigere i komplekse regulatoriske landskaber, reducere juridiske risici og forbedre forvaltningen (ISO 27001:2022 paragraf 6.1).

Proaktiv risikostyring
Standardens risikobaserede tilgang gør det muligt for organisationer systematisk at identificere, vurdere og afbøde risici. Denne proaktive holdning minimerer sårbarheder og fremmer en kultur med løbende forbedringer, hvilket er afgørende for at opretholde en robust sikkerhedsstilling. Compliance-ansvarlige kan bruge ISO 27001:2022 til at implementere effektive risikohåndteringsstrategier og dermed sikre modstandsdygtighed over for nye trusler.

Forbedring af organisatorisk sikkerhed
ISO 27001:2022 forbedrer din organisations sikkerhedsstatus betydeligt ved at integrere sikkerhedspraksis i kerneforretningsprocesser. Denne integration øger den operationelle effektivitet og opbygger tillid hos interessenter, hvilket positionerer din organisation som førende inden for informationssikkerhed.

Effektive implementeringsstrategier
Complianceansvarlige kan implementere ISO 27001:2022 effektivt ved at bruge platforme som ISMS.online, der strømliner indsatsen gennem automatiserede risikovurderinger og overvågning i realtid. Inddragelse af interessenter og fremme af en sikkerhedsbevidst kultur er afgørende skridt i at integrere standardens principper i hele din organisation.

Ved at prioritere ISO 27001:2022 beskytter du ikke blot din organisations data, men opnår også strategiske fordele i et konkurrencepræget marked.

Hvordan forbedrer ISO 27001:2022 sikkerhedsrammer?

ISO 27001:2022 etablerer en omfattende ramme for styring af informationssikkerhed med fokus på en risikobaseret tilgang. Denne tilgang gør det muligt for din organisation systematisk at identificere, vurdere og håndtere potentielle trusler, hvilket sikrer robust beskyttelse af følsomme data og overholdelse af internationale standarder.

Nøglestrategier til trusselbegrænsning

Udførelse af risikovurderinger: Grundige evalueringer identificerer sårbarheder og potentielle trusler (ISO 27001:2022 klausul 6.1) og danner grundlag for målrettede sikkerhedsforanstaltninger.
Implementering af sikkerhedskontroller: Bilag A-kontroller anvendes til at håndtere specifikke risici og sikre en holistisk tilgang til trusselsforebyggelse.
Kontinuerlig overvågning: Regelmæssige gennemgange af sikkerhedspraksisser muliggør tilpasning til udviklende trusler og opretholder effektiviteten af din sikkerhedspolitik.

Databeskyttelse og privatlivsjustering
ISO 27001:2022 integrerer sikkerhedspraksisser i organisatoriske processer, i overensstemmelse med regler som GDPR. Dette sikrer, at personoplysninger håndteres sikkert, hvilket reducerer juridiske risici og øger interessenternes tillid.

Opbygning af en proaktiv sikkerhedskultur
Ved at fremme sikkerhedsbevidsthed fremmer ISO 27001:2022 løbende forbedringer og årvågenhed. Denne proaktive holdning minimerer sårbarheder og styrker din organisations samlede sikkerhedstilstand. Vores platform, ISMS.online, understøtter disse bestræbelser med værktøjer til realtidsovervågning og automatiserede risikovurderinger, hvilket positionerer din organisation som førende inden for informationssikkerhed.

Integrering af ISO 27001:2022 i din sikkerhedsstrategi styrker ikke blot forsvaret, men forbedrer også din organisations omdømme og konkurrencefordel.

Hvilke fordele tilbyder ISO 27001:2022 administrerende direktører?

ISO 27001:2022 er et strategisk aktiv for administrerende direktører, der forbedrer organisatorisk modstandskraft og operationel effektivitet gennem en risikobaseret metode. Denne standard tilpasser sikkerhedsprotokoller med forretningsmål, hvilket sikrer robust informationssikkerhedsstyring.

Hvordan forbedrer ISO 27001:2022 strategisk forretningsintegration?

Risikostyringsramme:
ISO 27001:2022 giver en omfattende ramme for at identificere og afbøde risici, beskytte dine aktiver og sikre forretningskontinuitet.

Standarder for overholdelse af lovgivningen:
Ved at tilpasse sig globale standarder som GDPR minimeres juridiske risici og styrkes styringen, hvilket er afgørende for at opretholde markedets tillid.

Hvad er de konkurrencemæssige fordele ved ISO 27001:2022?

Forbedring af omdømme:
Certificering demonstrerer et engagement i sikkerhed og øger kundernes tillid og tilfredshed. Organisationer rapporterer ofte øget kundetillid, hvilket fører til højere fastholdelsesrater.

Global markedsadgang:
Med accept i over 150 lande letter ISO 27001:2022 adgangen til internationale markeder og tilbyder en konkurrencefordel.

Hvordan kan ISO 27001:2022 drive virksomhedsvækst?

Driftseffektivitet:
Strømlinede processer reducerer sikkerhedshændelser, sænker omkostninger og forbedrer effektiviteten.

Innovation og digital transformation:
Ved at fremme en kultur præget af sikkerhedsbevidsthed understøtter det digital transformation og innovation, hvilket driver forretningsvækst.

Ved at integrere ISO 27001:2022 i din strategiske planlægning afstemmes sikkerhedsforanstaltninger med organisatoriske mål, hvilket sikrer, at de understøtter bredere forretningsmål. Vores platform, ISMS.online, forenkler overholdelse og tilbyder værktøjer til realtidsovervågning og risikostyring, hvilket sikrer, at din organisation forbliver sikker og konkurrencedygtig.

Sådan faciliterer du digital transformation med ISO 27001:2022

ISO 27001:2022 giver en omfattende ramme for organisationer, der går over til digitale platforme, og sikrer databeskyttelse og overholdelse af internationale standarder. Denne standard er afgørende for styring af digitale risici og forbedring af sikkerhedsforanstaltninger.

Sådan håndterer du digitale risici effektivt
ISO 27001:2022 tilbyder en risikobaseret tilgang til at identificere og afbøde sårbarheder. Ved at udføre grundige risikovurderinger og implementere Annex A-kontroller kan din organisation proaktivt adressere potentielle trusler og opretholde robuste sikkerhedsforanstaltninger. Denne tilgang er i overensstemmelse med de skiftende krav til cybersikkerhed, hvilket sikrer, at dine digitale aktiver er beskyttet.

Sådan fremmer du sikker digital innovation
Ved at integrere ISO 27001:2022 i din udviklingslivscyklus sikrer du, at sikkerheden prioriteres fra design til implementering. Dette reducerer risikoen for brud og forbedrer databeskyttelsen, hvilket giver din organisation mulighed for at forfølge innovation med tillid og samtidig opretholde overholdelse.

Sådan opbygger du en kultur af digital sikkerhed
Fremme af en sikkerhedskultur indebærer at lægge vægt på opmærksomhed og træning. Implementer omfattende programmer, der udstyrer dit team med de nødvendige færdigheder til at genkende og reagere effektivt på digitale trusler. Denne proaktive holdning fremmer et sikkerhedsbevidst miljø, der er afgørende for vellykket digital transformation.

Ved at vedtage ISO 27001:2022 kan din organisation navigere i digitale kompleksiteter og sikre, at sikkerhed og overholdelse er integreret i dine strategier. Denne tilpasning beskytter ikke kun følsomme oplysninger, men forbedrer også driftseffektiviteten og konkurrencefordele.

Hvad er de vigtigste overvejelser ved implementering af ISO 27001:2022?

Implementering af ISO 27001:2022 involverer omhyggelig planlægning og ressourcestyring for at sikre en vellykket integration. Nøgleovervejelser omfatter strategisk ressourceallokering, engagering af nøglepersoner og fremme af en kultur med løbende forbedringer.

Strategisk ressourceallokering
Det er vigtigt at prioritere opgaver baseret på omfattende risikovurderinger. Din organisation bør fokusere på områder med stor indflydelse og sikre, at de får tilstrækkelig opmærksomhed som beskrevet i ISO 27001:2022, paragraf 6.1. Brug af platforme som ISMS.online kan automatisere opgaver, reducere manuel indsats og optimere ressourceforbrug.

Engagere nøglemedarbejdere
Det er afgørende at sikre buy-in fra nøglemedarbejdere tidligt i processen. Dette indebærer at fremme samarbejde og tilpasse sig organisatoriske mål. Klar kommunikation af fordelene og målene ved ISO 27001:2022 hjælper med at afbøde modstand og tilskynder til aktiv deltagelse.

Fremme af en kultur med kontinuerlig forbedring
Regelmæssig gennemgang og opdatering af dine informationssikkerhedsstyringssystemer (ISMS) for at tilpasse sig nye trusler er afgørende. Dette indebærer udførelse af periodiske audits og ledelsesgennemgange for at identificere områder for forbedring, som specificeret i ISO 27001:2022 paragraf 9.3.

Trin til succesfuld implementering
For at sikre en vellykket implementering bør din organisation:

Udfør en hulanalyse for at identificere områder, der skal forbedres.
Udvikle en omfattende projektplan med klare mål og tidsplaner.
Brug værktøjer og ressourcer, såsom ISMS.online, til at strømline processer og øge effektiviteten.
Fremme en kultur af sikkerhedsbevidsthed gennem regelmæssig træning og kommunikation.

Ved at imødekomme disse overvejelser kan din organisation effektivt implementere ISO 27001:2022, forbedre dens sikkerhedsposition og sikre overensstemmelse med internationale standarder.

Start din ISO 27001:2022 rejse med ISMS.online. Planlæg en personlig demo nu for at se, hvordan vores omfattende løsninger kan forenkle din overholdelse og strømline din implementering processer. Forbedre din sikkerhedsramme og øge driftseffektiviteten med vores banebrydende værktøjer.

Hvordan kan ISMS.online strømline din overholdelsesrejse?

Automatiser og forenkle opgaver: Vores platform reducerer manuel indsats og øger præcisionen gennem automatisering. Den intuitive grænseflade guider dig trin-for-trin og sikrer, at alle nødvendige kriterier opfyldes effektivt.
Hvilken support tilbyder ISMS.online?Med funktioner som automatiserede risikovurderinger og realtidsovervågning hjælper ISMS.online med at opretholde en robust sikkerhedstilstand. Vores løsning er i overensstemmelse med ISO 27001:2022's risikobaserede tilgang og adresserer proaktivt sårbarheder (ISO 27001:2022 klausul 6.1).
Hvorfor planlægge en personlig demo?Opdag, hvordan vores løsninger kan transformere din strategi. En personlig demo illustrerer, hvordan ISMS.online kan opfylde din organisations specifikke behov og giver indsigt i vores muligheder og fordele.

Hvordan forbedrer ISMS.online samarbejde og effektivitet?

Vores platform fremmer problemfrit teamwork, hvilket gør det muligt for din organisation opnå ISO 27001:2022 certificering. Ved at bruge ISMS.online kan dit team forbedre sin sikkerhedsramme, forbedre driftseffektiviteten og opnå en konkurrencefordel. Book en demo i dag for at opleve den transformerende kraft af ISMS.online og sikre, at din organisation forbliver sikker og kompatibel.

Relaterede emner

ISO 27001

Hvad Salesforce-brudene lærer os om delt ansvarlighed

2025 har ikke været et godt år for Salesforce-kunder. En lyssky kriminel gruppe iværksatte en række angreb på sine kunder, hvilket i sidste ende påvirkede organisationer lige fra tech-giganter som Google og Cisco til luksusmærker som Chanel og Louis Vuitton. Selv udbydere af kritisk infrastruktur som Qantas Airways, FedEx og TransUnion er blevet overfaldet af angriberne, der enten kaldes Scattered LAPSUS$ Hunters, ShinyHunters eller variationer deraf. Gruppen, der tilsyneladende er en koalition af medlemmer fra forskellige andre kriminelle bander, har angiveligt kompromitteret over 760 organisationer og omkring 1.5 milliarder optegnelser. Men Salesforce siger, at dette ikke er et problem, de selv har forårsaget. Hvordan blev et angreb den største kilde til datatyveri i 2025, uden at leverandøren indrømmede noget ansvar? Det er let at forstå, hvorfor Salesforce nægtede at bære dåsen til denne. Angriberne ser ikke ud til at have udnyttet nogen sårbarheder i leverandørens online platform. I stedet kom angriberne ind i Salesforce-systemerne via mangler i kundernes sikkerhed, såsom utilstrækkelig OAuth-styring, manglende MFA-håndhævelse, dårlig integrationsgodkendelse og modtagelighed for social engineering. En typisk metode til at få adgang var at oprette en falsk version af Salesforce Data Loader-appen, som kunderne bruger til at downloade deres Salesforce-data. Scattered LAPSUS$-holdet brugte denne falske software til at sende en enhedskode til Salesforces servere, som angiveligt skulle indtastes af en Salesforce-bruger. Så ringede en af banden til offeret og foregav at være fra deres firmas helpdesk. De ville bede offeret om at logge ind på Salesforce og indtaste enhedskoden og uforvarende bekræfte den falske app (som de ikke ved noget om) som ægte. Derefter får de kriminelle adgang til offervirksomhedens følsomme Salesforce-data. Disse fejl i kundesikkerheden er ikke anomalier. Gartner forudsiger, at 99% af cloud-sikkerhedsfejl frem til 2025 vil være kundens skyld. Nyere forskning fra AppOmni viser også, at 70 % af SaaS-hændelser stammer fra en blanding af kundestyrede tilladelsesproblemer og fejlkonfigurationer. Forståelse af modellen med delt ansvar Bekymringen her er, at kunder af leverandørsoftware kan blive lullet ind i en falsk følelse af sikkerhed ved udelukkende at stole på leverandørens platform, især når denne software hostes i skyen. Men i virkeligheden er sikkerhed på leverandørplatformen ikke automatisk lig med datasikkerhed. Cloud-industrien har endda et navn for dette: delt ansvar. Det er en gensidig forståelse af, hvor tjenesteudbyderens/softwareværtens ansvar slutter, og kundens begynder. Mange virksomheder synes ikke at forstå dette; 53 % af AppOmni-respondenterne, der beskriver sig selv som sikre på sikkerheden, gør det baseret på styrken af deres leverandørers kontroller. Som det fremgår af Salesforce-angrebene, håndterer selv dem, der får det, ofte ikke sikkerheden godt nok på deres side af linjen. For Salesforce- og SaaS-platforme dækker leverandøren typisk sikker platforminfrastruktur, kerneapplikationskode, tilgængelighedsgarantier og indbyggede sikkerhedsfunktioner som MFA-funktioner og kryptering. Det overlader det til kunderne at være ansvarlige for foranstaltninger som administration af brugerkonti, håndhævelse af MFA og administration af OAuth-tokens, implementering af least privilege access, håndtering af tredjepartsintegrationer og korrekt konfiguration af sikkerhedsindstillinger. Det er også op til brugerne at oplære personalet i sikkerhedstrusler. I betragtning af den sociale manipulation, der er involveret i disse angreb, synes det at have været et svagt punkt. Men selv hvis angribere formår at narre brugerne, bør der være et element af overvågning af brugeraktivitet og opdagelse af anomalier. Hvordan compliance-rammer kan hjælpe med at forhindre disse brud. Dette er svagheder, som ISO 27001:2022, SOC 2 og NIS 2 eksplicit adresserer gennem adgangskontrol, leverandørtilsyn og krav til konfigurationsstyring. Virksomheder bør se på disse driftsstandarder for at forbedre deres holdning og undgå at blive endnu et brand på listen over undertrykte brands. For eksempel kræver adgangskontrolserien A.5.15, at der etableres dokumenterede adgangskontrolpolitikker ved at implementere principperne "need-to-know" og "need-to-use". A.5.16 håndterer identitetsstyring, mens A.5.17 undersøger styringen af autentificeringsoplysninger, hvilket kræver sikker lagring og transmission, kryptering i hvile og under transit samt regelmæssig rotation. A.5.18 dækker adgangsrettigheder. Det kræver formelle processer for tildeling, ændring og tilbagekaldelse af adgangsrettigheder med godkendelse fra aktivets ejere og regelmæssige gennemgange mindst én gang årligt. Compliance-chefer kan også se på A.8.2, der regulerer privilegerede adgangsrettigheder. Disse kontroller kræver centraliserede registre, regelmæssige revisioner og validering af legitimitet, før der gives adgang. Det er netop de foranstaltninger, der ville have forhindret ofre for social engineering i at godkende ondsindede apps. Det er ikke første gang, vi har set virksomheder lide under sikkerhedsbrud på grund af deres egne konfigurationsvalg (eller uvidenhed om sådanne valg). Rækken af brud på Snowflakes kunder i 2024 falder mig ind, da det stammede fra stjålne loginoplysninger og mangel på MFA (selvom Snowflake tilbød MFA). Efterhånden som virksomheder i stigende grad er afhængige af SaaS og placerer deres mest følsomme data i disse infrastrukturer, er det deres ansvar at sikre, at de beskytter deres egne digitale porte til disse systemer ordentligt.

Læs mere

ISO 27001

Byg én gang, overhold alle steder: Håndbogen om overholdelse af regler for flere rammer 

Problemet med compliance-kompleksitet I takt med at den regulatoriske byrde for virksomheder vokser, øges behovet for compliance på tværs af flere rammer også. Stillet over for krav, der varierer afhængigt af lovgivning og geografi, risikerer organisationer at dobbeltarbejde og stille uholdbart høje krav til både teams og ressourcer. Denne spredte tilgang kan føre til udbrændthed i compliance-teamet, operationel ineffektivitet og øgede omkostninger. Men compliance bør understøtte din virksomheds vækst – ikke bremse den. I denne håndbog lærer du de bedste tips til at konsolidere din compliance for at sikre, at du overholder centrale standarder, nedbryder siloer og når dine strategiske mål. Opdag din trinvise guide til at opbygge stærke compliance-fundamenter og skalere dem på tværs af flere rammer og krav. Det strategiske argument for konsolidering Det er muligt, men ineffektivt, at gribe flere standarder og regler an på individuel basis. For eksempel er den generelle forordning om databeskyttelse (GDPR), direktivet om netværks- og informationssikkerhed (NIS 2) og informationssikkerhedsstandarden ISO 27001 alle relevante for virksomheder, der opererer i EU. Virksomheder inden for rammerne står over for at navigere i flere sæt krav, med et højt niveau af fællestræk, men grundlæggende forskelle. Næsten to tredjedele (65 %) af respondenterne i vores rapport om informationssikkerhedens tilstand i 2024 var enige i, at tempoet i lovgivningsmæssige ændringer gør det sværere at overholde bedste praksis inden for informationssikkerhed. En tredjedel (33%) siger, at overholdelse af regler og branchestandarder er en udfordring, de står over for i øjeblikket. Derudover sagde næsten en tredjedel (32%) af respondenterne i vores rapport om informationssikkerhedstilstanden i 2025, at de oplevede udbrændthed i informationssikkerheds- og compliance-teamet på grund af stigende arbejdsbyrde. Det er afgørende at opbygge en skalerbar og tilpasningsdygtig tilgang til compliance for effektivt at kunne understøtte compliance-professionelle. Det gør det også muligt for virksomheder proaktivt at forberede sig på – og lettere at reagere på – skiftende lovgivningsmæssige krav. Konsolidering af compliance sparer tid, sikrer konsistens og understøtter både operationelle og strategiske compliance-mål. Tidsbesparelser: Håndter relaterede krav på tværs af flere frameworks med en enkelt, samlende politik eller kontrol, strømlin dit compliance-teams arbejdsbyrde og eliminer redundans. Reduceret risiko: Vurder og opfyld dine compliance-forpligtelser på tværs af flere lovgivningsmæssige krav med et konsolideret risikoregister, der identificerer og behandler risici mere effektivt. Konsekvent håndtering af bevismateriale: Forbedr bevishåndteringsprocesser, reducer redundans og strømlin revisionsprocesser. Forbedret synlighed: Se status for din compliance i realtid på tværs af flere rammer, og identificer nemt handlingsområder. Reducerede omkostninger: Strømlin dine compliance-processer, reducer tiden brugt på compliance-opgaver, og forbedr risikostyringen for at opnå omkostningsbesparelser. Ro i sindet: En samlet compliance-styring forsikrer bestyrelse og ledelsesteams om, at alle jeres compliance-forpligtelser bliver opfyldt effektivt og virkningsfuldt. Strømlinet markedsadgang: Få hurtigere adgang til nye markeder ved at forudbehandle compliance-krav i de nødvendige rammer. Opbyg interessenternes tillid: Påviselig modenhed inden for compliance understøtter din virksomhed i at opbygge tillid blandt en række interessenter. Coalfires compliance-rapport fra 2023 viste, at næsten 70 % af serviceorganisationer skal demonstrere compliance eller overensstemmelse med mindst seks rammer, der spænder over informationssikkerhed og databeskyttelsestaksonomier, hvilket understreger behovet for en strategisk, samlet tilgang til compliance-styring. En samlet tilgang omfatter: Kortlægning af kontroller på tværs af frameworks: Kortlægning af krav på tværs af flere frameworks gør det muligt at identificere områder, hvor kontroller overlapper hinanden, og din compliance kan strømlines. Dette gør det også muligt for dig at identificere og håndtere potentielle mangler. Lad os sige, at du forbereder dig på NIS 2, men din organisation er allerede ISO 27001-certificeret. I stedet for at starte fra bunden kan du tilpasse dine eksisterende ISO-kontroller for at opfylde NIS 2's forventninger til forsyningskædesikkerhed - hvilket sparer uger af arbejde og fremskynder klargøringstiden dramatisk. Brug af præbyggede skabeloner: Få et forspring på din multi-framework compliance, accelerer opsætningen og juster bevismateriale ved hjælp af specialiserede præbyggede kontroller og skabeloner. Disse skabeloner er i overensstemmelse med specifikke standard- og lovgivningsmæssige krav og designet til at strømline compliance-processen, samtidig med at den manuelle arbejdsbyrde for dit compliance-team reduceres. Vigtigst af alt kan du også opdatere og ændre præbyggede skabeloner, så de passer til din organisations specifikke krav og mål. Proaktiv overvågning af overholdelse: Brug automatiserede advarsler og regulatoriske sporingsværktøjer til at holde dig informeret om overholdelseskrav og lovgivningsmæssige ændringer. Du kan også bruge automatiserede overvågningsværktøjer til proaktivt at vurdere din organisations compliance og identificere potentielle problemer i realtid. Tilpasning til dit unikke risikolandskab Tilpasning af præbyggede skabeloner Præbyggede skabeloner er en hurtig gevinst, men ikke en øvelse, hvor man bare skal indstille og glemme alt. Det er vigtigt at overveje skabelonerne i sammenhæng med: Din branche Dine forretningsbehov og -mål Det lovgivningsmæssige landskab, der påvirker din organisation Eksisterende interne processer. Ved at tage denne yderligere kontekst i betragtning vil du kunne tilpasse præbyggede skabeloner og bygge videre på dem, så de stemmer overens med flere relevante frameworks samt dine organisatoriske mål. Regelmæssig gennemgang af disse politikker og kontroller vil også sikre, at de forbliver opdaterede og relevante. Udnyttelse af compliance-automatisering Strategisk kombination af automatisering og menneskelig beslutningstagning kan understøtte dine compliance-indsatser på tværs af flere rammer og reducere den manuelle arbejdsbyrde. Automatisering spiller en central rolle i at strømline tidskrævende administrative opgaver såsom indsamling af bevismateriale, kontrolovervågning, påmindelser om opgaver, hændelsesmarkering, revisionsspor og rapportgenerering, hvilket frigør dit team til at fokusere på strategi, risikoreduktion og levering af forretningsmål. Men for opgaver som risikovurderinger, hændelsesrespons, beslutningstagning og compliance-strategi er menneskeligt tilsyn fortsat afgørende. Brug af automatisering til at understøtte beslutningstagning i stedet for at erstatte den vil styrke dit compliance-team, når de skal skabe en robust og tilpasningsdygtig compliance-strategi, der kan skaleres på tværs af rammeværk. Strategisk risikostyring Det er afgørende at anvende en risikobaseret tilgang for vellykket overholdelse af rammer som ISO 27001 og NIS 2. Ved at centralisere din risikosporing med en samlet tilgang til overholdelse af flere rammer, kan du få et omfattende overblik over din organisatoriske risiko og risikostyring på tværs af rammer. Dette høje niveau af tilsyn sikrer, at du kan reagere strategisk på nye og udviklende risici, tilpasse dig lovgivningsmæssige krav og træffe beslutninger om dokumentation i forbindelse med revisioner. Derudover gør den strategiske risikostyringstilgang det muligt tydeligt at rapportere compliance- og sikkerhedsstatus på bestyrelsesniveau og kan endda understøtte bud på øget sikkerheds- eller informationssikkerhedsbudget, bakket op af live risikooplysninger på tværs af flere rammer. At omsætte strategi til handling: Hvordan IO understøtter samlet compliance. Ved at bruge IO-platformen som en enkelt kilde til sandhed kan du centralisere din compliance-styring, fjerne dobbeltarbejde og problemfrit administrere din compliance-strategi på tværs af flere rammeværk. Kontrolkortlægning: Forbind din dokumentation, politikker og kontroller på tværs af rammer, generer automatisk revisionsspor, og generer øjeblikkeligt rapporter for at demonstrere din compliance-status. Færdigbyggede skabeloner: IO leverer færdigbyggede politik- og kontrolskabeloner, som du kan implementere, tilpasse eller tilføje til, så de stemmer overens med din virksomheds unikke behov og risici, samtidig med at du opretholder en revisionsklar struktur. Automatiser compliance-opgaver: Dine automatiske påmindelser udløses, når risici, politikker og kontroller skal gennemgås, så intet slipper mellem nålene. Effektiv risikostyring: Centraliser risikostyring for problemfrit at håndtere risici på tværs af flere rammeværker på ét sted. Opnå effektiv, centraliseret compliance uden at brænde dit team ud eller øge risikoen. Frigør centraliseret, skalerbar compliance. En effektiv compliance-strategi på tværs af flere frameworks vil gøre det muligt for dig at opbygge din compliance-base én gang og derefter skalere på tværs af frameworks med tillid. Uanset om din virksomhed har brug for at tilpasse sig to eller ti rammeværk, kan det at kortlægge overlapningen mellem krav, identificere områder, der skal automatiseres, og bruge de rigtige værktøjer til at konsolidere dit arbejde strømline din compliance-styring. Fra spredt til strømlinet: Din femtrins-køreplan til succes med samlet compliance Trin 1: Identificer dine compliance-forpligtelser Compliance-landskabet er i konstant udvikling. Dine compliance-forpligtelser vil ændre sig i takt med at din virksomhed vokser og udvikler sig, du går ind på nye markeder, eller du afgiver tilbud på arbejde med potentielle kunder i stærkt regulerede brancher. At identificere de regler, der gælder for din organisation, og dine specifikke compliance-forpligtelser vil give dig vigtig indsigt i de rammer, du skal implementere. Eksempler på compliance-forpligtelser omfatter: Digital Operational Resilience Act (DORA), hvis din organisation er en finansiel enhed eller en tredjeparts IKT-leverandør til finansielle enheder Payment Card Industry Data Security Standard (PCI DSS), hvis din organisation opbevarer, behandler eller overfører kredit- eller debetkortindehaverdata Trusted Information Security Assessment Exchange (TISAX), hvis din virksomhed leverer eller yder tjenester til bilproducenter. Trin 2: Kortlæg dine frameworks og fremhæv overlappende kontroller. Kortlæg derefter kravene i de frameworks, du allerede har implementeret, og dem, du planlægger at implementere eller overholde. Ved at kortlægge de fælles krav, der adresseres af lignende kontroller på tværs af forskellige rammer, kan du undgå dobbeltarbejde og strømline din compliance-styring. For eksempel overholder du måske i øjeblikket ISO 27001 og planlægger at overholde DORA og NIS 2 som en del af din organisations vækstplaner. Der er overlappende krav til forsyningskædestyring, der er beskrevet i: DORA kapitel V NIS 2 artikel 21 ISO 27001 A.5.19, A.5.20 og A.5.21. I stedet for at implementere politikker og kontroller for hvert rammeværk kan du imødekomme ovenstående krav ved at gennemgå dine eksisterende ISO 27001-politikker og -kontroller. Ved hjælp af din kortlægningsdokumentation kan du identificere eventuelle opdateringer, der er nødvendige for at sikre overensstemmelse med kravene i NIS 2 og DORA. Trin 3: Afprøvning af automatiseret bevisindsamling i ét område Automatiseret bevisindsamling kan reducere manuel arbejdsbyrde, forbedre nøjagtigheden og understøtte centraliseret compliance-styring. For at afprøve automatisering af din bevisindsamling foreslår vi, at du vælger et specifikt fokusområde, såsom træning og bevidsthed om medarbejdernes informationssikkerhed – et krav for at overholde ISO 27001. En effektiv automatiseret løsning vil integrere med din organisations tredjepartssoftware. Du kan indstille din valgte løsning til automatisk at indsamle dokumentation for compliance-aktiviteter, der finder sted ved hjælp af den pågældende software, for eksempel træningssessioner, der er tildelt hver medarbejder, og deres færdiggørelsesstatus. Løsningen vil logge denne dokumentation, så du kan demonstrere, hvordan din virksomhed opfylder compliance-kravene. Trin 4: Gennemgå værktøjsmuligheder for at konsolidere risikoregistre. Overholdelse af flere rammer kræver ofte en mere sammenhængende løsning end manuelt opdaterede regneark, e-mails og dokumenter kan tilbyde. At bruge disse metoder kan gøre opgaver som konsolidering af risikoregistre intensive og tidskrævende for compliance-teams. Brug af en centraliseret compliance-platform giver dig dog mulighed for at oprette en risiko og tildele den til flere rammeværk med blot et par klik i stedet for at skulle vedligeholde og opdatere usammenhængende risikoregistre. En centraliseret compliance-platform vil også understøtte dit compliance-team i at udføre følgende opgaver på tværs af flere rammer: Automatiseret opgavestyring og gennemgang Risikostyring Indsamling af bevismateriale Oprettelse af politikker og procedurer Implementering af kontrol Planlægning af hændelsesrespons Medarbejderbevidsthed og -uddannelse Generering af revisionsspor. Vi foreslår at identificere og udvælge potentielle compliance-platforme ved hjælp af pålidelig forretningssoftware og serviceevalueringsplatforme som f.eks. G2. Trin 5: Book en demo- eller opdagelsessession. Når du har oprettet din liste, skal du kontakte dine potentielle compliance-platforme for at booke demoer eller opdagelsessessioner og finde ud af, hvordan hver platform stemmer overens med dine compliance-krav. Hvis du ønsker at opnå tillid til multi-framework compliance med IO, er vi klar til at hjælpe - book blot din demo for at se platformen i aktion. Fremtidssikre din overholdelse af regler. Nye regler er lige på trapperne: EU's AI-lov træder nu i kraft i etaper, mens Storbritannien er i gang med at udvikle lovforslaget om cybersikkerhed og modstandsdygtighed samt lovforslaget om dataanvendelse og -adgang. Tilsynsmyndighederne venter ikke på, at din virksomhed er forberedt, men med en tilgang til overholdelse af flere rammer kan du forberede dig på forhånd. I takt med at globale regler fortsætter med at udvikle sig, vil implementering af en skalerbar tilgang til compliance snart blive en konkurrencemæssig differentiator, der giver din organisation fleksibiliteten til at implementere og overholde nye regler og rammer. Et samlet system er ikke bare en løsning i dag; det er en fremtidig sikkerhedsforanstaltning.

Læs mere

ISO 27001

NCSC siger "Det er tid til at handle", men hvordan?

Det er usædvanligt at se et åbent brev fra en erhvervsleder i begyndelsen af en regeringsrapport om cybersikkerhed. Især en person, hvis virksomhed lige har lidt et ydmygende brud. Men det er usædvanlige tider. Og budskabet er kritisk vigtigt. Derfor gav GCHQ's nationale center for cybersikkerhed (NCSC) plads til Co-op Groups administrerende direktør, Shirine Khoury-Haq, i starten af sin årsrapport for 2025. Hendes budskab, som blev gentaget og forstærket gennem hele dokumentet, var enkelt: forberedelse er alt. Men hvordan sikrer virksomhedsledere, at de opbygger tilstrækkelig cyberrobusthed i deres organisation i dag for at sikre business as usual i tilfælde af et brud i morgen? Stigning i nationalt betydningsfulde hændelser Tallene fra det seneste år fortæller deres egen historie. NCSC hævder, at næsten halvdelen (48%) af de hændelser, som dens Incident Management-team reagerede på i løbet af det seneste år, var "nationalt betydningsfulde". Det svarer til 204 separate hændelser, eller fire om ugen. Omkring 4% (18) er kategoriseret som "meget betydelige" – en årlig stigning på 50%. Disse er et trin ned fra den maksimale alvorlighedsgrad, som angiver hændelser, der kan have alvorlige økonomiske/sociale konsekvenser eller tab af menneskeliv. Men de repræsenterer stadig cyberangreb og -brud, som kan have en alvorlig indvirkning på centralregeringen, essentielle tjenester og en stor del af den britiske befolkning eller økonomi. Interessant nok stammede 29 hændelser, som NCSC håndterede i perioden, fra kun tre sårbarheder: CVE-2025-53770 (Microsoft SharePoint Server), CVE-2025-0282 (Ivanti Connect Secure, Policy Secure & ZTA Gateways) og CVE-2024-47575 (Fortinet FortiManager). Det fremhæver straks nogle lavthængende frugter for organisationer, der vælger at implementere risikobaserede patchmanagement-programmer. Denne lavthængende frugt er overalt, hvis bare virksomhedsledere var motiverede nok eller bevidste om behovet for at finde den, siger NCSC's administrerende direktør, Richard Horne. I sit forord beskriver han de udfordringer, som britiske organisationer står over for, som voksende med "en størrelsesorden". Horne konkluderer: "Cybersikkerhed er nu afgørende for virksomheders levetid og succes." "Det er tid til at handle." Et brev til FTSE 350. Denne vægtning af handling bakkes op af de seneste katastrofale cyberrelaterede nedbrud, der har påvirket Jaguar Land Rover (JLR), M&S og Co-op group, for blot at nævne tre. Nogle estimater anslår de samlede tab, som disse virksomheder og deres leverandører har oplevet, til at være tæt på 1 mia. pund. Det er en del af grunden til, at rapporten direkte opfordrer virksomhedsledere til at stoppe med at behandle cyber som et anliggende for IT-afdelingen og i stedet begynde at indse dets afgørende betydning for virksomhedsvækst og den britiske økonomi. Det er derfor, den indeholder Co-op Groups Khoury-Haq. Og derfor udbryder Horne: "Alle virksomhedsledere skal tage ansvar for deres organisations cyberrobusthed." Det er også derfor, rapporten promoverer forskellige NCSC-initiativer som: Cyber Governance Code of Practice: designet til at hjælpe bestyrelser og direktører med bedre at håndtere digitale risici Cyber Governance-træningsprogrammet, som er i overensstemmelse med kodeksens fem kerneprincipper: risikostyring, strategi, medarbejdere, hændelsesplanlægning, reaktion og genopretning samt sikring og tilsyn NCSC's vejledning om "Engagement med bestyrelser for at forbedre styringen af cybersikkerhedsrisici", som hjælper CISO'er med at kommunikere mere effektivt med deres bestyrelse Cyber Security Culture Principles, som beskriver, hvordan en god sikkerhedskultur ser ud, og hvordan man ændrer adfærd Cyber Action Toolkit, der skal øge cyberbevidstheden blandt ledere af små virksomheder Det er også derfor, at regeringen, i hvad der tilsyneladende har været et koordineret træk, har skrevet til administrerende direktører for FTSE 350 og bønfaldt dem om at anerkende omfanget af truslen. "I alt for lang tid har cybersikkerhed været en bekymring for mellemledelsen og bliver kun eskaleret til de øverste ledelser i en krise." Det handler ikke om, hvorvidt du bliver offer for et cyberangreb, det handler om at være forberedt på, når det sker," sagde sikkerhedsminister Dan Jarvis ved lanceringen af rapporten. Sigende nok forsøgte han at understrege den konkurrencefordel, som bedste praksis inden for cyberteknologi kan give virksomheder. Opbygning af modstandsdygtighed Den gode nyhed er, at selvom truslen intensiveres, hævder NCSC, at det meste af den aktivitet, den ser, ikke er radikalt ny, uanset om den er statsstøttet eller arbejdet udført af grupper som Scattered Spider. Det burde gøre det lidt lettere at opnå cyberrobusthed. Men hvad står der så i rapporten? Udover at opremse NCSC-initiativer som Active Cyber Defence og Cyber Essentials fremhæver det 100-siders dokument begrebet "modstandsdygtighedsteknik". Selvom konceptet har sin arv inden for sikkerhedsteknik, kan det effektivt overføres til cybersfæren, hævder NCSC, via initiativer som: Infrastruktur som kode: Giver organisationer mulighed for pålideligt at replikere systemer til hurtig genoprettelse og implementere pålidelig, uforanderlig infrastruktur. Uforanderlige sikkerhedskopier: Muliggør effektiv gendannelse, når der er totalt miljøtab (herunder identitet, cloudkonfigurationer, hypervisorer osv.). Segmentering: Til isolation og inddæmning for at minimere påvirkningen under en begivenhed, eller "for vedvarende at skabe tillidsgrænser". Mindst privilegium: På tværs af alle tjenester for at begrænse skade og understøtte nultillidsstrategier. Observerbarhed og overvågning: At opdage anomalier og forbedre læring efter hændelser. Kaosteknik: Den bevidste introduktion af manglende validering/testning af detektions- og genoprettelsesprocesser. Robuste operationer: Omfatter sikring af tilgængelighed af krisehåndterings-runbooks digitalt eller fysisk på isolerede platforme eller i papirformat. Se på standarder Peter Connolly, administrerende direktør hos Toro Solutions, argumenterer for, at bedste praksis-standarder som ISO 27001 kan hjælpe organisationer med at forbedre deres cyberrobusthed. "Det giver en struktureret ramme for risikostyring, der går ud over IT og omfatter mennesker, fysisk sikkerhed og forretningskontinuitet," fortæller han ISMS.online. "Ved at anvende denne integrerede tilgang kan organisationer minimere virkningen af hændelser, opretholde kritiske operationer og demonstrere over for kunder, investorer og partnere, at sikkerhed er en alvorlig prioritet." Connolly tilføjer, at organisationer bør bruge ISO 27001-overholdelse til at integrere sikkerhed i den daglige forretningskultur. "Det betyder at gøre sikkerhedsprincipper til en del af rutineoperationerne i stedet for at behandle dem som en separat opgave," konkluderer han. "Start med at adressere de mest kritiske risici først, og sørg for, at cyber-, fysisk og personrelateret sikkerhed betragtes samlet." Denne tilgang opbygger ægte modstandsdygtighed, samtidig med at den giver internationalt anerkendt troværdighed.” Ordet “modstandsdygtighed” nævnes 139 gange i NCSC-rapporten. Det er på tide, at UK PLC tager det til efterretning.

Læs mere

ISO 27001

De nervepirrende cyberhændelser, der skræmmer os denne Halloween

De seneste par år har budt på en række højprofilerede cyberhændelser, lige fra angreb i forsyningskæden til zero-day-sårbarheder, ransomware og deepfakes. Trusselsaktører udvikler deres forsøg på at få adgang til forretningsnetværk, stjæle følsomme data og bedrage organisationer. I denne Halloween-blogartikel deler IO-chefteamet de hændelser, der sendte dem kuldegysninger ned ad ryggen. Kido Schools - Angreb på forsyningskæden Vores økonomidirektør, Jon Orpen, siger: I september fik hackere adgang til data for tusindvis af børn i vuggestuekæden Kido Schools. De fik oprindeligt adgang til oplysningerne via softwaren til børnepasning, Famly. Angriberne offentliggjorde profiler af 20 børn online og truede med at offentliggøre flere, medmindre de blev betalt i Bitcoin. De truede også forældrene direkte via telefonopkald. Jeg har små børn og har været igennem 'børnehavesystemet', så dette angreb resonerede virkelig med mig. Kort efter truslerne blev fremsat, var der betydelig offentlig modreaktion. Angriberne fjernede opslagene og hævdede at have slettet oplysningerne, og angrebet blev fordømt som et 'nyt lavpunkt' for cyberkriminelle. Angrebet viser os dog, at cyberkriminelle er ukritiske i deres angreb og endda villige til at målrette børn for at nå deres mål. Cyberangrebet på Kido Schools er blot et af flere nylige, højprofilerede angreb, hvor trusselsaktører har målrettet leverandører for at få adgang til organisationers følsomme data. Vores rapport om informationssikkerhedens tilstand i 2025 viste, at tre ud af fem (61%) af respondenterne var blevet påvirket af en cybersikkerheds- eller informationssikkerhedshændelse forårsaget af en tredjepartsleverandør eller forsyningskædepartner, og mere end en fjerdedel (27%) var blevet påvirket mere end én gang. Det er et must at gennemgå de informationssikkerhedsforanstaltninger, som dine leverandører har på plads i det nuværende trusselsbillede. Oracle E-Business Suite - Zero-Day Sårbarhed Vores CPO, Sam Peters, siger: Oracle har for nylig rettet en E-Business Suite-sårbarhed, CVE-2025-61884, som muligvis er blevet brugt af trusselsaktører til at stjæle følsomme virksomhedsdata fra flere virksomheder. En opdatering fra Oracle beskrev sårbarheden som "fjernudnyttelig uden godkendelse, dvs. den kan udnyttes over et netværk uden behov for brugernavn og adgangskode". Hvis denne sårbarhed udnyttes, kan den give adgang til følsomme ressourcer.” Virksomheden understregede, at den anbefaler kunderne at forblive på aktivt understøttede versioner og straks installere sikkerhedsopdateringer til sikkerhedsadvarsler og kritiske programrettelser. Selvom zero-day-angreb er uforudsigelige af natur, kan virksomheder styrke deres forsvar ved at sikre, at softwaren er opdateret, at der installeres patches, og ved at anvende en omfattende tilgang til risikostyring. ISO 27001-standarden giver for eksempel en ramme, der støtter virksomheder i at opbygge og vedligeholde et robust informationssikkerhedsstyringssystem og styrke operationel modstandsdygtighed i tilfælde af et angreb. Implementering af de omfattende og velovervejede planer for hændelsesrespons og forretningskontinuitet, der kræves for at overholde ISO 27001, vil gøre det muligt for organisationer at reagere hurtigt på zero-day-angreb og minimere skader. Marks & Spencer - Angreb på forsyningskæden og ransomware Vores administrerende direktør, Chris Newton-Smith, siger: Et angreb på den britiske detailgigant Marks & Spencer (M&S) skabte overskrifter i april i år. Trusselsaktører indsamlede kundedata og implementerede ransomware, der forstyrrede virksomhedens IT-systemer samt dens online- og butiksdrift, hvilket førte til anslåede økonomiske tab på 700 millioner pund. Angriberne brugte angiveligt social manipulation og målrettede en M&S ICT-leverandør for at få adgang. De udgav sig for at være en M&S-medarbejder og overtalte tredjepartsudbyderen til at nulstille en intern brugers adgangskode. Da de fik adgang til netværket, indsamlede de også følsomme kundedata, før de implementerede ransomware til at kryptere M&S' systemer. Virksomheden lukkede hurtigt ned for online bestillingssystemer og suspenderede kontaktløse betalinger for at forhindre yderligere skade, hvilket vendte tilbage til manuelle processer for fysisk salg. Det involverede også retshåndhævelse, eksterne cybersikkerhedseksperter og kommunikerede hændelsen og den løbende indvirkning til kunderne. Selvom nogle rapporter kritiserede detailhandleren for manglende planer for forretningskontinuitet og planer for håndtering af hændelser, er det tydeligt, at M&S tog øjeblikkelige skridt til at afbøde yderligere risiko. Dette flerlagsangreb demonstrerer vigtigheden af løbende tredjepartsrisikostyring for virksomheder; det fremhæver også behovet for netværkssegmentering for at begrænse omfanget af den skade, der kan forvoldes i tilfælde af et angreb. Igen kan ISO 27001 støtte organisationer her. Overholdelse af og certificering i henhold til standarden kræver, at organisationer vurderer og implementerer nødvendige sikkerhedskontroller, herunder regelmæssige sikkerhedskopier, informationssikkerhedsforanstaltninger implementeret som en del af bredere forretningskontinuitetsplaner og handlingsrettede skridt til at identificere, vurdere, reagere på og håndtere hændelser. Arup - AI Deepfake Vores CMO, Dave Holloway, siger: Årets rapport om informationssikkerhedstilstanden viser et fald i deepfake-hændelser sammenlignet med vores rapport fra 2024 (20 % vs. 30 %), men AI-drevne trusler er stadig det, organisationer lægger mest vægt på. Et bemærkelsesværdigt og ekstremt sofistikeret deepfake-angreb sidste år betød, at ingeniørvirksomheden Arup tabte 25 millioner dollars til cyberkriminelle. Det rapporteres, at en Arup-medarbejder blev manipuleret til at gennemføre transaktionen, da gerningsmændene udgav sig for at være ledende medarbejdere i virksomheden i en falsk videokonference. Medarbejderen mistænkte oprindeligt, at de havde modtaget en phishing-e-mail, da den specificerede behovet for at udføre en transaktion. Angriberne brugte imidlertid AI-genererede deepfakes til at udgive sig for at være betjentene, hvilket overbeviste medarbejderen om opkaldets legitimitet; de foretog derefter transaktionerne. I et interview med World Economic Forum beskrev Arups IT-chef, Rob Grieg, hændelsen som "teknologiforstærket social engineering" og har mistanke om, at "dette sker oftere, end mange mennesker er klar over." Bekæmpelse af AI-drevne trusler repræsenterer en løbende og udviklende udfordring for virksomheder. Medarbejderuddannelse kan sikre, at medarbejderne er opmærksomme på røde flag, de skal være opmærksomme på, og rollebaseret adgangskontrol sikrer, at kun bestemte medarbejdere kan få adgang til bestemte netværk eller fortrolige oplysninger, såsom økonomiske oplysninger. Det er dog stadig afgørende at have en robust og velindøvet beredskabsplan, hvis et angreb lykkes. Salesforce - Ransomware-angreb Vores CRO, Ross Down, siger: Angrebet på CRM-udbyderen Salesforce følger et lignende mønster som angrebet på M&S. Hackere målrettede medarbejdere og tredjepartsapps for at få adgang til virksomhedens netværk, og angiveligt kompromitterede de tredjepartsintegrationen Salesloft Drift ved at bruge stjålne OAuth-tokens til at opnå uautoriseret adgang. Da de havde fået adgang, var trusselsaktørerne i stand til at eksportere betydelige mængder følsomme data og hævde at have stjålet næsten en milliard poster på tværs af snesevis af Salesforce-kunder, herunder Fujifilm, Qantas, The Gap og flere. Gruppen krævede løsepenge fra Salesforce, men den beordrede også løsepenge fra de berørte kunder og begyndte at lække offerdata online. Det rapporteres dog, at Salesforce nægtede at betale løsesummen, og der er heller ingen beviser for, at nogen af ofrene betalte løsesummen. I stedet har Salesforce siden deaktiveret Drifts forbindelse til sine systemer. I skrivende stund er hændelsen stadig i gang, og angriberne truer fortsat med at lække yderligere Salesforce-kundedata. Denne hændelse er endnu en påmindelse om vigtigheden af tredjepartsrisikostyring, planlægning af forretningskontinuitet og planlægning af hændelsesrespons for at reducere og afbøde virkningen af et angreb. Den gode nyhed er, at organisationerne forbereder sig på disse eventualiteter. 80 % af respondenterne i vores rapport om informationssikkerhedens tilstand i 2025 sagde, at de havde implementeret forbedrede beredskabs- og genopretningsfunktioner til hændelser, mens 18 % planlægger at gøre det inden for de næste 12 måneder. Risikostyring: Proaktivitet er nøglen. I takt med at AI udvikler sig, forsyningskæder vokser, og angrebsfladen udvides, vil cyberangreb som de hændelser, som IO's ledelse har fremhævet, kun stige i både kompleksitet og sofistikering. Implementering af bedste praksis-standarder som ISO 27001 for informationssikkerhedsstyring og ISO 42001 for AI-styring giver organisationer mulighed for at mindske cyberrisiko samt forbedre identifikation og reaktion på hændelser. Klar til at handle? Vores tjekliste for cyberhygiejne indeholder ti bedste praksisser, som virksomheder kan implementere for at styrke deres cyberforsvar.

Læs mere

ISO 27001

Cyberhændelse i Heathrow: Lektioner i modstandsdygtighed og håndtering af hændelser

I takt med at regulatorer kræver robusthed i forretningsdrift, hvad kan andre så lære af cyberangrebet på en leverandør, der påvirkede Heathrow og dens konkurrenter i Europa? I september førte et cyberangreb på softwareleverandøren Collins Aerospace til lange forsinkelser i en række europæiske lufthavne, herunder London Heathrow. Angrebet påvirkede Collins' Muse-passagerbehandlingssoftware, der bruges af flyselskaber til at håndtere online check-in og bagagesystemer i lufthavne. Dengang fokuserede mange af overskrifterne på forstyrrelser og passagerfrustration, men den måske mere interessante historie er, at Heathrows drift ikke gik i stå. Lufthavnen fortsatte med at fungere, omend i en forringet tilstand, takket være nødprocedurer, der var på plads før hændelsen. Det kommer på et tidspunkt, hvor risikoen for cyberangreb stiger kraftigt. Ifølge Thales har der været en stigning på 600% i ransomware-angreb i luftfartssektoren på et år. Med den slags tal i betragtning forbereder regeringer og tilsynsmyndigheder sig på en fremtid, hvor det ikke er muligt at forebygge cyberhændelser. Det er langt vigtigere, at organisationer kan holde driften kørende, når den finder sted. I takt med at regulatorer kræver modstandsdygtighed i forretningsdrift, hvad kan andre så lære af det cyberangreb, der påvirkede Heathrow og dets konkurrenter i Europa? Grænsen mellem forstyrrelse og katastrofe Lufthavnens indsats hjalp den med at fortsætte, selv under angreb. Til Heathrows ros skal det siges, at deres fokus var på at holde essentielle operationer i gang, selvom kernefunktionerne blev langsommere og forårsagede synlige forstyrrelser, siger Becky White, ledende advokat i Harper James' databeskyttelses- og privatlivsteam. "Prioriteten var at opretholde sikker rejse snarere end at bevare en problemfri passageroplevelse," fortæller hun IO. "Ved at skifte til forudplanlagte manuelle processer og adskille kritiske systemer fra de berørte, var de i stand til at absorbere chokket i stedet for at kollapse under det." Katastrofe ville have betydet en fuldstændig nedlukning af lufttrafikken og passagerhåndteringen, hvorimod forstyrrelser betød køer, forsinkelser og løsninger. Heathrow havde "tydeligvis investeret i reserveprocedurer, der ikke var baseret på perfekte forhold", påpeger White. "Når systemerne svigtede, vidste personalet, hvordan 'godt nok til at blive ved med at være åben' så ud, og de handlede på det. Erfaringer for andre sektorer Andre bør være opmærksomme, især dem, der opererer i kritiske sektorer, hvor nedetid ikke er en mulighed. Ud over luftfart viser Heathrow-eksemplet, hvordan modstandsdygtighed kan gøre hele forskellen for brancher som sundhedspleje, energi, finans – eller detailhandel, der har oplevet sin egen bølge af angreb. Det handler om at sikre, at kritiske data kan gendannes hurtigt, at systemer kan gendannes sikkert, og at driften kan fortsætte – selv når det primære miljø er offline, siger Anthony Cusimano, direktør hos Object First. "Disse sektorer er stærkt afhængige af uafbrudt adgang til data og driftssystemer, og selv korte afbrydelser kan have kaskaderende konsekvenser." Kritiske industrier bedømmes i stigende grad på deres evne til at operere i "degraderet tilstand" snarere end helt at undgå afbrydelser, siger White. "Heathrow demonstrerede, at forretningskontinuitet ikke behøver at være perfekt." "Det handler om fremsynethed, øvelse og evnen til at prioritere, hvad der skal fortsætte." Det skjulte spørgsmål Med udgangspunkt i Heathrows tilgang bør alle bestyrelser sætte spørgsmålstegn ved, hvor længe de kunne forblive i drift, hvis deres kernesystemer gik offline, siger Sean Tilley, senior salgsdirektør EMEA hos 11:11 Systems. Alligevel peger han på en "ubehagelig sandhed": Mange organisationer har ikke fuldt ud stresstestet dette scenarie, og forretningskontinuitetsøvelser er ofte "teoretiske eller isolerede". De fleste organisationer antager stille og roligt, at de kan klare sig "i et stykke tid" uden et kernesystem, men meget få har testet, hvor længe det rent faktisk varer, siger White. "Det ærlige spørgsmål er ikke, om genopretning er mulig, men hvor længe virksomheden kan fungere uden sine nøgleplatforme – og hvad omkostningerne ville være for kunder, sikkerhed eller compliance." Med dette i betragtning bør organisationer behandle Heathrow-hændelsen som "et casestudie for planlægning af modstandsdygtighed", siger Ken Prole, administrerende direktør for softwareudvikling hos Black Duck. Han påpeger, at forstyrrelser ikke kun kommer fra cyberangreb: De kan også stamme fra uventede begivenheder såsom CrowdStrike-hændelsen, der ødelagde systemer verden over i 2024. Med den indvirkning, som nedetid har, i tankerne, fremhæver han spørgsmål, der bør stilles. For eksempel siger Prole: "Har I identificeret alle de kritiske afhængigheder i jeres operationer og udført en grundig trusselsmodel?" Har I en dokumenteret handlingsplan, der beskriver de handlinger, der skal udføres, når en eller flere afhængigheder kompromitteres?” Indgående regulering Behovet for operationel robusthed i angrebsperioder er en central del af flere reguleringer. I Storbritannien og EU prioriterer rammer som direktivet om netværk og informationssystemer (NIS2), loven om digital operationel modstandsdygtighed (DORA) og den britiske lov om cybersikkerhed og modstandsdygtighed operationel kontinuitet efter en hændelse. "Compliance vil i stigende grad kræve, at organisationer demonstrerer modstandsdygtighed gennem metrikker, revisioner og bevis for afprøvede genopretningskapaciteter," siger Tilley. ISO/IEC 27001 sætter i mellemtiden en basislinje for informationssikkerhedsstyringssystemer, herunder dokumenterede planer for håndtering af hændelser (A.5.29), overvejelser om forretningskontinuitet (A.5.30) og regelmæssig test af planer. Standarder som denne lægger vægt på scenariebaseret testning under realistiske forhold, så organisationer kan "validere deres planer, identificere huller og opbygge tillid til deres evne til at reagere effektivt", ifølge Prole. En anden nyttig ressource er NIST Cybersecurity Framework (CSF), som omfatter fem kernefunktioner til at "identificere, beskytte, detektere, reagere og genoprette". I Storbritannien er National Cyber Security Centres Cyber Assessment Framework (CAF) specifikt et værktøj til essentielle tjenester og kritisk national infrastruktur. Modstandsdygtighed på bestyrelsesniveau er nu et compliance-krav, og med god grund. Forebyggelse er fortsat afgørende, men den større prøve er, hvordan organisationer fortsætter, når det værst tænkelige sker. Heathrow er en påmindelse fra den virkelige verden om, at modstandsdygtighed – når den testes, øves og integreres – er lige så meget et krav om overholdelse af regler som en sikkerhedsforanstaltning. Dette er vigtigt at overveje på bestyrelsesniveau, hvor ansvaret for både modstandsdygtighed og sikkerhed nu ligger, påpeger White. Hun mener, at virksomheder skal "definere, hvilket niveau af nedetid der er tolerabelt", forstå deres operationelle afhængigheder og "sikre investering i realistisk kontinuitetsplanlægning". Samtidig er der behov for regelmæssige evalueringer for at tilpasse sig ændringer i teknologi, regulering og forsyningskæder, siger White. "Modstandsdygtighed bør stå side om side med finansiel og juridisk risiko på bestyrelsesniveau, med klare rapporteringslinjer og ansvarlighed." Forventningen fra tilsynsmyndigheder og interessenter er, at virksomheder kan demonstrere parathed, ikke blot intention. Hvis bestyrelsen kun støder på planen under en reel hændelse, har organisationen allerede mistet kontrollen over fortællingen.”

Læs mere

ISO 27001

Northwest Nodes: Fra glad kunde til betroet partner

"IO-platformen blev vores vigtigste knudepunkt for driften, da alle politikker og procedurer er samlet ét sted, og når der sker noget, kan vi opdatere vores standarder i overensstemmelse hermed."

Zale Reeves Grundlægger, NorthWest Nodes

Lær hvordan nordvestlige noder:

Opnåede ISO 27001-certificering på ni måneder
Brugte Assured Results-metoden til at strømline compliance
Integrerede IO-platformen i den daglige drift for at styre informationssikkerhed
Blev en del af IO's betroede partnernetværk for at understøtte deres kunders succes med informationssikkerhed.

NorthWest Nodes er en udbyder af blockchain-infrastruktur, der tilbyder en række løsninger til virksomheder inden for Web3, herunder Chainlink Oracle node hosting, RPC-noder og konsulenttjenester. Virksomheden bygger innovative, sikre og skalerbare teknologiløsninger til fremtidens digitale infrastruktur.

NorthWest Nodes understøtter over 70 blockchains og forskellige protokoller med fokus på institutionelle kunder. Som en del af en stærkt reguleret branche krævede Northwest Nodes ISO 27001-certificering for at overholde juridiske krav. Certificeringen lovede også omdømmefordele: det ville opbygge tillid hos kunder, potentielle kunder og andre interessenter. Teamet vidste, at ISO 27001-certificering ville demonstrere virksomhedens omfattende og dedikerede tilgang til beskyttelse af følsomme oplysninger.

NorthWest Nodes manglede dog et omfattende rammeværk for implementering af ISO 27001. Virksomheden havde implementeret nogle informationssikkerhedsforanstaltninger, men manglede den nødvendige sporing og de nødvendige værktøjer til at håndtere dem effektivt. Zale og teamet håndterede informationssikkerhed ved hjælp af uensartet intern dokumentation i stedet for på en centraliseret platform. De vidste, at udnyttelse af en konsolideret platform ville være nøglen til at strømline deres certificering.

NorthWest Nodes benyttede IO-platformen til at understøtte deres ISO 27001-certificeringsproces. Zale og hans team brugte ISO 27001-tips, -vejledning og -support, der er inkluderet i 11-trins Assured Results-metoden, til at strømline compliance, hvilket gjorde det muligt for dem at arbejde strategisk med kravene og tage processen trin for trin, efterhånden som hvert trin blev gennemført.

"IO-platformen var fantastisk; vi kunne starte fra trin et og arbejde os flittigt igennem over tid."

Zale Reeves Grundlægger, NorthWest Nodes

Teamet fandt platformens risikostyringssystem særligt nyttigt, da det gjorde det muligt for dem at vurdere, styre og se organisatoriske risici i et klart og omfattende risikoværktøj. Værktøjet blev leveret præfyldt med foreslåede risici, som teamet kunne vælge imellem, samt en funktion, hvor de kunne indtaste deres egne, organisationsspecifikke risici.

Northwest Nodes opnåede ISO 27001-certificering på bare ni måneder; Zale anslår, at platformen sparede virksomheden et år eller mere i implementeringstid. Virksomheden har nu integreret IO-platformen som et centralt element i den daglige drift, hvilket sikrer, at informationssikkerheden opretholdes og løbende forbedres i overensstemmelse med ISO 27001-standardens krav.

"IO-platformen blev vores vigtigste knudepunkt for driften, da alle politikker og procedurer er samlet ét sted, og når der sker noget, kan vi opdatere vores standarder i overensstemmelse hermed."

Zale Reeves Grundlægger, NorthWest Nodes

Zale anerkender IO's præbyggede ISO 27001-rammeværk og vores konsulenters ekspertise som den største værditilvækst for Northwest Nodes' certificeringsrejse og roser teamets tilgængelighed og hjælpsomhed.

"Personalet var tilgængeligt hele tiden, og de faciliterede vores interne og eksterne revisioner, så vi vidste, at vi fik support fra start til slut."

Zale Reeves Grundlægger, NorthWest Nodes

Derudover opnår virksomheden allerede betydelig værdi fra sin ISO 27001-certificering:

"Vores muligheder er steget enormt takket være dette certifikat."

Zale Reeves Grundlægger, NorthWest Nodes

"Det er virkelig en fornøjelse at arbejde med teamet, og det er en selvfølge at bruge IO til alle certificeringsstandarder."

Zale Reeves Grundlægger, NorthWest Nodes

Teamet planlægger at tackle SOC 2-certificering som det næste. Northwest Nodes har også udvidet sit samarbejde med IO og er for nylig blevet en af IO's betroede partnere. Nu støtter Zale og hans team deres egne kunder i deres arbejde med at opnå overholdelse af og certificering i henhold til standarder som ISO 27001, SOC 2, ISO 42001 og flere.

"IOs platform og support var helt fantastisk, og vi vidste, at der ville være behov for, at andre virksomheder som vores overholdt reglerne. Det var et oplagt valg for at hjælpe folk med at blive certificeret."

Zale Reeves Grundlægger, NorthWest Nodes

Zale deler, hvad han anser for at være den største fordel for organisationer, der anvender IO: "At vide, at man har rammerne til rådighed, så intet går glip af, at kunne tilføje noter og diskussioner til alle aspekter af ISMS'et, og at have den nødvendige støtte til at lave en plan og holde sig til den, er alt sammen enorme fordele i sig selv."

"At have det hele samlet ét sted tager måneder af processen og sikrer, at du er klar til revision."

Zale Reeves Grundlægger, NorthWest Nodes

Han forklarer, at når det kommer til at henvise klienter, er det IO-platformens enkelhed og overkommelige pris, der får den til at skille sig ud for ham sammenlignet med andre platforme.

"Du kender din virksomhed bedre end nogen anden, og det bør være dig, der gør arbejdet med at få dit ISMS klar. Mange virksomheder tilføjer en masse ekstrafunktioner, der er unødvendige og dyre."

Zale Reeves Grundlægger, NorthWest Nodes

Læs mere

ISO 27001

Hvordan TouchPoints.health bruger ISO 27001-certificering til at muliggøre forretningsvækst

"For en sundhedsvirksomhed som vores er tillid altafgørende. At have en partner som IO har været afgørende for at forvandle compliance fra en udfordring til en vækstfaktor."

Alex Almoudaris Administrerende direktør og grundlægger, TouchPoints.health

Lær hvordan TouchPoints.health:

Opnåede ISO 27001-certificering på seks måneder
Brugte Assured Results-metoden til at strømline og konsolidere compliance
Integreret compliance i daglige arbejdsgange og på tværs af organisationen
Sikrer løbende medarbejderengagement og -bevidsthed om informationssikkerhed med dedikeret træning.

TouchPoints.health er en sikker, cloudbaseret platform til praksisadministration, der er designet specifikt til private læger og klinikker i Storbritannien. Virksomheden gør det muligt for klinikere at drive hele deres service fra én brugervenlig platform med vægt på menneskecentreret design og sikkerhed.

Deres mission er at transformere den private sundhedsoplevelse for både læger og patienter ved at kombinere brugervenlighed med robust compliance og sikkerhed.

TouchPoints.health er bygget eksklusivt til klinikere og deres patienter; derfor gemmes følsomme sundhedsdata på platformen, og robuste og sikre datahåndteringspraksisser er afgørende. Teamet vidste, at ISO 27001-certificering var nøglen til at opbygge tillid til platformen og demonstrere, at virksomheden håndterer følsomme data sikkert.

"En vigtig prioritet var at demonstrere for klinikere, patienter og partnere, at vores platform er både sikker og effektiv. Tillid til, hvordan vi håndterer følsomme sundhedsdata, er fundamental for implementeringen."

Alex Almoudaris Administrerende direktør og grundlægger, TouchPoints.health

Alex og hans team håndterede organisationens compliance af informationssikkerhedsregler ved hjælp af en række SharePoint-dokumenter, regneark og interne tjeklister. Selvom denne tilgang var brugbar, var den ikke skalerbar i takt med virksomhedens vækst.

Som en del af at opnå ISO 27001-certificering vidste TouchPoints.health-teamet, at virksomheden var nødt til at skalere fra forskellige politikker og procedurer til et fuldt struktureret, revisionsklart informationssikkerhedsstyringssystem (ISMS), der var klart, dynamisk og integreret i den daglige drift. For at gøre dette krævede de en omfattende, centraliseret tilgang til compliance og en løsning, der kunne understøtte deres ISO 27001-certificeringsproces.

"Som et lille, men voksende team, havde vi brug for en løsning, der kunne guide os gennem bedste praksis og samtidig minimere den administrative byrde."

Alex Almoudaris Administrerende direktør og grundlægger, TouchPoints.health

TouchPoints.health implementerede IO-platformen til at understøtte deres ISO 27001-overholdelse og certificeringsproces ved hjælp af vores 11-trins Assured Results Method (ARM) til at strømline og understøtte deres fremskridt.

"Platformen tilbyder en struktureret proces med praktisk vejledning, som hjalp os med at fremskynde vores parathed. [IO-platformens] brugervenlighed skilte sig ud i forhold til traditionelle dokumenttunge systemer."

Alex Almoudaris Administrerende direktør og grundlægger, TouchPoints.health

Derudover brugte Alex og hans team platformens ISO 27001-rammeværk til at understøtte deres overholdelse og certificering. ISO 27001-modulet leveres med politik- og kontrolskabeloner, som virksomheder kan tilpasse til deres specifikke branche og krav, komplet med intuitive opgavestyringsfunktioner, en risikobank og et evidensbibliotek.

"Det foruddefinerede ISO 27001-rammeværk, dynamiske politikker og kontroller samt den samarbejdsbaserede opgavestyring var uvurderlige. Det revisionsklare dokumentationsbibliotek gav os også tillid til forberedelserne til eksterne vurderinger."

Alex Almoudaris Administrerende direktør og grundlægger, TouchPoints.health

Ved hjælp af IO-platformen og det forudinstallerede ISO 27001-framework accelererede det dedikerede TouchPoints.health-team deres ISO 27001-certificeringsrejse.

"Vi anslår, at IO har sparet os mindst 30-40 % af tiden sammenlignet med at forsøge at opbygge og vedligeholde vores ISMS manuelt, især når det kommer til kortlægning af kontroller og indsamling af bevismateriale."

Alex Almoudaris Administrerende direktør og grundlægger, TouchPoints.health

Imponerende nok opnåede TouchPoints.health UKAS-akkrediteret ISO 27001-certificering på bare seks måneder uden afvigelser. Dette skyldes i høj grad TouchPoints.health-teamets engagement. Alex beskrev, hvordan brugen af IO gjorde det muligt for teamet at integrere compliance i de daglige arbejdsgange og på tværs af organisationen: "I stedet for at compliance er en sideopgave, er det nu en del af, hvordan vi arbejder."

"Det mest værdifulde element har været den klare ramme og vejledning, der fjerner tvetydighed, og den fremragende støtte, der tilbydes, når det er nødvendigt. Dette har accelereret vores fremskridt, samtidig med at vi har sikret, at vi forbliver på linje med bedste praksis."

Alex Almoudaris Administrerende direktør og grundlægger, TouchPoints.health

Medarbejdernes bevidsthed om informationssikkerhed er afgørende for løbende overholdelse af ISO 27001, såvel som specifikt inden for sundhedssektoren, som er i høj grad målrettet mod trusselsaktører. IO's medarbejderuddannelsesfunktioner var et område, hvor Alex sagde, at platformen gav uventet support:

"En uventet fordel har været, hvordan platformen understøtter teamengagement og træning. Den strukturerede tilgang betyder, at sikkerhed nu er en del af de daglige samtaler, ikke blot et compliance-projekt."

Alex Almoudaris Administrerende direktør og grundlægger, TouchPoints.health

Alex roste også den støtte, som IO-teamet har ydet.

"Det har været en fornøjelse at arbejde sammen med teamet. De har været støttende, kyndige og lydhøre. Deres ekspertise i at navigere i ISO 27001 har været afgørende for at hjælpe os med at bevæge os fremad med selvtillid."

Alex Almoudaris Administrerende direktør og grundlægger, TouchPoints.health

TouchPoints.health-teamet hviler ikke på laurbærrene, når det kommer til compliance, men de har et vigtigt næste skridt at tage!

"Vores næste skridt er at finde et sted at hænge vores certifikat!"

Alex Almoudaris Administrerende direktør og grundlægger, TouchPoints.health

Læs mere

ISO 27001

Hvad et npm-angreb siger om risiciene ved open source-software

Historien om open source-sikkerhed er fyldt med eksempler på katastrofale fejl og næsten-uheld. En krypto-malwarekampagne, der blev opdaget i begyndelsen af september, falder et sted mellem de to. Ifølge rapporter kompromitterede en uidentificeret trusselsaktør en enkelt npm-vedligeholderkonto og implementerede med den adgang skadelig kode på tværs af pakker med over to milliarder ugentlige downloads. Det er allerede blevet beskrevet som det største forsyningskædekompromis i npm's historie – i sig selv verdens største softwareregister. Hvis dette er et tegn på, hvad der skal ske, hvordan beskytter virksomhedsbrugere af open source sig så mod den stigende cyberrisiko? Hvad skete der med npm? Den 8. september afslørede udvikler og open source-vedligeholder Josh Junon (også kendt som "qix") på sociale medier, at hans npm-konto var blevet kompromitteret. Han fandt ud af det, efter at den nævnte konto begyndte at poste trojaniserede versioner af populære pakker som chalk (300 millioner ugentlige downloads), debug (357 millioner) og ansi-styles (371 millioner). Den ondsindede kode "opfanger lydløst krypto- og web3-aktivitet i browseren, manipulerer tegnebogsinteraktioner og omskriver betalingsdestinationer, så penge og godkendelser omdirigeres til angriberkontrollerede konti uden tydelige tegn for brugeren," ifølge Aikido. Junon blev angiveligt mål for et sofistikeret social engineering-angreb. Trusselsaktørerne registrerede et typosquatting-domæne flere dage forinden og brugte det til at udgive sig for at være legitime npm-administratorer i en e-mail til nulstilling af tofaktor-godkendelse. Junon hævdede, at det "så meget legitimt ud". En heldig flugt? Til sidst samledes open source-fællesskabet, og – imponerende nok – var alle ondsindede pakkeversioner blevet fjernet mindre end fire timer senere. "Alle arbejder sammen." Information kan deles. "Antallet af mennesker, der nu arbejder på dette, er ikke bare større end jeres sikkerhedsteam, det er større end jeres virksomhed," sagde Anchores vicedirektør for sikkerhed, Josh Bressers. Rapporter på daværende tidspunkt antydede, at trusselsaktørerne havde formået at stjæle mindre end $1000 fra ofrenes krypto-tegnebøger, på trods af kampagnens potentielt enorme rækkevidde. Det var dog ikke slutningen på historien. Selv i det korte tidsrum, hvor pakkerne cirkulerede i naturen, spredte de sig vidt og bredt. Ifølge sikkerhedsleverandøren Wiz blev 10% af cloudmiljøerne påvirket. "I løbet af den korte tidsramme på to timer, hvor versionerne var tilgængelige til download, ville enhver browser, der indlæste det berørte websted, hvis de blev integreret i frontend-builds og leveret som webaktiver, udføre en ondsindet nyttelast, der kobler netværks- og wallet-API'er for lydløst at omskrive kryptovalutamodtagere/godkendelser før underskrivelse, så transaktioner ville blive omdirigeret til angriberstyrede wallets," hævdede sælgeren. Det kom senere frem, at trusselsaktørerne også var rettet mod andre vedligeholdere og pakker, herunder duckdb, proto-tinker-wc, prebid-universal-creative, og prebid og prebid.js. Selvom det er heldigt, at den ondsindede nyttelast "kun" var kryptostjælende malware snarere end noget mere alvorligt, er det helt sikkert en advarsel for fremtiden. Vedligeholdere i sigtekornet Der er ingen måde at putte open source-ånden tilbage i flasken. Over 6.6 billioner open source-komponenter blev downloadet i 2024, hvor npm tegnede sig for 4.5 billioner anmodninger, ifølge Sonatype. Men det er bekymrende, at vedligeholdere af enormt populære pakker, ofte underressourcede og overbelastede, bliver mål for angreb i større antal. Sonatypes regionale vicedirektør, Mitun Zavery, sammenligner denne seneste kampagne med den, der var rettet mod xz Utils sidste år. "Vi har set et tydeligt mønster vise sig, hvor trusselsaktører går efter vedligeholdere af udbredte, men underressourcede projekter." Det nylige kompromitteret af npm-pakker som chalk og debug afspejler, hvad vi observerede med xZ Utils-bagdørsforsøget. I begge tilfælde opbyggede modstanderen tålmodigt tillid for at opnå kontrol, hvilket viser, at social manipulation nu er et centralt stadie i kompromittering af forsyningskæden,” fortæller han ISMS.online. "Branchen skal erkende, at open source-vedligeholdere er en del af vores kritiske infrastruktur, og begynde at forsyne dem i overensstemmelse hermed med finansiering, sikkerhedsværktøjer og supportnetværk." Vores arbejde med xz Utils viste, at samarbejdsbaseret tidlig varsling og hurtig reaktion på tværs af økosystemet kan stoppe disse angreb, før de spreder sig.” Assume Compromise JFrogs vicedirektør for sikkerhedsforskning, Sachar Menashe, argumenterer for, at udfordringen med sådanne angreb er deres hastighed. "Når en betroet pakke er kompromitteret, kan den sprede sig hurtigt via CI/CD-pipelines og på tværs af projekter." En nultrust-tilgang er afgørende: ingen pakke bør have tillid udelukkende fordi den er populær,” fortæller han ISMS.online. "For at afbøde disse angreb bør organisationer kræve tofaktorgodkendelse." Dette håndhæves allerede i npm og PyPI, men ikke i andre repositories som Maven og NuGet.” Ideelt set bør pakker kontrolleres, før de kommer ind i en organisation, med definerede regler og analyse af direkte og transitive afhængigheder i kontekst, fortsætter Menashe. "Det hjælper også at udsætte opgraderinger." Faktisk viser vores forskning, at det giver en stærk sikkerhedsforanstaltning at vente mindst 14 dage, før nye pakkeversioner implementeres, da kaprede pakker næsten altid opdages og fjernes inden for denne tidsramme,” siger han. Sonatypes Zavery argumenterer for, at indsigt i open source-komponenter og -pakker også er nøglen. "Organisationer skal antage, at kompromittering er mulig, og være klar til at reagere ved at vedligeholde nøjagtige softwarestyklister (SBOM'er), overvåge mistænkelige afhængighedsændringer og sandboxe-builds," forklarer han. "Da vi undersøgte xz Utils-hændelsen, så vi, hvordan denne synlighed gjorde det muligt hurtigt at identificere og fjerne inficerede komponenter." Sikkerhedsstandarder kan også hjælpe organisationer, argumenterer Zavery. "Rammer som ISO 27001 kan hjælpe ved at håndhæve disciplinerede risikostyrings-, adgangskontrol- og hændelsesresponsprocesser, men de skal anvendes med et forsyningskædeperspektiv," konkluderer han. "Integrering af open source-sikkerhedskontroller i disse standarder kan gøre organisationer mere modstandsdygtige over for den slags kontoovertagelser, vi lige har set." Én ting er sikkert: disse angreb vil blive ved med at komme tilbage stærkere hver gang. Bare få dage efter denne kampagne startede, ramte den første ormekompatibele malware nogensinde npm-økosystemet. Uanset hvad der sker, har CISO'er ikke råd til at have en blind plet i deres organisation relateret til open source-sikkerhed.

Læs mere

ISO 27001

Mere end afkrydsningsfelter – Hvorfor standarder nu er en nødvendighed for virksomheder

Hver oktober afholdes Verdensstandarddagen med lidt fanfare. Måske er det fordi, det for mange fremkalder billeder af bureaukratisk papirarbejde, tørre akronymer og endeløse tekniske udvalg. Alligevel styrer standarder i stilhed den måde, vi handler, innoverer og opbygger tillid på, bag kulisserne. De er på en måde den usynlige stilladsering i den globale økonomi. Alt for længe er standarder dog blevet misforstået, sat i bås med "compliance" og afvist som øvelser i at afkrydse reglerne, attester for at formilde tilsynsmyndigheder eller dokumenter, der skal forhindre revisorer i at stille vanskelige spørgsmål. I 2025 er det mere end forældet at klamre sig til den opfattelse. Det er potentielt risikabelt. I takt med at virksomheder står over for stadig mere komplekse trusler og håndterer den hurtige og til tider forvirrende udvikling af teknologi og lovgivningsmæssige krav, er standarder og rammer faktisk ikke det bureaukrati, de fejlagtigt opfattes som, men fundamentet for effektiv modstandsdygtighed, effektivitet og langsigtet vækst. Den voksende angrebsflade. Årets rapport om informationssikkerhedens tilstand kaster lys over udfordringens omfang. Organisationer fordobler deres digitale transformation for at overleve økonomisk usikkerhed og konkurrere i en stadig mere AI-drevet økonomi. Men med hvert nyt værktøj, app og tilsluttet enhed udvides virksomheders angrebsflade. 41 % siger, at håndtering af tredjepartsrisiko er en af de største udfordringer. 39 % nævner sikring af nye teknologier, såsom AI. 37% kæmper med cloud-sikkerhed. 40 % identificerer skygge-IT som den mest almindelige udfordring, de står over for fra medarbejdere. Konsekvenserne mærkes allerede. Mere end 61 % af organisationerne indrømmer, at de har været udsat for en sikkerhedshændelse hos tredjepart i det seneste år. Næsten tre fjerdedele (71%) modtog en bøde for et databrud, hvoraf 30% betalte over £250,000. På denne baggrund handler standarder som ISO 27001 for informationssikkerhed, ISO 27701 for databeskyttelse og den nyligt introducerede ISO 42001 for kunstig intelligens mindre om certificering og mere om kontrol. De tilbyder en struktureret, risikobaseret måde at bringe omfattende risici under kontrol ved at samordne cybersikkerhed, privatliv og AI-styring i én sammenhængende strategi med løbende forbedringer. Fra compliance til robusthed Overholdelse af standarder har længe været en defensiv foranstaltning, en måde at overholde lovens bogstav, undgå bøder og demonstrere et grundlæggende ansvar over for tilsynsmyndighederne. Det er fortsat vigtigt, især i takt med at bøderne stiger, og bestyrelserne står over for stigende kontrol. Men organisationer, der behandler compliance som en engangsforeteelse, et certifikat, der skal fornyes, eller en revision, der skal bestås, går glip af dens virkelige potentiale. Når compliance er baseret på anerkendte standarder og bruges som en løbende ramme for forbedring, bliver det en drivkraft for robusthed, effektivitet og endda rentabilitet. Moderne standarder, såsom ISO 27001, ISO 27701 og ISO 42001, er udviklet med det i tankerne. De definerer ikke længere succes som at opfylde et fastlagt krav, men som at opretholde en løbende forpligtelse til modstandsdygtighed og tilpasning. De forventer, at organisationer forudser forandringer, reagerer hurtigt og udviser kontrol. Regulatorerne følger samme spor. I Europa placerer NIS2-direktivet og DORA direkte ansvarlighed for cyberrobusthed hos den øverste ledelse, mens Storbritanniens kommende lov om cybersikkerhed og -robusthed vil give regeringen stærkere beføjelser til at håndhæve den. Bestyrelser er ikke længere ansvarlige på papiret; de skal bevise, at modstandsdygtighed er indlejret i, hvordan virksomheden fungerer. Og modstandsdygtighed kan ikke købes i en krise. Det skal bygges. Det er et mål for, om en virksomhed kan fortsætte driften, når det værst tænkelige sker, og det er hurtigt ved at blive benchmarken for kompetence for både tilsynsmyndigheder, investorer og kunder. I vores rapport identificerede 41 % af organisationerne digital robusthed som deres største udfordring. Konsekvenserne af at ikke komme til kort er markante: 86 % af ofrene for brud oplevede sidste år driftsforstyrrelser, lige fra manglende kundeservice til stoppede produktionslinjer. Det er her, standarder beviser deres værdi. ISO 27001 opfordrer organisationer til at tænke ud over compliance og i stedet indarbejde en risikobaseret tilgang og opbygge systemer, der er fleksible nok til at håndtere nye trusler, når de opstår. ISO 27701 udvider ansvarligheden til håndtering af personoplysninger og reducerer dermed eksponeringen for omdømmemæssige og juridiske konsekvenser som følge af krænkelser af privatlivets fred. Og ISO 42001 sætter barrierer for ansvarlig brug af AI, et felt hvor regulatorer og virksomheder stadig arbejder på at finde ud af, hvordan de kan holde trit med den hurtige udvikling. Sammen bevæger disse standarder organisationer fra en compliance-først holdning til en holdning forankret i modstandsdygtighed. De bliver strategiske aktiver, der gør det muligt for organisationer at bygge systemer, der er i stand til at modstå forstyrrelser, beskytte kunder og opretholde tillid, når det betyder mest. Tillid som den nye valuta Hvis modstandsdygtighed er fundamentet, er tillid nu valutaen for succesfulde virksomheder. Kunder, investorer og tilsynsmyndigheder tager ikke længere virksomheder på ordet; de forventer bevis for, at virksomhederne gør det rigtige. Det skift giver allerede gevinst for organisationer, der ser compliance og standarder som forretningsmæssige katalysatorer snarere end forpligtelser. Ifølge vores rapport om informationssikkerhedens tilstand fra 2025 forbinder mere end fire ud af ti virksomheder nu overholdelse af standarder direkte med kundefastholdelse. Næsten halvdelen siger, at det har forbedret kvaliteten af deres beslutningstagning, mens over en tredjedel rapporterer håndgribelige omkostningsbesparelser som følge af færre sikkerhedshændelser. Disse tal understreger et skift i tankegang: Compliance og standarder ses ikke længere udelukkende som en omkostning ved at drive forretning, men som faktorer, der muliggør tillid, effektivitet og vækst. Den forventning former forretningsresultaterne. For startups kan tillid være den afgørende faktor for at sikre finansiering. For skala-ups låser det op for virksomhedskontrakter. For multinationale virksomheder holder det komplekse forsyningskæder sammen. Det er i stigende grad tillid, ikke størrelse eller arv, der afgør, hvem virksomheder vælger at samarbejde med. Standarder er med til at formalisere denne tillid. Valget af at overholde ISO 27001 eller SOC 2 giver uafhængigt bevis for, at en organisations systemer er blevet testet, dens styring er blevet gransket, og dens kontroller løbende forbedres. I en tid, hvor et enkelt forkert klik kan forårsage omdømmeskade, har denne form for forsikring betydelig vægt. Standarder som strategi, ikke byrde Forestillingen om, at standarder sinker virksomheder, er en anden vedvarende myte. I praksis gør de det modsatte, når de implementeres korrekt. Standarder strømliner driften ved at reducere dobbeltarbejde, samordne afdelinger og fjerne virvaret af overlappende regler. De giver også noget mindre håndgribeligt, men mere værdifuldt: konsistens. I vidtstrakte organisationer og globale forsyningskæder etablerer standarder et fælles grundlag for sikring. I stedet for at hvert team eller hver leverandør fortolker "god praksis" forskelligt, skaber standarder et fælles sprog for risiko, ansvar og modstandsdygtighed og sikrer, at alle arbejder ud fra de samme forventninger. Udfordringen ligger mindre i selve standarderne og mere i, hvordan de implementeres. Alt for ofte ses compliance som en engangsopgave snarere end en kontinuerlig forbedringsproces. Uden opbakning fra ledende medarbejdere bliver det reaktivt og fragmenteret. Med støtte fra ledelsen udvikler standarder sig dog til noget langt mere kraftfuldt: en ramme for vækst, modstandsdygtighed og tillid, der samler mennesker, processer og partnere omkring en enkelt, strategisk definition af "godt". Verdensstandarddagen ud over afkrydsningsfeltet bør være mere end en fodnote i kalenderen. Det bør tjene som en påmindelse om at bevæge sig væk fra ideen om standarder som statiske dokumenter og omfavne standarder som levende rammer, der revideres, tilpasses og udvides for at holde trit med nye trusler og teknologier. De organisationer, der omfavner denne virkelighed, er ikke tynget af compliance; de bliver muliggjort af den. De opbygger modstandsdygtighed i deres drift, vinder tillid i overfyldte markeder og åbner døre til nye muligheder. Standarder er i den forstand ikke slutningen på rejsen. De er motoren, der driver den. Og i en verden, hvor uforudsigelighed er den eneste konstant, kan investering i den motor vise sig at være den mest værdifulde strategiske beslutning, en virksomhed kan træffe.

Læs mere

ISO 27001

Jaguar Land Rovers prøvelser fremhæver behovet for cyberrobusthed

Producenter har været det mest populære mål for globale cyberangreb i løbet af de sidste fire år. Sektoren var også nummer et for ransomware i 2024, ifølge IBM-data. Så da Jaguar Land Rover (JLR) rapporterede, at den var blevet ramt af digitale afpresningsforbrydere i starten af september, kom det ikke som den store overraskelse. Men det gav en rettidig påmindelse om den potentielt kritiske indvirkning af sådanne angreb på forretningskontinuiteten. Sikkerhedsteams bør bruge dette som en mulighed til at argumentere over for bestyrelsen for større investeringer i cyberrobusthed. Eftervirkningerne fortsætter Storbritannien er blevet rystet af en række cyberafpresningsangreb i år. De synes alle at stamme fra et løst kollektiv af engelsktalende trusselsaktører beskrevet som Scattered Spider, Shiny Hunters og nu Scattered Lapsus$ Hunters. Først kom razziaen mod detailhandlere, herunder M&S og Co-op. Så kom en forsyningskædekampagne målrettet mod Salesforce-instanser. Og derefter en række relaterede angreb på Salesforce-kunder, der var rettet mod deres Salesloft Drift-integration. Gruppen praler nu angiveligt på sin Telegram-kanal med at hacke JLR. Hvordan det præcist skete, er i øjeblikket ubekræftet, selvom nogle rapporter nævner udnyttelse af en SAP NetWeaver-sårbarhed. En kritisk fejl i softwaren blev rettet af SAP i april, og den vides at være blevet brugt af ransomware-grupper, og exploit-koden er offentligt tilgængelig. Bortset fra taktikker, teknikker og procedurer (TTP'er), ved vi dog præcis, hvad der står på spil for JLR. Fra dag ét indrømmede virksomheden, at dens "detail- og produktionsaktiviteter er blevet alvorligt forstyrret." En uge senere afslørede JLR: "nogle data er blevet påvirket, og vi informerer de relevante tilsynsmyndigheder." Da personalet på virksomhedens faciliteter i Solihull, Halewood, Wolverhampton og uden for Storbritannien stadig ikke er i stand til at arbejde, anslås det, at konsekvenserne kan koste JLR op til £5 millioner om dagen i tabt fortjeneste. For ikke at nævne virkningen på en udvidet forsyningskæde, der er afhængig af JLR for sit levebrød. Fagforeninger har opfordret til støtte fra regeringen efter rapporter om, at nogle leverandører står over for konkurs. For at gøre dem endnu mere forfærdede er september en af årets travleste måneder for bilproducenter og deres partnere, da det falder sammen med udgivelsen af nye nummerplader. JLR har udskudt genåbningen af sine faciliteter flere gange. I skrivende stund ville den seneste produktionspause forlænge nedbruddet indtil 1. oktober. Hvad modstandsdygtighed betyder Alt dette bør fremhæve nogle vigtige erfaringer om behovet for, at organisationer fokuserer på at forbedre deres cyberrobusthed. Hvad er modstandsdygtighed? Ifølge NIST er det evnen til at "forudse, modstå, komme sig over og tilpasse sig" cyberangreb. Det betyder, at man implementerer bedste praksis for at sikre, at trusselsaktører har færre muligheder for at få adgang til kritiske netværk og ressourcer. Men også så organisationen kan komme sig hurtigt og fortsætte med at fungere som normalt, selvom den skulle opleve et brud. ThingsRecon CISO Tim Grieveson argumenterer for, at sikkerhedsledere for at opnå dette først skal forstå deres organisations vigtigste forretningsfunktioner og relaterede systemer. Dette vil give dem mulighed for at prioritere investeringer baseret på forretningsmæssig effekt. "I stedet for at tale om teknisk jargon som 'sårbarhedsscorer', bør ITSO'er oversætte cyberrisiko til økonomiske termer, der resonerer med bestyrelsen og den øverste ledelse." Det kan betyde at præsentere de potentielle omkostninger ved nedetid, datatab eller bøder fra myndighederne,” fortæller Grieveson til ISMS.online. "En CISO's strategi skal også være baseret på antagelsen om, at et brud ikke er et spørgsmål om 'hvis', men 'hvornår'. Dette flytter fokus fra at bygge en uigennemtrængelig mur til at bygge et system, der kan absorbere, modstå og hurtigt komme sig efter et angreb.” CISO'er skal også forstå vigtigheden af løbende medarbejderuddannelse for at opbygge en sikkerhedsbevidst kultur. "Dette gør hver medarbejder til en del af sikkerhedsforsvaret og lærer dem at genkende og rapportere potentielle trusler som phishing-forsøg," siger han. Men selv med den bedste træning kan der forekomme brud. Det er her, testning mod forudbestemte scenarier kommer ind i billedet, ifølge William Wright, administrerende direktør for Closed Door Security. "Hvad er den værst tænkelige situation?" Hvis denne situation opstår, kan organisationen så komme sig over den? Hvis ikke, hvilke mangler er der så, og hvordan kan de afhjælpes? Denne vurdering bør dække alle interne og eksterne aktiver. For eksempel, hvordan kan brud på leverandører påvirke min drift? Ikke alle angreb er direkte,” fortæller han ISMS.online. "I disse miljøer vil alle angrebsscenarier, hvor det er muligt, have en færdiglavet og indøvet strategi for afbødning, mens der altid vil være sikkerhedskopier på plads for at begrænse angrebenes operationelle påvirkning." Zero Trust kan også være en nyttig måde at tænke på at opbygge modstandsdygtighed, tilføjer Grieveson. "En Zero Trust-tilgang antager, at netværket allerede er kompromitteret, og kræver, at alle brugere, enheder og applikationer verificeres, før der gives adgang," forklarer han. "Dette er især relevant for producenter, der ofte er afhængige af en blanding af gamle driftsteknologiske systemer og nyere IT." Standarder kan hjælpe Grieveson tilføjer, at bedste praksis-standarder som ISO 27001 og SOC2 også kan bidrage til at opbygge modstandsdygtighed ved at etablere en struktureret ramme for styring af informationssikkerhed. "De tilbyder konkrete forventninger til, hvordan et godt udseende ser ud, som går ud over blot at forhindre angreb," konkluderer han. "I stedet for at tænke på sikkerhed som en reaktiv øvelse i at afkrydse felter, opfordrer det virksomheder til at anlægge en proaktiv, forretningsorienteret tilgang med den styring, de processer og de kontroller, der er nødvendige for at forhindre angreb." Og for at sikre, at virksomheden kan overleve og hurtigt komme sig, når et uundgåeligt brud opstår.”

Læs mere

ISO 27001

Hvad gik galt, og hvilke lektier kan vi lære af Optus, da det bliver sagsøgt?

Retfærdighedens hjul bevæger sig nogle gange langsomt. Sådan er det også i Australien, hvor privatlivsmyndigheden endelig har anlagt en civil retssag mod telegiganten Optus for et databrud i 2022, som stadig giver genlyd den dag i dag. Den føderale domstol kan pålægge en civilretlig bøde på op til 2.2 millioner australske dollars (1.1 millioner pund) for hver overtrædelse, og den australske informationskommissær (AIC) påstår én overtrædelse for hver af de 9.5 millioner individer, hvis privatliv Optus hævder "alvorligt har forstyrret". Selvom det er højst usandsynligt, betyder dette en teoretisk maksimal bøde på over 20 billioner australske dollars (9.8 billioner pund). Men endnu vigtigere end sagens udfald er, hvad lokale virksomheder kan lære af hændelsen – med hensyn til, hvordan de håndterer data og risikostyring. Et brud, der rystede Australien Hændelsen går tilbage til september 2022, hvor en trusselsaktør formåede at få adgang til personlige oplysninger fra millioner af kunder hos Australiens næststørste teleselskab. Dette omfattede: Navne, fødselsdatoer, hjemmeadresser, telefonnumre og e-mailadresser Pasnumre, kørekortnumre, Medicare-kortnumre, oplysninger om fødselsattester og vielsesattester samt identifikationsoplysninger fra de væbnede styrker, forsvaret og politiet. AIC hævder, at Optus "ikke tog rimelige skridt" for at beskytte disse oplysninger med henvisning til virksomhedens størrelse og ressourcer, mængden af data, der blev brudt, og risikoen for skade på enkeltpersoner ved videregivelsen af disse oplysninger. Præcis hvor meget skade ofrene rent faktisk har lidt, er omdiskuteret. Selvom trusselaktøren oprindeligt krævede en løsesum på 1 million amerikanske dollars (740,000 pund), ændrede han senere kurs og hævdede at slette dataene. Om den blev solgt videre eller brugt af svindlere er fortsat et mysterium. Men den følelsesmæssige belastning, det lagde på utallige australiere og de offentlige organisationer, der måtte genudstede identitetsdokumenter, er tydelig. Den nationale forargelse forårsaget af hændelsen indvarslede et nyt cybersikkerhedsregime med højere bøder for databrud og landets første selvstændige lov på dette område: cybersikkerhedsloven. Den australske kommunikations- og mediemyndighed (ACMA) sagsøger også Optus for overtrædelse af telekommunikationsloven (aflytning og adgang) fra 1979. Hvad skete der? AIC har været tavs om detaljerne i bruddet. Imidlertid fortæller arkiverne i ACMA-sagen, som SecurityScorecard har set, en detaljeret historie om, hvad der skete, og hvad der gik galt. Sikkerhedsleverandøren hævder, at: Trusselaktøren fik adgang til Optus-data via en forkert konfigureret, inaktiv API. API'en blev internetvendt i 2020, men dens adgangskontroller blev ineffektive på grund af en kodningsfejl, der blev introduceret i 2018. Selvom lignende problemer blev fundet og rettet på Optus-hoveddomænet i 2021, forblev underdomænet, der indeholdt API'en, "eksponeret, uovervåget og uopdateringer". Trusselaktøren var i stand til at forespørge kundeposter over flere dage og roterede gennem titusindvis af IP-adresser for at undgå opdagelse. Udover selve sikkerhedsproblemet er der blevet rejst spørgsmålstegn ved, hvorfor millioner af brudte poster relateret til tidligere kunder. Bedste praksis for dataminimering siger, at mange af disse burde have været slettet. Der var også klager over Optus' krisekommunikationsindsats. Firmaet hævdede oprindeligt, at det havde været offer for et "sofistikeret angreb", hvilket senere blev anfægtet af eksperter. Nogle klagede efterfølgende over, at virksomheden var langsom til at frigive vigtige detaljer til bekymrede kunder, til at undskylde og tage ejerskab og til at give brugbar rådgivning til de berørte. "Optus-bruddet er en klar påmindelse om, at håndtering af cyberrisiko har to sider." Den første er i selve softwareudviklingen – at identificere og håndtere risici før, under og efter koden går live. "Usikker software eller fejlkonfiguration kan have store konsekvenser, når kundeoplysninger er involveret," fortæller Mac Moeun, direktør for Patterned Security, til ISMS.online. "Det andet er, hvordan du håndterer hændelsen. At have en gennemprøvet og testet plan for katastrofeberedskab, være åben, kommunikere tidligt og ofte og give kunderne klarhed over, hvad der er blevet påvirket. Disse trin giver dig den bedste chance for at bevare kundernes tillid.” Hvilke erfaringer kan vi lære? Optus-bruddet var det første i en lang række af store hændelser, der rystede Australien, herunder Medibank og Latitude Financial. Men som den første og en af de værste repræsenterer den en advarsel for mange. Moderselskabet Singtel afsatte 140 millioner australske dollars (68.5 millioner pund) til at dække omkostningerne ved eftervirkningerne, og der var rapporter om betydelig kundefrafald efter hændelsen. Fra et rent teknisk perspektiv bør CISO'er overveje: Sporing af potentielle sikkerhedsrisici såsom inaktive API'er og ikke-administrerede aktiver Implementering af adfærdsbaseret overvågning for at markere mistænkelig aktivitet (såsom IP-rotation) Dataminimering som bedste praksis, der sikrer, at alt, der ikke længere er nødvendigt for organisationen, slettes Sikre kodningspraksisser (DevSecOps), herunder automatiseret scanning Ryan Sherstobitoff, field chief threat intelligence officer hos SecurityScorecard, fortæller ISMS.online: "Optus-bruddet fremhæver behovet for strenge API-opgørelser og revisioner (inklusive inaktive endpoints), sikker kodning med kontinuerlig sårbarhedsscanning, stærke politikker for dataopbevaring/sletning og avanceret anomalidetektion for at opdage lavt sofistikerede, men effektive angribertaktikker." Separat fokuserer AIC på behovet for lagdelte sikkerhedskontroller, klart ejerskab af domæner, robust sikkerhedsovervågning og regelmæssige gennemgange. Organisationerne kan dog sagtens gøre det endnu bedre. En mere holistisk løsning ville være at implementere bedste praksis-standarder som ISO 27001 og 27701 (til implementering af henholdsvis et informationssikkerhedsstyringssystem og et databeskyttelsesinformationsstyringssystem). De tilbyder en omfattende, risikobaseret ramme for håndtering og beskyttelse af følsomme data, herunder personligt identificerbare oplysninger (PII). Rejsen mod compliance vil sikre, at organisationer er i stand til at forstå, hvilke data de administrerer, hvor der kan være sikkerhedshuller, og hvilke kontroller og processer der vil bidrage til at lukke disse huller. Afgørende er det, at standarderne fremmer ideen om løbende overvågning og forbedring, så organisationer, der overholder reglerne, med succes kan tilpasse sig skiftende IT-infrastruktur, trusselsudviklinger og andre faktorer. "Disse ISMS-rammer leverer strukturerede, kontrollerbare kontroller til aktivstyring, sikker udvikling, overvågning og PII-livscyklusstyring – og hjælper organisationer med at håndhæve zero-trust-principper, minimere dataeksponering og undgå langvarige blinde vinkler i forbindelse med kodning eller opbevaring," siger Sherstobitoff. Optus-bruddet fandt måske sted for tre år siden, men det kaster stadig en skygge over australske virksomheder i dag. Hvis flere lærer af fortidens fejl, er det ikke dårligt.

Læs mere

ISO 27001

Når ældre systemer fejler: Lærdomme fra de føderale domstoles brud

Cyberangreb sker hver dag, men nogle er særligt uhyggelige. Et angreb på det amerikanske retssystem i sommer burde have sendt kuldegysninger ned ad alle sider. Den 7. august bekræftede embedsmænd et angreb på den føderale retsvæsen i USA. Især angriberne gik efter dens retslige arkiveringssystem, Case Management/Electronic Case Files (CM/ECF), også kendt under dens offentligt tilgængelige brugerflade PACER. New York Times udtalte, at angrebet, der fandt sted mellem slutningen af juni og begyndelsen af den 4. juli i år, sandsynligvis var knyttet til russiske statslige aktører. Konsekvenserne er betydelige. Mens mange sagsakter om CM/ECF er offentligt tilgængelige via PACER, er mange andre forseglede, fordi de indeholder følsomme oplysninger. Angriberne syntes at have ledt efter sager, der involverede russiske statsborgere. Hændelsen skabte uorden i domstolene, og domstolene blev tvunget til at vende tilbage til papirbaserede arkivsystemer. Mindst én dommer forbød endda upload af forseglede dokumenter til PACER. Følsomme sager måtte migreres til separate systemer. Endnu mere bekymrende er antydningen af, at mexicanske narkokarteller muligvis har adgang til nogle af disse følsomme data, hvilket potentielt kan afsløre vidner til deres forbrydelser. Bandekriminalitet med forbindelse til kartellerne behandles ofte på distriktsdomstolsniveau, hvilket betyder, at følsomme sagsakter findes i CM/ECF. Det værste ved dette er, at en blanding af decentral implementering og gammel, ældre kode er skyld i det. CM/ECF stammer fra slutningen af 1990'erne, da Northern District of Ohio byggede det for at håndtere en byge af fund i nogle asbestsager. Derefter begyndte andre domstole at indføre det i begyndelsen af 2000'erne, da en national udrulning betød, at konkurs-, distrikts- og appeldomstole også implementerede det. I 2007 var implementeringen stort set universel, men administrationen var fragmenteret; hver domstol håndterede sin egen implementering af softwaren. Så da det administrative kontor for de amerikanske domstole udgav en større revision kendt som NexGen i 2010'erne, var det ikke alle, der opdaterede. I en rapport om systemet fra 2021 klagede personalet i det administrative kontor over, at over 50 domstole ikke var gået over til det nye system. Rapporten beklagede sig over forældet grundlæggende teknologi. "Decentralisering og kompleksitet forårsager systemustabilitet, høje vedligeholdelsesomkostninger og sikkerhedsrisici," advarede den. "Nuværende kontrakter gør det vanskeligt at holde entreprenører ansvarlige for kvalitetsstandarder." Problemet har stået på, og resultaterne har været katastrofale. Retsministeriet rapporterede også et brud i 2021, som senere viste sig at have involveret tre udenlandske aktører. Problemet med ældre software. Dette problem med ældre software er udbredt. En undersøgelse i år fra virksomheden Saritasa, der producerer software til ældre migrering, afslørede, at 62 % af virksomhedens 500 respondenter stadig var afhængige af ældre systemer. IT skal altid konkurrere med andre afdelinger om en del af budgettet. Når teknologerne forstår det, skal de være omhyggelige med at finde en balance mellem at afbetale teknisk gæld og at forbedre ny software og hardware, der glæder virksomhedens sponsorer. Hver en krone, der bruges på at reparere gamle systemer, skal vris fra virksomhedernes pengepung. Decentraliseret IT-administration skaber også blinde vinkler, især når den er knyttet til ældre software. Det efterlader mange softwareprodukter blottet for patches. Det gør det også vanskeligere at forstå, hvad der kører på IT-infrastrukturen, og at forbinde det med sikkerhedspolitikker. Skygge-IT er resultatet, og det introducerer endnu mere risiko. Det føderale domstolssystem er ikke det eneste, der udviser nogle af disse problemer. I 2019 offentliggjorde Government Accountability Office (GAO) en rapport, der fremhævede den fortsatte mangel på opmærksomhed på ældre systemer i den amerikanske regering. I Storbritannien klassificerer regeringen 28 % af sin IT-infrastruktur som ældre, hvilket stiger til 70 % i nogle områder. Tæm det ældre bæst Der er måder at genvinde kontrollen over din IT-infrastruktur og i det mindste forstå risiciene ved ældre arkitekturer, selvom du ikke er i stand til at udrydde den fuldstændigt. Det er her, at et informationssikkerhedsstyringssystem (ISMS) som ISO 27001 er nyttigt. ISO 27001:2022 Anneks A Kontrol 5.9 omhandler styring af informationsaktiver, sikring af, at organisationen korrekt dokumenterer, hvem der er ansvarlig for hvert aktiv i organisationen, og beskrivelse af de risici, der er forbundet med det. Det kræver en opgørelse over aktiver, der understøtter dette mål, og skaber en platform, hvor virksomheder kan organisere deres aktiviteter omkring det. Du kan f.eks. dokumentere de aktuelle patchniveauer, der er knyttet til et hvilket som helst aktiv. Denne opgørelse over aktiver er et godt grundlag for at lancere et program for nedbetaling af teknisk gæld. Prioritering af systemer til opdatering, opgradering eller udskiftning baseret på deres risikofaktor giver ressourcebegrænsede teams en klar handlingsplan. Du kan også bruge den til at oprette styringsstrukturer omkring de platforme, der ikke er klientvendte, men som indeholder information af høj værdi og lav profil. De dårligt beskyttede kronjuveler er netop de aktiver, som angriberne vil komme efter. Derefter kommer migreringsdiskussionen, som beskriver, hvordan man migrerer fra et ældre system til et nyt. Det kræver omhyggelig overvejelse, der tager højde for systemafhængigheder. Refactoring (fornyelse af noget kode i det eksisterende system) er én mulighed, ligesom udskiftning (at rive systemet helt ud og starte forfra). Sidstnævnte mulighed skaber flere muligheder for at bevæge sig fra problematiske arkitekturer som monolitiske systemer til mere modulær, mikroservicebaseret kode. Andre foranstaltninger til at håndtere ældre risici omfatter regelmæssige trusselsmodelleringsøvelser for at udforske den usynlige ældre infrastruktur, som ingen nogensinde kigger på, såsom interne portaler eller kontraktplatforme. At få din ældre arkitektur i form er ikke noget, du bør udsætte til i morgen. Det minder meget om fysisk sundhed. Hver dag brugt på at udsætte ting kan skabe problemer i fremtiden. En lille indsats nu - selv en lille regelmæssig månedlig indsats for at modernisere - kan afværge katastrofer i fremtiden. Bare spørg en hvilken som helst distriktsdommer.

Læs mere

ISO 27001:2022 Krav

ISO 27001:2022 Bilag A Kontrolelementer

Om ISO 27001

Den ultimative guide til ISO 27001

Opnå robust informationssikkerhed med ISO 27001:2022

Hvorfor ISO 27001 betyder noget

Hvordan ISO 27001-certificering gavner din virksomhed

Omfattende vejledning om, hvordan man implementerer ISO 27001:2022-certificering

Strømlining af certificering med ISMS.online

Forståelse af ISO 27001:2022

Nøgleelementer i ISO 27001:2022

Tilpasning til internationale standarder

Hvordan ISO 27001 integreres med andre standarder

Hvorfor er ISO 27001:2022 vigtigt for organisationer?

ISO 27001:2022 Integration med andre standarder

Hvordan forbedrer ISO 27001:2022 risikostyring?

Struktureret risikostyring med ISO 27001:2022

Hvad er fordelene for tillid og omdømme?

Hvordan ISO 27001-certificering påvirker kundernes tillid og salg

Hvordan giver ISO 27001:2022 konkurrencefordele?

Hvordan kan ISO 27001 understøtte reguleringsoverholdelse?

Forbedring af risikostyring med ISO 27001:2022

Hvordan strukturerer ISO 27001 risikostyring?

Hvilke teknikker og strategier er nøglen?

Hvordan kan rammen skræddersyes til din organisation?

Nøgleændringer i ISO 27001:2022

Nøgleforskelle mellem ISO 27001:2022 og tidligere versioner

Forståelse af bilag A kontroller

Detaljeret opdeling af bilag A kontroller i ISO 27001:2022

Komplet tabel over ISO 27001-kontroller

Navigering af implementeringsudfordringer

Tilpasning til skiftende sikkerhedstrusler

Hvordan kan organisationer med succes opnå ISO 27001-certificering?

Kickstart din certificering med en grundig kløftanalyse

Implementer et effektivt ISMS

Udfør regelmæssige interne revisioner

Engagere sig med certificeringsorganer

Overvind almindelige udfordringer med en gratis konsultation

ISO 27001:2022 og krav til leverandørforhold

Forbedret medarbejders cybersikkerhedsbevidsthed

ISO 27001:2022 Krav til menneskelig ressourcesikkerhed

Medarbejderbevidsthedsprogrammer og sikkerhedskultur

Kontinuerlig forbedring og cybersikkerhedskultur

Optimal timing for ISO 27001 vedtagelse

Udførelse af en parathedsvurdering

At tilpasse certificering til strategiske mål

Brug af ISMS.online til effektiv ledelse

Hvor stemmer ISO 27001:2022 overens med andre regulatoriske standarder?

Hvordan forbedrer ISO 27001:2022 GDPR-overholdelse?

Hvilken rolle spiller ISO 27001:2022 i at understøtte NIS 2-direktiver?

Hvordan integreres ISO 27001:2022 med andre ISO-standarder?

Hvordan kan organisationer opnå omfattende lovgivningsmæssig tilpasning til ISO 27001:2022?

Kan ISO 27001:2022 effektivt afbøde nye sikkerhedsudfordringer?

Hvordan forbedrer ISO 27001:2022 reduktion af cybertrusler?

Hvilke foranstaltninger sikrer cloud-sikkerhed med ISO 27001:2022?

Hvordan forhindrer ISO 27001:2022 databrud?

Hvordan kan organisationer tilpasse sig udviklende trusselslandskaber?

At dyrke en sikkerhedskultur med ISO 27001-overensstemmelse

Sådan øger du sikkerhedsbevidsthed og træning

Hvad er effektive træningsstrategier?

Hvordan påvirker lederskab sikkerhedskulturen?

Hvad er de langsigtede fordele ved sikkerhedsbevidsthed?

Hvordan understøtter ISMS.online din sikkerhedskultur?

Navigering af udfordringer i ISO 27001:2022 implementering

Identifikation af fælles implementeringshinder

Effektive ressourcestyringsstrategier

Overvinde modstand mod forandring

Forbedring af implementering med ISMS.online

ISO 27001 Ofte stillede spørgsmål

Book en demo med ISMS.online

Hvordan kan ISMS.online strømline din overholdelsesrejse?

Hvordan forbedrer ISMS.online samarbejde og effektivitet?

Gå til emnet

Sam Peters

Relaterede emner

ISO 27001:2022 Krav

4.1 Forståelse af organisationen og dens kontekst

4.2 Forstå interesserede parters behov og forventninger

4.3 Bestemmelse af omfanget af ISMS

4.4 Informationssikkerhedsstyringssystem (ISMS)

5.1 Ledelse og engagement

5.2 Informationssikkerhedspolitik

5.3 Organisatoriske roller, ansvar og beføjelser