Spring til indhold
Phishing for at skabe problemer –
IO Podcasten vender tilbage med sæson 2 Lyt nu
ISMS.online

Den ultimative guide til ISO 27001

ISO/IEC 27001 er en informationssikkerhedsstyringsstandard, der giver organisationer en struktureret ramme til at beskytte deres informationsaktiver og ISMS, der dækker risikovurdering, risikostyring og løbende forbedringer. I denne artikel vil vi undersøge, hvad det er, hvorfor du har brug for det, og hvordan du opnår certificering.

Få din gratis guide til din første ISO 27001-certificering

Få din gratis guide
Forfatter
Sam Peters
Opdateret maj 14, 2026
4/5 stjerner

Opnå robust informationssikkerhed med ISO 27001:2022

Vores platform giver din organisation mulighed for at tilpasse sig ISO 27001 og sikrer omfattende sikkerhedsstyring. Denne internationale standard er afgørende for at beskytte følsomme data og forbedre modstandsdygtigheden over for cybertrusler. Med over 70,000 certifikater udstedt globalt understreger ISO 27001's udbredte anvendelse dens betydning for at beskytte informationsaktiver.

Hvorfor ISO 27001 betyder noget

Opnåelse ISO 27001: 2022 certificering lægger vægt på en omfattende, risikobaseret tilgang til at forbedre informationssikkerhedsstyring, der sikrer, at din organisation effektivt administrerer og afbøder potentielle trusler, tilpasset moderne sikkerhedsbehov. Det giver en systematisk metode til håndtering af følsom information, der sikrer, at den forbliver sikker. Certificering kan reducere omkostningerne ved databrud med 30 % og er anerkendt i over 150 lande, hvilket forbedrer internationale forretningsmuligheder og konkurrencefordele.

Hvordan ISO 27001-certificering gavner din virksomhed

  1. Opnå omkostningseffektivitetSpar tid og penge ved at forhindre dyre sikkerhedsbrud. Implementer proaktive risikostyring foranstaltninger til at reducere sandsynligheden for hændelser betydeligt.
  2. Fremskynde salgsvækstenStrømlin din salgsproces ved at reducere omfattende anmodninger om sikkerhedsdokumentation (RFI'er). Vis din overholdelse af internationale informationssikkerhedsstandarder for at forkorte forhandlingstider og lukke handler hurtigere.
  3. Øg kundetillidenDemonstrer dit engagement i informationssikkerhed for at øge kundernes tillid og opbygge varig tillid. Øg kundeloyalitet og fastholde kunder i sektorer som finans, sundhedspleje og IT-services.

 

Omfattende vejledning om, hvordan man implementerer ISO 27001:2022-certificering

Standardens struktur omfatter et omfattende rammeværk for informationssikkerhedsstyringssystem (ISMS) og en detaljeret implementeringsvejledning til ISO 27001, der integrerer risikostyringsprocesser og kontroller i bilag A. Disse komponenter skaber en holistisk sikkerhedsstrategi, der adresserer forskellige aspekter af sikkerhed (ISO 27001:2022 klausul 4.2). Denne tilgang forbedrer ikke kun sikkerheden, men fremmer også en kultur af bevidsthed og compliance i organisationen.

Strømlining af certificering med ISMS.online

ISMS.online spiller en afgørende rolle i at lette tilpasningen ved at tilbyde værktøjer, der strømliner certificeringsprocessen. Vores platform leverer automatiserede risikovurderinger og overvågning i realtid, hvilket forenkler implementeringen af ​​ISO 27001:2022-kravene. Dette reducerer ikke kun den manuelle indsats, men øger også effektiviteten og nøjagtigheden i at opretholde justeringen.

Slut dig til 25000 + brugere, der opnår ISO 27001 med ISMS.online. Book din gratis demo i dag!

Forståelse af ISO 27001:2022

ISO 27001 er en central standard for forbedring af et Information Security Management System (ISMS), der tilbyder en struktureret ramme til at beskytte følsomme data. Denne ramme integrerer omfattende risikoevalueringsprocesser og bilag A-kontroller og danner en robust sikkerhedsstrategi. Organisationer kan effektivt identificere, analysere og adressere sårbarheder og forbedre deres overordnede sikkerhedsposition.

Nøgleelementer i ISO 27001:2022

  • ISMS-ramme: Denne grundlæggende komponent etablerer systematiske politikker og procedurer til styring af informationssikkerhed (ISO 27001:2022 paragraf 4.2). Det afstemmer organisatoriske mål med sikkerhedsprotokoller og fremmer en kultur af overholdelse og bevidsthed.
  • Risikovurdering: Centralt for ISO 27001, denne proces involverer udførelse af grundige vurderinger for at identificere potentielle trusler. Det er afgørende for at implementere passende sikkerhedsforanstaltninger og sikre kontinuerlig overvågning og forbedring.
  • ISO 27001 kontrol: ISO 27001:2022 skitserer et omfattende sæt af ISO 27001 kontroller i bilag A, designet til at behandle forskellige aspekter af informationssikkerhed. Disse kontroller omfatter foranstaltninger til adgangskontrol, kryptografi, fysisk sikkerhedog incident managementblandt andet. Implementering af disse kontroller sikrer dit informationssikkerhedsstyringssystem (ISMS) reducerer effektivt risici og beskytter følsomme oplysninger.

iso 27001 krav og struktur

Tilpasning til internationale standarder

ISO 27001:2022 er udviklet i samarbejde med Den Internationale Elektrotekniske Kommission (IEC), der sikrer, at standarden stemmer overens med globale bedste praksis inden for informationssikkerhed. Dette partnerskab øger troværdigheden og anvendeligheden af ​​ISO 27001 på tværs af forskellige industrier og regioner.

Hvordan ISO 27001 integreres med andre standarder

ISO 27001:2022 integreres problemfrit med andre standarder som ISO 9001 for kvalitetsstyring, ISO 27002 for adfærdskodeks for informationssikkerhedskontroller og regler som f.eks GDPR, forbedring af overholdelse og operationel effektivitet. Denne integration giver organisationer mulighed for at strømline reguleringsindsatser og tilpasse sikkerhedspraksis med bredere forretningsmål. Den indledende forberedelse involverer en hulanalyse for at identificere områder, der skal forbedres, efterfulgt af en risikoevaluering for at vurdere potentielle trusler. Gennemførelse af bilag A-kontroller sikrer, at omfattende sikkerhedsforanstaltninger er på plads. Finalen revisionsproces, herunder trin 1- og trin 2-audits, verificerer overholdelse og parathed til certificering.

Hvorfor er ISO 27001:2022 vigtigt for organisationer?

ISO 27001 spiller en afgørende rolle i at styrke din organisations databeskyttelse strategier. Det giver en omfattende ramme for håndtering af følsom information, der er tilpasset nutidige cybersikkerhedskrav gennem en risikobaseret tilgang. Denne tilpasning styrker ikke kun forsvar, men sikrer også overholdelse af regler som GDPR, hvilket mindsker potentielle juridiske risici (ISO 27001:2022 paragraf 6.1).

ISO 27001:2022 Integration med andre standarder

ISO 27001 er en del af den bredere ISO-familie af ledelsessystemstandarder. Dette gør det muligt at integrere den problemfrit med andre standarder, såsom:

Denne integrerede tilgang hjælper din organisation med at opretholde robuste driftsstandarder, strømline certificeringsprocessen og forbedre overholdelse.

Hvordan forbedrer ISO 27001:2022 risikostyring?

  • Struktureret risikostyring: Standarden lægger vægt på systematisk identifikation, vurdering og begrænsning af risici, hvilket fremmer en proaktiv sikkerhedsposition.
  • Hændelsesreduktion: Organisationer oplever færre brud på grund af de robuste kontroller, der er skitseret i bilag A.
  • Driftseffektivitet: Strømlinede processer øger effektiviteten og reducerer sandsynligheden for dyre hændelser.

Struktureret risikostyring med ISO 27001:2022

ISO 27001 kræver, at organisationer vedtager en omfattende, systematisk tilgang til risikostyring. Dette omfatter:

  • Risikoidentifikation og -vurdering: Identificer potentielle trusler mod følsomme data og evaluer alvoren og sandsynligheden for disse risici (ISO 27001:2022 paragraf 6.1).
  • Risikobehandling: Vælg passende behandlingsmuligheder, såsom at afbøde, overføre, undgå eller acceptere risici. Med tilføjelsen af ​​nye muligheder som at udnytte og forbedre, kan organisationer tage kalkulerede risici for at udnytte muligheder.

Hvert af disse trin skal revideres regelmæssigt for at sikre, at risikolandskabet løbende overvåges og afbødes efter behov.

 

Hvad er fordelene for tillid og omdømme?

Certificering betyder en forpligtelse til databeskyttelse, hvilket forbedrer din virksomheds omdømme og kundernes tillid. Certificerede organisationer oplever ofte en stigning på 20 % i kundetilfredsheden, da kunder sætter pris på forsikringen om sikker datahåndtering.

Hvordan ISO 27001-certificering påvirker kundernes tillid og salg

  1. Øget kundetillid: Når potentielle kunder ser, at din organisation er ISO 27001-certificeret, øger det automatisk deres tillid til din evne til at beskytte følsomme oplysninger. Denne tillid er afgørende for sektorer, hvor datasikkerhed er en afgørende faktor, såsom sundhedspleje, finans og offentlige kontrakter.
  2. Hurtigere salgscyklusser: ISO 27001-certificering reducerer den tid, der bruges på at besvare sikkerhedsspørgeskemaer under indkøbsprocessen. Potentielle kunder vil se din certificering som en garanti for høje sikkerhedsstandarder, hvilket fremskynder beslutningstagningen.
  3. Konkurrencefordel: ISO 27001-certificering positionerer din virksomhed som førende inden for informationssikkerhed, hvilket giver dig et forspring i forhold til konkurrenter, som muligvis ikke har denne certificering.

Hvordan giver ISO 27001:2022 konkurrencefordele?

ISO 27001 åbner op for internationale forretningsmuligheder, som er anerkendt i over 150 lande. Den dyrker en kultur præget af sikkerhedsbevidsthed, påvirker organisationskulturen positivt og fremmer løbende forbedringer og modstandsdygtighed, hvilket er afgørende for at trives i dagens digitale miljø.

Hvordan kan ISO 27001 understøtte reguleringsoverholdelse?

At tilpasse sig ISO 27001 hjælper med at navigere i komplekse regulatoriske landskaber og sikrer overholdelse af forskellige lovkrav. Denne tilpasning reducerer potentielle juridiske forpligtelser og forbedrer den overordnede styring.

At inkorporere ISO 27001:2022 i din organisation styrker ikke kun din databeskyttelsesramme, men bygger også et fundament for bæredygtig vækst og tillid på det globale marked.

Forbedring af risikostyring med ISO 27001:2022

ISO 27001:2022 tilbyder et robust rammeværk for håndtering af informationssikkerhedsrisici, hvilket er afgørende for at beskytte din organisations følsomme data. Denne standard lægger vægt på en systematisk tilgang til risikovurdering, der sikrer, at potentielle trusler identificeres, vurderes og afbødes effektivt.

Hvordan strukturerer ISO 27001 risikostyring?

ISO 27001:2022 integrerer risikoevaluering i Information Security Management System (ISMS), der involverer:

  • Risikovurdering: Udførelse af grundige evalueringer for at identificere og analysere potentielle trusler og sårbarheder (ISO 27001:2022 paragraf 6.1).
  • Risikobehandling: Implementering af strategier til at mindske identificerede risici ved at bruge kontroller skitseret i bilag A for at reducere sårbarheder og trusler.
  • Kontinuerlig overvågning: Regelmæssig gennemgang og opdatering af praksis for at tilpasse sig nye trusler og opretholde sikkerhedseffektivitet.

Hvilke teknikker og strategier er nøglen?

Effektiv risikostyring i henhold til ISO 27001:2022 involverer:

  • Risikovurdering og analyse: Brug af metoder som SWOT-analyse og trusselsmodellering til at evaluere risici omfattende.
  • Risikobehandling og reduktion: Anvendelse af kontroller fra bilag A for at imødegå specifikke risici, hvilket sikrer en proaktiv tilgang til sikkerhed.
  • Kontinuerlig forbedring: Fremme af en sikkerhedsfokuseret kultur, der tilskynder til løbende evaluering og forbedring af risikostyringspraksis.

 

Hvordan kan rammen skræddersyes til din organisation?

ISO 27001:2022's rammeværk kan tilpasses din organisations specifikke behov og sikre, at sikkerhedsforanstaltningerne stemmer overens med forretningsmål og lovgivningsmæssige krav. Ved at fremme en kultur af proaktiv risikostyring oplever organisationer med ISO 27001-certificering færre sikkerhedsbrud og forbedret modstandsdygtighed over for cybertrusler. Denne tilgang beskytter ikke kun dine data, men opbygger også tillid hos interessenter, hvilket forbedrer din organisations omdømme og konkurrencefordel.

Nøgleændringer i ISO 27001:2022

ISO 27001:2022 introducerer centrale opdateringer, der styrker dens rolle i moderne cybersikkerhed. De væsentligste ændringer findes i bilag A, som nu omfatter avancerede foranstaltninger til digital sikkerhed og proaktiv trusselshåndtering. Disse revisioner adresserer den udviklende karakter af sikkerhedsudfordringer, især den stigende afhængighed af digitale platforme.

Nøgleforskelle mellem ISO 27001:2022 og tidligere versioner

Forskellene mellem 2013- og 2022-versionerne af ISO 27001 er afgørende for at forstå den opdaterede standard. Selvom der ikke er nogen omfattende eftersyn, sikrer justeringerne i bilag A kontroller og andre områder, at standarden forbliver relevant for moderne cybersikkerhedsudfordringer. De vigtigste ændringer omfatter:

  • Omstrukturering af bilag A-kontrol: Bilag A-kontroller er blevet kondenseret fra 114 til 93, hvor nogle er blevet slået sammen, revideret eller nyligt tilføjet. Disse ændringer afspejler det nuværende cybersikkerhedsmiljø, hvilket gør kontrollerne mere strømlinede og fokuserede.
  • Nye fokusområder: De 11 nye kontroller, der introduceres i ISO 27001:2022, omfatter områder som trusselsintelligens, fysisk sikkerhedsovervågning, sikker kodning og cloudservicesikkerhed, der adresserer stigningen i digitale trusler og den øgede afhængighed af cloudbaserede løsninger.

Forståelse af bilag A kontroller

  • Forbedrede sikkerhedsprotokoller: Bilag A indeholder nu 93 kontroller, med nye tilføjelser, der fokuserer på digital sikkerhed og proaktiv trusselshåndtering. Disse kontroller er designet til at mindske nye risici og sikre robust beskyttelse af informationsaktiver.
  • Fokus på digital sikkerhed: Efterhånden som digitale platforme bliver en integreret del af driften, lægger ISO 27001:2022 vægt på at sikre digitale miljøer, sikre dataintegritet og sikre mod uautoriseret adgang.
  • Proaktiv trusselshåndtering: Nye kontroller gør det muligt for organisationer at forudse og reagere på potentielle sikkerhedshændelser mere effektivt, hvilket styrker deres overordnede sikkerhedsposition.

Detaljeret opdeling af bilag A kontroller i ISO 27001:2022

ISO 27001:2022 introducerer et revideret sæt af bilag A-kontroller, hvilket reducerer det samlede antal fra 114 til 93 og omstrukturerer dem i fire hovedgrupper. Her er en oversigt over kontrolkategorierne:

Kontrolgruppe Antal kontroller Eksempler
Organisatorisk 37 Trusselintelligens, IKT-beredskab, informationssikkerhedspolitikker
Medarbejdere 8 Ansvar for sikkerhed, screening
Fysisk 14 Fysisk sikkerhedsovervågning, udstyrsbeskyttelse
Teknologisk 34 Webfiltrering, sikker kodning, forebyggelse af datalækage

Ny kontrol
ISO 27001:2022 introducerer 11 nye kontroller med fokus på nye teknologier og udfordringer, herunder:

  • Cloud-tjenester: Sikkerhedsforanstaltninger for cloud-infrastruktur.
  • Trusselsintelligens: Proaktiv identifikation af sikkerhedstrusler.
  • IKT-beredskab: Forretningskontinuitetsforberedelser til IKT-systemer.

Ved at implementere disse kontroller sikrer organisationer, at de er rustet til at håndtere moderne informationssikkerhedsudfordringer.

iso 27002 nye kontroller

Komplet tabel over ISO 27001-kontroller

Nedenfor er en komplet liste over ISO 27001:2022 kontroller

ISO 27001:2022 Organisationskontrol
Bilag A Kontroltype ISO/IEC 27001:2022 Bilag A Identifikator ISO/IEC 27001:2013 Bilag A Identifikator Bilag A Navn
Organisatoriske kontroller Bilag A 5.1 Bilag A 5.1.1
Bilag A 5.1.2 		Politikker for informationssikkerhed
Organisatoriske kontroller Bilag A 5.2 Bilag A 6.1.1 Informationssikkerhedsroller og -ansvar
Organisatoriske kontroller Bilag A 5.3 Bilag A 6.1.2 Adskillelse af opgaver
Organisatoriske kontroller Bilag A 5.4 Bilag A 7.2.1 Ledelsesansvar
Organisatoriske kontroller Bilag A 5.5 Bilag A 6.1.3 Kontakt med myndigheder
Organisatoriske kontroller Bilag A 5.6 Bilag A 6.1.4 Kontakt med særlige interessegrupper
Organisatoriske kontroller Bilag A 5.7 NY Threat Intelligence
Organisatoriske kontroller Bilag A 5.8 Bilag A 6.1.5
Bilag A 14.1.1 		Informationssikkerhed i projektledelse
Organisatoriske kontroller Bilag A 5.9 Bilag A 8.1.1
Bilag A 8.1.2 		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontroller Bilag A 5.10 Bilag A 8.1.3
Bilag A 8.2.3 		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontroller Bilag A 5.11 Bilag A 8.1.4 Tilbagelevering af aktiver
Organisatoriske kontroller Bilag A 5.12 Bilag A 8.2.1 Klassificering af oplysninger
Organisatoriske kontroller Bilag A 5.13 Bilag A 8.2.2 Mærkning af information
Organisatoriske kontroller Bilag A 5.14 Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3 		Informationsoverførsel
Organisatoriske kontroller Bilag A 5.15 Bilag A 9.1.1
Bilag A 9.1.2 		Adgangskontrol
Organisatoriske kontroller Bilag A 5.16 Bilag A 9.2.1 Identitetsstyring
Organisatoriske kontroller Bilag A 5.17 Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3 		Autentificeringsoplysninger
Organisatoriske kontroller Bilag A 5.18 Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6 		Adgangsrettigheder
Organisatoriske kontroller Bilag A 5.19 Bilag A 15.1.1 Informationssikkerhed i leverandørforhold
Organisatoriske kontroller Bilag A 5.20 Bilag A 15.1.2 Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontroller Bilag A 5.21 Bilag A 15.1.3 Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontroller Bilag A 5.22 Bilag A 15.2.1
Bilag A 15.2.2 		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontroller Bilag A 5.23 NY Informationssikkerhed til brug af skytjenester
Organisatoriske kontroller Bilag A 5.24 Bilag A 16.1.1 Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontroller Bilag A 5.25 Bilag A 16.1.4 Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontroller Bilag A 5.26 Bilag A 16.1.5 Reaktion på informationssikkerhedshændelser
Organisatoriske kontroller Bilag A 5.27 Bilag A 16.1.6 Lær af informationssikkerhedshændelser
Organisatoriske kontroller Bilag A 5.28 Bilag A 16.1.7 Indsamling af beviser
Organisatoriske kontroller Bilag A 5.29 Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3 		Informationssikkerhed under afbrydelse
Organisatoriske kontroller Bilag A 5.30 NY IKT-beredskab til forretningskontinuitet
Organisatoriske kontroller Bilag A 5.31 Bilag A 18.1.1
Bilag A 18.1.5 		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontroller Bilag A 5.32 Bilag A 18.1.2 Intellektuelle ejendomsrettigheder
Organisatoriske kontroller Bilag A 5.33 Bilag A 18.1.3 Beskyttelse af optegnelser
Organisatoriske kontroller Bilag A 5.34 Bilag A 18.1.4 Privatliv og beskyttelse af PII
Organisatoriske kontroller Bilag A 5.35 Bilag A 18.2.1 Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontroller Bilag A 5.36 Bilag A 18.2.2
Bilag A 18.2.3 		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontroller Bilag A 5.37 Bilag A 12.1.1 Dokumenterede driftsprocedurer
ISO 27001:2022 Personkontrol
Bilag A Kontroltype ISO/IEC 27001:2022 Bilag A Identifikator ISO/IEC 27001:2013 Bilag A Identifikator Bilag A Navn
People Controls Bilag A 6.1 Bilag A 7.1.1 Screening
People Controls Bilag A 6.2 Bilag A 7.1.2 Ansættelsesvilkår
People Controls Bilag A 6.3 Bilag A 7.2.2 Informationssikkerhedsbevidsthed, uddannelse og træning
People Controls Bilag A 6.4 Bilag A 7.2.3 Disciplinær proces
People Controls Bilag A 6.5 Bilag A 7.3.1 Ansvar efter opsigelse eller ændring af ansættelse
People Controls Bilag A 6.6 Bilag A 13.2.4 Aftaler om fortrolighed eller tavshedspligt
People Controls Bilag A 6.7 Bilag A 6.2.2 Fjernbetjening
People Controls Bilag A 6.8 Bilag A 16.1.2
Bilag A 16.1.3 		Informationssikkerhed begivenhedsrapportering
ISO 27001:2022 Fysiske kontroller
Bilag A Kontroltype ISO/IEC 27001:2022 Bilag A Identifikator ISO/IEC 27001:2013 Bilag A Identifikator Bilag A Navn
Fysiske kontroller Bilag A 7.1 Bilag A 11.1.1 Fysiske sikkerhedsomkredse
Fysiske kontroller Bilag A 7.2 Bilag A 11.1.2
Bilag A 11.1.6 		Fysisk adgang
Fysiske kontroller Bilag A 7.3 Bilag A 11.1.3 Sikring af kontorer, lokaler og faciliteter
Fysiske kontroller Bilag A 7.4 NY Fysisk sikkerhedsovervågning
Fysiske kontroller Bilag A 7.5 Bilag A 11.1.4 Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontroller Bilag A 7.6 Bilag A 11.1.5 Arbejde i sikre områder
Fysiske kontroller Bilag A 7.7 Bilag A 11.2.9 Clear Desk og Clear Screen
Fysiske kontroller Bilag A 7.8 Bilag A 11.2.1 Udstyrsplacering og beskyttelse
Fysiske kontroller Bilag A 7.9 Bilag A 11.2.6 Sikkerhed af aktiver uden for lokalerne
Fysiske kontroller Bilag A 7.10 Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5 		Storage Media
Fysiske kontroller Bilag A 7.11 Bilag A 11.2.2 Understøttende hjælpeprogrammer
Fysiske kontroller Bilag A 7.12 Bilag A 11.2.3 Kabler sikkerhed
Fysiske kontroller Bilag A 7.13 Bilag A 11.2.4 Vedligeholdelse af udstyr
Fysiske kontroller Bilag A 7.14 Bilag A 11.2.7 Sikker bortskaffelse eller genbrug af udstyr
ISO 27001:2022 Teknologiske kontroller
Bilag A Kontroltype ISO/IEC 27001:2022 Bilag A Identifikator ISO/IEC 27001:2013 Bilag A Identifikator Bilag A Navn
Teknologisk kontrol Bilag A 8.1 Bilag A 6.2.1
Bilag A 11.2.8 		Brugerendepunktsenheder
Teknologisk kontrol Bilag A 8.2 Bilag A 9.2.3 Privilegerede adgangsrettigheder
Teknologisk kontrol Bilag A 8.3 Bilag A 9.4.1 Begrænsning af informationsadgang
Teknologisk kontrol Bilag A 8.4 Bilag A 9.4.5 Adgang til kildekode
Teknologisk kontrol Bilag A 8.5 Bilag A 9.4.2 Sikker godkendelse
Teknologisk kontrol Bilag A 8.6 Bilag A 12.1.3 Kapacitetsstyring
Teknologisk kontrol Bilag A 8.7 Bilag A 12.2.1 Beskyttelse mod malware
Teknologisk kontrol Bilag A 8.8 Bilag A 12.6.1
Bilag A 18.2.3 		Håndtering af tekniske sårbarheder
Teknologisk kontrol Bilag A 8.9 NY Configuration Management
Teknologisk kontrol Bilag A 8.10 NY Sletning af oplysninger
Teknologisk kontrol Bilag A 8.11 NY Datamaskering
Teknologisk kontrol Bilag A 8.12 NY Forebyggelse af datalækage
Teknologisk kontrol Bilag A 8.13 Bilag A 12.3.1 Backup af information
Teknologisk kontrol Bilag A 8.14 Bilag A 17.2.1 Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrol Bilag A 8.15 Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3 		Logning
Teknologisk kontrol Bilag A 8.16 NY Overvågningsaktiviteter
Teknologisk kontrol Bilag A 8.17 Bilag A 12.4.4 Ursynkronisering
Teknologisk kontrol Bilag A 8.18 Bilag A 9.4.4 Brug af privilegerede hjælpeprogrammer Adgangsrettigheder
Teknologisk kontrol Bilag A 8.19 Bilag A 12.5.1
Bilag A 12.6.2 		Installation af software på operationelle systemer
Teknologisk kontrol Bilag A 8.20 Bilag A 13.1.1 Netværkssikkerhed
Teknologisk kontrol Bilag A 8.21 Bilag A 13.1.2 Sikkerhed af netværkstjenester
Teknologisk kontrol Bilag A 8.22 Bilag A 13.1.3 Adskillelse af netværk
Teknologisk kontrol Bilag A 8.23 NY Webfiltrering
Teknologisk kontrol Bilag A 8.24 Bilag A 10.1.1
Bilag A 10.1.2 		Brug af kryptografi
Teknologisk kontrol Bilag A 8.25 Bilag A 14.2.1 Sikker udviklingslivscyklus
Teknologisk kontrol Bilag A 8.26 Bilag A 14.1.2
Bilag A 14.1.3 		Applikationssikkerhedskrav
Teknologisk kontrol Bilag A 8.27 Bilag A 14.2.5 Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser
Teknologisk kontrol Bilag A 8.28 NY Sikker kodning
Teknologisk kontrol Bilag A 8.29 Bilag A 14.2.8
Bilag A 14.2.9 		Sikkerhedstest i udvikling og accept
Teknologisk kontrol Bilag A 8.30 Bilag A 14.2.7 Udliciteret udvikling
Teknologisk kontrol Bilag A 8.31 Bilag A 12.1.4
Bilag A 14.2.6 		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrol Bilag A 8.32 Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4 		Change Management
Teknologisk kontrol Bilag A 8.33 Bilag A 14.3.1 Testinformation
Teknologisk kontrol Bilag A 8.34 Bilag A 12.7.1 Beskyttelse af informationssystemer under revisionstest

Navigering af implementeringsudfordringer

Organisationer kan stå over for udfordringer såsom ressourcebegrænsninger og utilstrækkelig ledelsesstøtte, når de implementerer disse opdateringer. Effektiv ressourceallokering og interessentengagement er afgørende for at opretholde momentum og opnå vellykket overholdelse. Regelmæssige træningssessioner kan hjælpe med at præcisere standardens krav og dermed reducere compliance-udfordringer.

Tilpasning til skiftende sikkerhedstrusler

Disse opdateringer demonstrerer ISO 27001:2022's tilpasningsevne til det skiftende sikkerhedsmiljø og sikrer, at organisationer forbliver modstandsdygtige over for nye trusler. Ved at tilpasse sig disse forbedrede krav kan din organisation styrke sit sikkerhedsrammeværk, forbedre compliance-processer og opretholde en konkurrencefordel på det globale marked.

Hvordan kan organisationer med succes opnå ISO 27001-certificering?

At opnå ISO 27001:2022 kræver en metodisk tilgang, der sikrer, at din organisation overholder standardens omfattende krav. Her er en detaljeret vejledning til at navigere effektivt i denne proces:

Kickstart din certificering med en grundig kløftanalyse

Identificer forbedringsområder med en omfattende gap-analyse. Vurder nuværende praksis i forhold til ISO 27001-standarden for at identificere uoverensstemmelser. Udvikl en detaljeret projektplan, der beskriver mål, tidslinjer og ansvar. Involver interessenter tidligt for at sikre opbakning og allokere ressourcer effektivt.

Implementer et effektivt ISMS

Etabler og implementer et Information Security Management System (ISMS), der er skræddersyet til dine organisatoriske mål. Implementer de 93 bilag A-kontroller, med vægt på risikovurdering og -behandling (ISO 27001:2022, paragraf 6.1). Vores platform, ISMS.online, automatiserer overholdelsesopgaver, reducerer manuel indsats og øger præcisionen.

Udfør regelmæssige interne revisioner

Adfærd regelmæssige interne revisioner at evaluere effektiviteten af jeres ISMS. Ledelsesevalueringer er afgørende for præstationsevaluering og nødvendige justeringer (ISO 27001:2022 klausul 9.3). ISMS.online letter samarbejde i realtid, hvilket øger teamets effektivitet og revisionsberedskab.

Engagere sig med certificeringsorganer

Vælg et akkrediteret certificeringsorgan og tidsplan revisionsprocessen, herunder trin 1 og trin 2 revisioner. Sørg for, at al dokumentation er komplet og tilgængelig. ISMS.online tilbyder skabeloner og ressourcer til at forenkle dokumentation og spore fremskridt.

Overvind almindelige udfordringer med en gratis konsultation

Overvind ressourcebegrænsninger og modstand mod forandring ved at fremme en kultur med sikkerhedsbevidsthed og løbende forbedringer. Vores platform understøtter opretholdelse af tilpasning over tid, og hjælper din organisation med at opnå og opretholde certificering.

Planlæg en gratis konsultation for at håndtere ressourcebegrænsninger og håndtere modstand mod forandring. Lær, hvordan ISMS.online kan understøtte din implementering og sikre en vellykket certificering.

ISO 27001:2022 og krav til leverandørforhold

ISO 27001:2022 har indført nye krav for at sikre, at organisationer opretholder robuste leverandør- og tredjepartsstyringsprogrammer. Dette omfatter:

  • Identifikation og vurdering af leverandører: Organisationer skal identificere og analysere tredjepartsleverandører, der påvirker informationssikkerheden. En grundig risikovurdering for hver leverandør er obligatorisk for at sikre overholdelse af dit ISMS.
  • Leverandørsikkerhedskontrol: Sørg for, at dine leverandører implementerer tilstrækkelige sikkerhedskontroller, og at disse regelmæssigt gennemgås. Dette strækker sig til at sikre, at kundeserviceniveauer og beskyttelse af personlige data ikke påvirkes negativt.
  • Revision af leverandørerOrganisationer bør regelmæssigt revidere deres leverandørers processer og systemer. Dette er i overensstemmelse med de nye ISO 27001:2022-krav, der sikrer, at leverandørernes overholdelse af reglerne opretholdes, og at risici fra tredjepartspartnerskaber mindskes.

 

Forbedret medarbejders cybersikkerhedsbevidsthed

ISO 27001:2022 understreger fortsat vigtigheden af ​​medarbejderbevidsthed. Implementering af politikker for løbende uddannelse og træning er afgørende. Denne tilgang sikrer, at dine medarbejdere ikke kun er opmærksomme på sikkerhedsrisici, men også er i stand til aktivt at deltage i at afbøde disse risici.

  • Forebyggelse af menneskelige fejl: Virksomheder bør investere i træningsprogrammer, der har til formål at forhindre menneskelige fejl, en af ​​de førende årsager til sikkerhedsbrud.
  • Klar politikudvikling: Etabler klare retningslinjer for medarbejdernes adfærd vedrørende datasikkerhed. Dette inkluderer oplysningsprogrammer om phishing, adgangskodeadministration og mobilenhedssikkerhed.
  • Sikkerhedskultur: Fremme en sikkerhedsbevidst kultur, hvor medarbejdere føler sig bemyndiget til at rejse bekymringer om cybersikkerhedstrusler. Et miljø præget af åbenhed hjælper organisationer med at tackle risici, før de bliver til hændelser.

ISO 27001:2022 Krav til menneskelig ressourcesikkerhed

En af de væsentlige forbedringer i ISO 27001:2022 er dets udvidede fokus på menneskelig ressourcesikkerhed. Dette involverer:

  • Personalescreening: Klare retningslinjer for personalescreening før ansættelse er afgørende for at sikre, at medarbejdere med adgang til følsomme oplysninger opfylder de nødvendige sikkerhedsstandarder.
  • Træning og bevidsthedLøbende uddannelse er nødvendig for at sikre, at personalet er fuldt ud bekendt med organisationens sikkerhedspolitikker og -procedurer.
  • Disciplinære handlinger: Definer klare konsekvenser for overtrædelser af politikker, og sørg for, at alle medarbejdere forstår vigtigheden af ​​at overholde sikkerhedskravene.

Disse kontroller sikrer, at organisationer håndterer både interne og eksterne personalesikkerhedsrisici effektivt.

Medarbejderbevidsthedsprogrammer og sikkerhedskultur

Fremme af en kultur med sikkerhedsbevidsthed er afgørende for at opretholde et stærkt forsvar mod cybertrusler under udvikling. ISO 27001:2022 fremmer løbende uddannelses- og oplysningsprogrammer for at sikre, at alle medarbejdere, fra ledelse til personale, er involveret i at opretholde informationssikkerhedsstandarder.

  • Phishing-simuleringer og sikkerhedsøvelser: Gennemførelse af regelmæssige sikkerhedsøvelser og phishing-simuleringer hjælper med at sikre, at medarbejderne er parate til at håndtere cyberhændelser.
  • Interaktive workshops: Engager medarbejderne i praktiske træningssessioner, der styrker vigtige sikkerhedsprotokoller, hvilket forbedrer den overordnede organisatoriske bevidsthed.

Kontinuerlig forbedring og cybersikkerhedskultur

Endelig fortaler ISO 27001:2022 for en kultur for løbende forbedring, hvor organisationer konsekvent evaluerer og opdaterer deres sikkerhedspolitikker. Denne proaktive holdning er integreret i at opretholde compliance og sikre, at organisationen er på forkant med nye trusler.

  • Sikkerhedsstyring: Regelmæssige opdateringer af sikkerhedspolitikker og revisioner af cybersikkerhedspraksis sikrer løbende overholdelse af ISO 27001:2022.
  • Proaktiv risikostyring: Opmuntring af en kultur, der prioriterer risikovurdering og afbødning, giver organisationer mulighed for at forblive lydhøre over for nye cybertrusler.

Optimal timing for ISO 27001 vedtagelse

At implementere ISO 27001:2022 er en strategisk beslutning, der afhænger af din organisations parathed og mål. Det ideelle tidspunkt er ofte i perioder med vækst eller digital transformation, hvor forbedring af sikkerhedsrammer kan forbedre forretningsresultaterne betydeligt. Tidlig implementering giver en konkurrencefordel, da certificering er anerkendt i over 150 lande, hvilket udvider internationale forretningsmuligheder.

Udførelse af en parathedsvurdering

For at sikre en problemfri adoption skal du udføre en grundig beredskabsvurdering for at evaluere nuværende sikkerhedspraksis i forhold til opdateret standard. Dette indebærer:

  • Gap-analyse: Identificer områder, der skal forbedres, og afstem dem med kravene i ISO 27001:2022.
  • Resource Allocation: Sørg for, at der er tilstrækkelige ressourcer, herunder personale, teknologi og budget, til rådighed for at understøtte vedtagelsen.
  • Interessentengagement: Sikker buy-in fra nøgleinteressenter for at lette en smidig adoptionsproces.

At tilpasse certificering til strategiske mål

At tilpasse certificering til strategiske mål forbedrer forretningsresultater. Overvej:

  • Tidslinje og deadlines: Vær opmærksom på branchespecifikke frister for overholdelse for at undgå sanktioner.
  • Kontinuerlig forbedring: Fremme en kultur med løbende evaluering og forbedring af sikkerhedspraksis.

 

Brug af ISMS.online til effektiv ledelse

Vores platform, ISMS.online, spiller en afgørende rolle i at administrere adoptionen effektivt. Det tilbyder værktøjer til at automatisere overholdelsesopgaver, reducere manuel indsats og levere samarbejdsfunktioner i realtid. Dette sikrer, at din organisation kan opretholde overholdelse og spore fremskridt effektivt gennem hele adoptionsprocessen.

Ved strategisk planlægning og brug af de rigtige værktøjer kan din organisation navigere problemfrit i vedtagelsen af ​​ISO 27001:2022, hvilket sikrer robust sikkerhed og overholdelse.

Hvor stemmer ISO 27001:2022 overens med andre regulatoriske standarder?

ISO 27001 spiller en væsentlig rolle i tilpasningen til vigtige lovgivningsmæssige rammer, såsom GDPR og NIS 2, for at forbedre databeskyttelsen og strømline overholdelse af lovgivningen. Denne tilpasning styrker ikke kun databeskyttelse, men forbedrer også organisatorisk modstandskraft på tværs af flere rammer.

Hvordan forbedrer ISO 27001:2022 GDPR-overholdelse?

ISO 27001:2022 supplerer GDPR ved at fokusere på databeskyttelse og privatliv gennem sine omfattende risikostyringsprocesser (ISO 27001:2022 klausul 6.1). Standardens vægtning af beskyttelse af personoplysninger er i overensstemmelse med GDPR's strenge krav og sikrer robuste databeskyttelsesstrategier.

Hvilken rolle spiller ISO 27001:2022 i at understøtte NIS 2-direktiver?

Standarden understøtter NIS 2-direktiverne ved at forbedre cybersikkerhedens modstandsdygtighed. ISO 27001:2022's fokus på trusselsefterretninger og hændelsesrespons stemmer overens med NIS 2's mål om at styrke organisationer mod cybertrusler og sikre kontinuitet i kritiske tjenester.

Hvordan integreres ISO 27001:2022 med andre ISO-standarder?

ISO 27001 integreres effektivt med andre ISO-standarder, såsom ISO 9001 og ISO 14001, der skaber synergier, der forbedrer den overordnede reguleringstilpasning og operationelle effektivitet. Denne integration letter en samlet tilgang til styring af kvalitets-, miljø- og sikkerhedsstandarder i en organisation.

Hvordan kan organisationer opnå omfattende lovgivningsmæssig tilpasning til ISO 27001:2022?

Organisationer kan opnå omfattende lovgivningsmæssig tilpasning ved at synkronisere deres sikkerhedspraksis med bredere krav. Vores platform, ISMS.online, tilbyder omfattende certificeringssupport og giver værktøjer og ressourcer til at forenkle processen. Brancheforeninger og webinarer øger forståelsen og implementeringen yderligere, hvilket sikrer, at organisationer forbliver kompatible og konkurrencedygtige.

Kan ISO 27001:2022 effektivt afbøde nye sikkerhedsudfordringer?

Nye trusler, herunder cyberangreb og databrud, kræver robuste strategier. ISO 27001:2022 tilbyder en omfattende ramme for styring af risici, der lægger vægt på en risikobaseret tilgang til at identificere, vurdere og afbøde potentielle trusler.

Hvordan forbedrer ISO 27001:2022 reduktion af cybertrusler?

ISO 27001:2022 styrker afbødning gennem strukturerede risikostyringsprocesser. Ved at implementere bilag A-kontroller kan organisationer proaktivt adressere sårbarheder og reducere cyberhændelser. Denne proaktive holdning opbygger tillid til kunder og partnere, og adskiller virksomheder på markedet.

Hvilke foranstaltninger sikrer cloud-sikkerhed med ISO 27001:2022?

Cloudsikkerhedsudfordringer er fremherskende, når organisationer migrerer til digitale platforme. ISO 27001:2022 omfatter specifikke kontroller til cloudmiljøer, der sikrer dataintegritet og sikrer mod uautoriseret adgang. Disse tiltag fremmer kundeloyalitet og øger markedsandele.

Hvordan forhindrer ISO 27001:2022 databrud?

Databrud udgør betydelige risici, som påvirker omdømme og finansiel stabilitet. ISO 27001:2022 etablerer omfattende protokoller, der sikrer kontinuerlig overvågning og forbedring. Certificerede organisationer oplever ofte færre brud og opretholder effektive sikkerhedsforanstaltninger.

Hvordan kan organisationer tilpasse sig udviklende trusselslandskaber?

Organisationer kan tilpasse ISO 27001:2022 til nye trusler ved regelmæssigt at opdatere sikkerhedspraksis. Denne tilpasningsevne sikrer tilpasning til nye trusler og opretholder robuste forsvar. Ved at demonstrere en forpligtelse til sikkerhed opnår certificerede organisationer en konkurrencefordel og foretrækkes af kunder og partnere.

At dyrke en sikkerhedskultur med ISO 27001-overensstemmelse

ISO 27001 fungerer som en hjørnesten i udviklingen af ​​en robust sikkerhedskultur ved at lægge vægt på bevidsthed og omfattende træning. Denne tilgang styrker ikke kun din organisations sikkerhedsposition, men er også i overensstemmelse med de nuværende cybersikkerhedsstandarder.

Sådan øger du sikkerhedsbevidsthed og træning

Sikkerhedsbevidsthed er en integreret del af ISO 27001:2022, hvilket sikrer, at dine medarbejdere forstår deres roller i at beskytte informationsaktiver. Skræddersyede træningsprogrammer giver personalet mulighed for at genkende og reagere på trusler effektivt, hvilket minimerer hændelsesrisici.

Hvad er effektive træningsstrategier?

Organisationer kan forbedre træningen ved at:

  • Interaktive workshops: Gennemfør engagerende sessioner, der styrker sikkerhedsprotokollerne.
  • E-læringsmoduler: Tilbyder fleksible onlinekurser til kontinuerlig læring.
  • Simulerede øvelser: Implementer phishing-simuleringer og hændelsesreaktionsøvelser for at teste beredskab.

 

Hvordan påvirker lederskab sikkerhedskulturen?

Ledelse spiller en central rolle i indlejring af en sikkerhedsfokuseret kultur. Ved at prioritere sikkerhedsinitiativer og gå foran med et godt eksempel, indgyder ledelsen ansvar og årvågenhed i hele organisationen, hvilket gør sikkerheden integreret i den organisatoriske etos.

Hvad er de langsigtede fordele ved sikkerhedsbevidsthed?

ISO 27001:2022 tilbyder vedvarende forbedringer og risikoreduktion, hvilket øger troværdigheden og giver en konkurrencefordel. Organisationer rapporterer om øget driftseffektivitet og reducerede omkostninger, hvilket understøtter vækst og åbner nye muligheder.

Hvordan understøtter ISMS.online din sikkerhedskultur?

Vores platform, ISMS.online, hjælper organisationer ved at tilbyde værktøjer til at spore træningsfremskridt og fremme samarbejde i realtid. Dette sikrer, at sikkerhedsbevidstheden opretholdes og løbende forbedres i overensstemmelse med ISO 27001:2022's mål.

Navigering af udfordringer i ISO 27001:2022 implementering

Implementering af ISO 27001:2022 indebærer at overvinde betydelige udfordringer, såsom at håndtere begrænsede ressourcer og håndtere modstand mod forandring. Disse forhindringer skal håndteres for at opnå certificering og forbedre din organisations informationssikkerhedsposition.

Identifikation af fælles implementeringshinder

Organisationer har ofte vanskeligheder med at allokere tilstrækkelige ressourcer, både økonomiske og menneskelige, til at opfylde ISO 27001:2022's omfattende krav. Modstand mod at implementere nye sikkerhedspraksisser kan også hæmme fremskridt, da medarbejdere kan være tøvende med at ændre etablerede arbejdsgange.

Effektive ressourcestyringsstrategier

For at optimere ressourcestyring, prioriter opgaver baseret på risikovurderingsresultater, med fokus på områder med stor indvirkning (ISO 27001:2022 paragraf 6.1). Vores platform, ISMS.online, automatiserer overholdelsesopgaver, reducerer manuel indsats og sikrer, at kritiske områder får den nødvendige opmærksomhed.

Overvinde modstand mod forandring

Effektiv kommunikation og træning er nøglen til at afbøde modstand. Engager medarbejderne i implementeringsprocessen ved at fremhæve fordelene ved ISO 27001:2022, såsom forbedret databeskyttelse og GDPR-tilpasning. Regelmæssige træningssessioner kan fremme en kultur af sikkerhedsbevidsthed og overholdelse.

Forbedring af implementering med ISMS.online

ISMS.online spiller en central rolle i at overvinde disse udfordringer ved at levere værktøjer, der forbedrer samarbejdet og strømliner dokumentation. Vores platform understøtter integrerede overholdelsesstrategier, der tilpasser ISO 27001 til standarder som ISO 9001, hvorved den overordnede effektivitet og overholdelse af lovgivningen forbedres. Ved at forenkle implementeringsprocessen hjælper ISMS.online din organisation med at opnå og vedligeholde ISO 27001:2022-certificering effektivt.

ISO 27001 Ofte stillede spørgsmål

Hvad er de vigtigste forskelle mellem ISO 27001:2022 og tidligere versioner?

ISO 27001:2022 introducerer afgørende opdateringer for at imødekomme de skiftende sikkerhedskrav og øge dens relevans i nutidens digitale miljø. En væsentlig ændring er udvidelsen af Annex A-kontrollerne, der nu er i alt 93, og som inkluderer nye foranstaltninger til cloudsikkerhed og trusselsinformation. Disse tilføjelser understreger den voksende betydning af digitale økosystemer og proaktiv trusselsstyring.

Indvirkning på overholdelse og certificering
Opdateringerne i ISO 27001:2022 kræver justeringer i overholdelsesprocesser. Din organisation skal integrere disse nye kontroller i sine informationssikkerhedsstyringssystemer (ISMS) for at sikre overensstemmelse med de seneste krav (ISO 27001:2022 paragraf 6.1). Denne integration strømliner certificering ved at give en omfattende ramme til styring af informationsrisici.

Nye kontroller og deres betydning
Indførelsen af ​​kontroller fokuseret på skysikkerhed og trusselsintelligens er bemærkelsesværdig. Disse kontroller hjælper din organisation med at beskytte data i komplekse digitale miljøer og adresserer sårbarheder, der er unikke for cloud-systemer. Ved at implementere disse foranstaltninger kan du forbedre din sikkerhedsposition og reducere risikoen for databrud.

Tilpasning til nye krav
For at tilpasse sig disse ændringer bør din organisation udføre en grundig gap-analyse for at identificere områder, der skal forbedres. Dette indebærer at vurdere nuværende praksis i forhold til den opdaterede standard, hvilket sikrer tilpasning til nye kontroller. Ved at bruge platforme som ISMS.online kan du automatisere overholdelsesopgaver, hvilket reducerer den manuelle indsats og øger effektiviteten.

Disse opdateringer fremhæver ISO 27001:2022's engagement i at håndtere moderne sikkerhedsudfordringer og sikre, at din organisation forbliver modstandsdygtig over for nye trusler.

Hvorfor bør complianceansvarlige prioritere ISO 27001:2022?

ISO 27001:2022 er afgørende for compliance-ansvarlige, der søger at forbedre deres organisations informationssikkerhedsramme. Dens strukturerede metode til overholdelse af lovgivning og risikostyring er uundværlig i dagens sammenkoblede miljø.

Navigering af regulatoriske rammer
ISO 27001:2022 er i overensstemmelse med globale standarder som GDPR, hvilket giver en omfattende ramme, der sikrer databeskyttelse og privatliv. Ved at overholde dens retningslinjer kan du trygt navigere i komplekse regulatoriske landskaber, reducere juridiske risici og forbedre forvaltningen (ISO 27001:2022 paragraf 6.1).

Proaktiv risikostyring
Standardens risikobaserede tilgang gør det muligt for organisationer systematisk at identificere, vurdere og afbøde risici. Denne proaktive holdning minimerer sårbarheder og fremmer en kultur med løbende forbedringer, hvilket er afgørende for at opretholde en robust sikkerhedsstilling. Compliance-ansvarlige kan bruge ISO 27001:2022 til at implementere effektive risikohåndteringsstrategier og dermed sikre modstandsdygtighed over for nye trusler.

Forbedring af organisatorisk sikkerhed
ISO 27001:2022 forbedrer din organisations sikkerhedsstatus betydeligt ved at integrere sikkerhedspraksis i kerneforretningsprocesser. Denne integration øger den operationelle effektivitet og opbygger tillid hos interessenter, hvilket positionerer din organisation som førende inden for informationssikkerhed.

Effektive implementeringsstrategier
Complianceansvarlige kan implementere ISO 27001:2022 effektivt ved at bruge platforme som ISMS.online, der strømliner indsatsen gennem automatiserede risikovurderinger og overvågning i realtid. Inddragelse af interessenter og fremme af en sikkerhedsbevidst kultur er afgørende skridt i at integrere standardens principper i hele din organisation.

Ved at prioritere ISO 27001:2022 beskytter du ikke blot din organisations data, men opnår også strategiske fordele i et konkurrencepræget marked.

Hvordan forbedrer ISO 27001:2022 sikkerhedsrammer?

ISO 27001:2022 etablerer en omfattende ramme for styring af informationssikkerhed med fokus på en risikobaseret tilgang. Denne tilgang gør det muligt for din organisation systematisk at identificere, vurdere og håndtere potentielle trusler, hvilket sikrer robust beskyttelse af følsomme data og overholdelse af internationale standarder.

Nøglestrategier til trusselbegrænsning

  • Udførelse af risikovurderinger: Grundige evalueringer identificerer sårbarheder og potentielle trusler (ISO 27001:2022 klausul 6.1) og danner grundlag for målrettede sikkerhedsforanstaltninger.
  • Implementering af sikkerhedskontroller: Bilag A-kontroller anvendes til at håndtere specifikke risici og sikre en holistisk tilgang til trusselsforebyggelse.
  • Kontinuerlig overvågning: Regelmæssige gennemgange af sikkerhedspraksisser muliggør tilpasning til udviklende trusler og opretholder effektiviteten af din sikkerhedspolitik.

Databeskyttelse og privatlivsjustering
ISO 27001:2022 integrerer sikkerhedspraksisser i organisatoriske processer, i overensstemmelse med regler som GDPR. Dette sikrer, at personoplysninger håndteres sikkert, hvilket reducerer juridiske risici og øger interessenternes tillid.

Opbygning af en proaktiv sikkerhedskultur
Ved at fremme sikkerhedsbevidsthed fremmer ISO 27001:2022 løbende forbedringer og årvågenhed. Denne proaktive holdning minimerer sårbarheder og styrker din organisations samlede sikkerhedstilstand. Vores platform, ISMS.online, understøtter disse bestræbelser med værktøjer til realtidsovervågning og automatiserede risikovurderinger, hvilket positionerer din organisation som førende inden for informationssikkerhed.

Integrering af ISO 27001:2022 i din sikkerhedsstrategi styrker ikke blot forsvaret, men forbedrer også din organisations omdømme og konkurrencefordel.

Hvilke fordele tilbyder ISO 27001:2022 administrerende direktører?

ISO 27001:2022 er et strategisk aktiv for administrerende direktører, der forbedrer organisatorisk modstandskraft og operationel effektivitet gennem en risikobaseret metode. Denne standard tilpasser sikkerhedsprotokoller med forretningsmål, hvilket sikrer robust informationssikkerhedsstyring.

Hvordan forbedrer ISO 27001:2022 strategisk forretningsintegration?

Risikostyringsramme:
ISO 27001:2022 giver en omfattende ramme for at identificere og afbøde risici, beskytte dine aktiver og sikre forretningskontinuitet.

Standarder for overholdelse af lovgivningen:
Ved at tilpasse sig globale standarder som GDPR minimeres juridiske risici og styrkes styringen, hvilket er afgørende for at opretholde markedets tillid.

Hvad er de konkurrencemæssige fordele ved ISO 27001:2022?

Forbedring af omdømme:
Certificering demonstrerer et engagement i sikkerhed og øger kundernes tillid og tilfredshed. Organisationer rapporterer ofte øget kundetillid, hvilket fører til højere fastholdelsesrater.

Global markedsadgang:
Med accept i over 150 lande letter ISO 27001:2022 adgangen til internationale markeder og tilbyder en konkurrencefordel.

Hvordan kan ISO 27001:2022 drive virksomhedsvækst?

Driftseffektivitet:
Strømlinede processer reducerer sikkerhedshændelser, sænker omkostninger og forbedrer effektiviteten.

Innovation og digital transformation:
Ved at fremme en kultur præget af sikkerhedsbevidsthed understøtter det digital transformation og innovation, hvilket driver forretningsvækst.

Ved at integrere ISO 27001:2022 i din strategiske planlægning afstemmes sikkerhedsforanstaltninger med organisatoriske mål, hvilket sikrer, at de understøtter bredere forretningsmål. Vores platform, ISMS.online, forenkler overholdelse og tilbyder værktøjer til realtidsovervågning og risikostyring, hvilket sikrer, at din organisation forbliver sikker og konkurrencedygtig.

Sådan faciliterer du digital transformation med ISO 27001:2022

ISO 27001:2022 giver en omfattende ramme for organisationer, der går over til digitale platforme, og sikrer databeskyttelse og overholdelse af internationale standarder. Denne standard er afgørende for styring af digitale risici og forbedring af sikkerhedsforanstaltninger.

Sådan håndterer du digitale risici effektivt
ISO 27001:2022 tilbyder en risikobaseret tilgang til at identificere og afbøde sårbarheder. Ved at udføre grundige risikovurderinger og implementere Annex A-kontroller kan din organisation proaktivt adressere potentielle trusler og opretholde robuste sikkerhedsforanstaltninger. Denne tilgang er i overensstemmelse med de skiftende krav til cybersikkerhed, hvilket sikrer, at dine digitale aktiver er beskyttet.

Sådan fremmer du sikker digital innovation
Ved at integrere ISO 27001:2022 i din udviklingslivscyklus sikrer du, at sikkerheden prioriteres fra design til implementering. Dette reducerer risikoen for brud og forbedrer databeskyttelsen, hvilket giver din organisation mulighed for at forfølge innovation med tillid og samtidig opretholde overholdelse.

Sådan opbygger du en kultur af digital sikkerhed
Fremme af en sikkerhedskultur indebærer at lægge vægt på opmærksomhed og træning. Implementer omfattende programmer, der udstyrer dit team med de nødvendige færdigheder til at genkende og reagere effektivt på digitale trusler. Denne proaktive holdning fremmer et sikkerhedsbevidst miljø, der er afgørende for vellykket digital transformation.

Ved at vedtage ISO 27001:2022 kan din organisation navigere i digitale kompleksiteter og sikre, at sikkerhed og overholdelse er integreret i dine strategier. Denne tilpasning beskytter ikke kun følsomme oplysninger, men forbedrer også driftseffektiviteten og konkurrencefordele.

Hvad er de vigtigste overvejelser ved implementering af ISO 27001:2022?

Implementering af ISO 27001:2022 involverer omhyggelig planlægning og ressourcestyring for at sikre en vellykket integration. Nøgleovervejelser omfatter strategisk ressourceallokering, engagering af nøglepersoner og fremme af en kultur med løbende forbedringer.

Strategisk ressourceallokering
Det er vigtigt at prioritere opgaver baseret på omfattende risikovurderinger. Din organisation bør fokusere på områder med stor indflydelse og sikre, at de får tilstrækkelig opmærksomhed som beskrevet i ISO 27001:2022, paragraf 6.1. Brug af platforme som ISMS.online kan automatisere opgaver, reducere manuel indsats og optimere ressourceforbrug.

Engagere nøglemedarbejdere
Det er afgørende at sikre buy-in fra nøglemedarbejdere tidligt i processen. Dette indebærer at fremme samarbejde og tilpasse sig organisatoriske mål. Klar kommunikation af fordelene og målene ved ISO 27001:2022 hjælper med at afbøde modstand og tilskynder til aktiv deltagelse.

Fremme af en kultur med kontinuerlig forbedring
Regelmæssig gennemgang og opdatering af dine informationssikkerhedsstyringssystemer (ISMS) for at tilpasse sig nye trusler er afgørende. Dette indebærer udførelse af periodiske audits og ledelsesgennemgange for at identificere områder for forbedring, som specificeret i ISO 27001:2022 paragraf 9.3.

Trin til succesfuld implementering
For at sikre en vellykket implementering bør din organisation:

  • Udfør en hulanalyse for at identificere områder, der skal forbedres.
  • Udvikle en omfattende projektplan med klare mål og tidsplaner.
  • Brug værktøjer og ressourcer, såsom ISMS.online, til at strømline processer og øge effektiviteten.
  • Fremme en kultur af sikkerhedsbevidsthed gennem regelmæssig træning og kommunikation.

Ved at imødekomme disse overvejelser kan din organisation effektivt implementere ISO 27001:2022, forbedre dens sikkerhedsposition og sikre overensstemmelse med internationale standarder.

Book en demo med ISMS.online

Start din ISO 27001:2022 rejse med ISMS.online. Planlæg en personlig demo nu for at se, hvordan vores omfattende løsninger kan forenkle din overholdelse og strømline din implementering processer. Forbedre din sikkerhedsramme og øge driftseffektiviteten med vores banebrydende værktøjer.

Hvordan kan ISMS.online strømline din overholdelsesrejse?

  • Automatiser og forenkle opgaver: Vores platform reducerer manuel indsats og øger præcisionen gennem automatisering. Den intuitive grænseflade guider dig trin-for-trin og sikrer, at alle nødvendige kriterier opfyldes effektivt.
  • Hvilken support tilbyder ISMS.online?Med funktioner som automatiserede risikovurderinger og realtidsovervågning hjælper ISMS.online med at opretholde en robust sikkerhedstilstand. Vores løsning er i overensstemmelse med ISO 27001:2022's risikobaserede tilgang og adresserer proaktivt sårbarheder (ISO 27001:2022 klausul 6.1).
  • Hvorfor planlægge en personlig demo?Opdag, hvordan vores løsninger kan transformere din strategi. En personlig demo illustrerer, hvordan ISMS.online kan opfylde din organisations specifikke behov og giver indsigt i vores muligheder og fordele.

Hvordan forbedrer ISMS.online samarbejde og effektivitet?

Vores platform fremmer problemfrit teamwork, hvilket gør det muligt for din organisation opnå ISO 27001:2022 certificering. Ved at bruge ISMS.online kan dit team forbedre sin sikkerhedsramme, forbedre driftseffektiviteten og opnå en konkurrencefordel. Book en demo i dag for at opleve den transformerende kraft af ISMS.online og sikre, at din organisation forbliver sikker og kompatibel.

Sam Peters

Sam er Chief Product Officer hos ISMS.online og leder udviklingen af ​​alle produktfunktioner og funktionalitet. Sam er ekspert inden for mange områder af overholdelse og arbejder med kunder på alle skræddersyede eller storskala projekter.

Relaterede emner

ISO 27001

Cyberrisikostyring er fragmenteret: Sådan løser du det

Organisationer har længe forstået udfordringen ved at omsætte cyberrisiko til forretningsrisiko. Kommunikationsbruddet mellem CISO og bestyrelseslokalet er reelt og veldokumenteret. Men er der dybere problemer? Af forskellige årsager er cyberrisikostyring vokset i størrelse og omfang gennem årene. I dag kan det spænde over alt fra traditionelle sikkerhedsdiscipliner til privatliv, risiko i forsyningskæden, jura, AI-styring og operationel robusthed. Det skaber uundgåeligt datasiloer, huller i dækningen og udfordringer med hensyn til modstandsdygtighed. Hvis fælles forvaltning er destinationen, hvordan skal rejsen så se ud? Når synlighed og ejerskab splintres. Der er forskellige grunde til, at cyberrisikostyring er blevet så uhåndterlig gennem årene. Der var engang, hvor sikkerhed var meget nemmere. Computerressourcerne var placeret lokalt, og organisationer bevogtede området for at holde de skadelige elementer ude. Denne borg-og-voldgrav-tilgang forduftede med ankomsten af ​​cloud computing, fjernarbejde og SaaS-applikationer. Efterhånden som angrebsfladen har udvidet sig, har den omfattet operationel teknologi (OT), internet of things (IoT)-systemer, mobile enheder, edge computing-servere og mere. Flere IT-aktiver, mere kompleksitet, mere fragmenteret tilsyn. AI-infrastruktur og -tjenester repræsenterer den seneste udvidelse. Store sprogmodeller (LLM'er), agenter, vektordatabaser, maskinlæringspipelines, API'er, plugins og cloud-servere repræsenterer et nyt højrisikomål for angreb. Efterhånden som AI finder vej ind i mere forretningskritiske tjenester, vokser potentialet for kompromittering, datatyveri og manipulation. Skygge-AI er en særlig bekymring. To tredjedele (65%) af organisationer har oplevet sikkerhedshændelser relateret til AI-agenter i det seneste år, og endnu flere (82%) har mistanke om at have uadministrerede agenter kørende i deres miljøer. Forsyningskæderne er også skyld i det. Den gennemsnitlige virksomhed bruger nu anslået 61 sikkerhedsværktøjer. Og det er bare cyber. I næsten alle sektorer har organisationer samlet et komplekst økosystem af partnere, der håndterer alt fra logistik til professionelle tjenester. Så er der digitale leverandører. Open source-komponenter er en voksende kilde til risiko. Den sidste faktor er det regulatoriske miljø. Efterhånden som nye love er kommet for at fremme operationel robusthed og beskytte personoplysninger, AI-teknologi, smarte enheder og anden teknologi, er byrden på compliance-teams vokset. I nogle tilfælde (som NIS2) holdes den øverste ledelse nu personligt ansvarlig for manglende overholdelse. Det har flyttet fokus på ansvarlighed mere direkte væk fra sikkerhedsteams og over på forretningsledelsen. Hvad dette betyder Ifølge forsknings- og rådgivningsfirmaet Info-Tech Research Group er der tre centrale barrierer for integreret risikostyring: Mangel på modne processer, fælles sprog, risikokultur og moderne værktøjer til at understøtte integreret risikostyring Hurtigt udviklende regler, nye teknologier og skiftende geopolitiske realiteter, der gør det vanskeligt at opretholde proaktive risikopraksisser Risikostyring, der behandles som en compliance-øvelse snarere end en strategisk kapacitet, hvilket fører til blinde vinkler og mistede muligheder for at styrke modstandsdygtigheden I nogle tilfælde forventes det, at CISO'er håndterer den voksende byrde. Forskning fra Cambridge University viser, at dette kan føre til reaktiv risikostyring, overholdelse af afkrydsningsfelter og ofte udbrændthed. Separat IANS-undersøgelse viser, at 52 % af CISO'erne føler, at deres omfang ikke længere er fuldt ud håndterbart. Presset er særligt akut i mindre organisationer og kan forsinke vigtige strategiske initiativer, advarer rapporten. I sidste ende skader silo-risikostyring organisationen ved at øge uigennemsigtighed og risiko for brud, argumenterer Black Duck CISO, Dom Glavach. "Når siloer skaber usammenhængende tilsyn, især i takt med at AI accelererer tempoet, opstår der risici på tværs af softwareforsyningskæder, arbejdsgange og forretningsdrift." Distribueret ejerskab er nødvendigt for at holde trit, da cyberrisiko spænder over sikkerhed, produkt, privatliv, compliance og leverandører,” fortæller han IO (tidligere ISMS.online). "Når siloerne forstyrrer tilsynet, ender organisationer med blinde vinkler, dobbeltarbejde, langsommere respons og vanskeligheder med at bevise, at kontrollerne fungerede på tværs af organisationen." Tid til integration Så hvor går organisationerne hen herfra? Info-Tech har en firepunktsplan for integreret cyberrisikostyring: Etablere mål og styring Udvikle mekanismer til at identificere og vurdere risici Udvikle risikohåndteringsmuligheder Oprette en værktøjs-, overvågnings- og rapporteringsplan For Muhammad Yahya Patel, vCISO EMEA hos Huntress, bør to centrale fokusområder komme først. "For det første en fælles kontrolramme, som alle funktioner er knyttet til, således at når CISO'en rapporterer om sikkerhedskontroller, databeskyttelsesrådgiveren (DPO) rapporterer om privatlivskontroller, og AI-styringslederen rapporterer om modelrisiko, så taler de alle om den samme underliggende risikotaksonomi, og bestyrelsen kan se det samlede billede," fortæller han IO. "Dernæst skal leverandørdimensionen være opmærksom, fordi det er der, hvor styringsbruddet er mest akut lige nu." De fleste organisationer har tredjeparts risikostyringsprocesser, der er tidsbestemte: en vurdering ved onboarding, et spørgeskema ved fornyelse. Hvad de ikke har, er løbende synlighed af, om de kontroller, de stolede på på vurderingstidspunktet, stadig er på plads. Løbende overvågning af leverandørernes sikkerhedsstatus, integreret med jeres interne risikobillede, er et must.” Where Frameworks Help Ronald Lewis, chef for cybersikkerhedsstyring hos Black Duck, sammenligner processen med finjustering af et gammeldags ur, hvor hver funktion er et tandhjul. "Hvert tandhjul har en specifik rolle, men ingen fungerer uafhængigt. Hvis et tandhjul er forkert justeret, drejer for hurtigt, for langsomt eller i den forkerte retning, driver hele systemet. Det er præcis sådan, cyberrisiko opfører sig i siloerede miljøer. "Kontroller fejler ikke, fordi de er dårligt designet; de fejler, fordi de ikke er synkroniseret med beslutninger, der træffes andre steder," siger han. "Det niveau af synkronisering sker ikke organisk." Det kræver en ramme. Uanset om det er ISO 27001, NIST eller en velkonstrueret intern model, er pointen at etablere et fælles sprog, ensartet taksonomi og klare sporbarhedslinjer mellem risici, kontroller og ejerskab.” Lewis forklarer, at et stærkt rammeværk tvinger integration på tværs af domæner. "Det skaber forbindelsesvævet mellem privatliv, sikkerhed, tredjepartsrisiko, AI-styring og operationel robusthed." Det gør det muligt at se ikke kun individuelle risici, men også hvordan de interagerer og skaleres,” konkluderer han. "Uden den struktur kan man ikke opnå et fælles tilsyn." Med den kan du justere hjulene, dreje uafhængigt, men i samme retning, mod et enkelt, målbart mål: en sammenhængende, virksomhedsomfattende forståelse og håndtering af cyberrisiko.” Udvid din viden Podcast: Phishing for Trouble S2 E2: Du er kompatibel. Er du robust? Blog: Hvorfor cybermodstandsdygtighed stadig er langt væk for mange britiske virksomheder Blog: Governance-kløften: Hvorfor EU's AI-lov er øjeblikket, hvor bestyrelser ikke længere kan behandle compliance som en andens problem
Læs mere
ISO 27001

Cyberkriminalitet vs. geopolitik: Hvordan ransomware bliver et geopolitisk værktøj

Nationalstater intensiverer destruktive angreb ved hjælp af ransomware og wipers. Hvad kan man gøre for at håndtere risikoen? I 2017 udløste modstandere med tilknytning til Rusland et angreb, der senere blev kendt som NotPetya, som en del af en igangværende kampagne mod Ukraine. Forklædt til at ligne Petya-ransomwaren, var konsekvenserne af det ødelæggende cyberangreb ødelæggelse snarere end økonomisk gevinst. Skaden fra viskerværktøjet gik langt ud over dets mål og ramte virksomheder i hele Europa og andre steder. Næsten et årti senere er wipers og ransomware ved at blive nøgleværktøjer for angribere fra forskellige stater til at stoppe kritiske tjenester og forårsage forstyrrelser. Hændelsen med Colonial Pipeline i 2021 er et godt eksempel på den skade, der kan opstå som følge af denne type angreb. Angrebet, der tilskrives DarkSide – en gruppe med russiske forbindelser – tvang til at lukke den største brændstofrørledning i USA, hvilket udløste udbredt brændstofmangel. I 2021 udførte nordkoreanske regeringsrelaterede modstandere ransomware-angrebene på Maui mod hospitaler og diagnosecentre med det formål at generere indtægter og forårsage kaos. Den eskalerende geopolitiske situation, herunder krigen mellem Rusland og Ukraine og Iran-konflikten, forværrer truslen med voksende frygt for destruktive angreb fra modstandere forbundet med fjendtlige nationer som Kina, Rusland, Iran og Nordkorea (CRINK). Det har fået nationale sikkerhedsagenturer til at udstede advarsler, hvor det britiske National Cyber ​​Security Centre (NCSC) beskriver værktøjer, der kan hjælpe virksomheder med at mindske risikoen. Hvad kan virksomheder gøre for at håndtere dette voksende problem? Udviklingen af ​​ransomware Der er ingen tvivl om, at risikoen for angreb fra nationalstater, der bruger ransomware som en del af geopolitiske mål, vokser. Tracey Hannan-Jones, direktør for informationssikkerhedsrådgivning hos UBDS Digital, mener, at grænsen mellem cyberkriminalitet og geopolitik "aldrig har været tyndere". Det, der engang var forbeholdt økonomisk motiverede kriminelle bander, har ifølge Hannan-Jones udviklet sig til et "sofistikeret instrument for statsmagt". Dette betyder, at ransomware, malware og destruktive cyberangreb bruges ud over afpresning. "De er våben til geografisk forstyrrelse, som nationalstatslige aktører bruger til at destabilisere regeringer, lamme infrastruktur og projektmagt – uden at et eneste skud bliver affyret," siger hun. Tidligere fulgte ransomware-angreb en forudsigelig logik: Krypter, kræv betaling og profit. Dette har ændret sig dramatisk, efterhånden som nationalstatslige aktører – især dem, der er allieret med Rusland, Nordkorea, Kina og Iran – har taget de samme teknikker til sig, ofte "med mål, der går langt ud over økonomisk gevinst", siger Hannan-Jones. Underminering af tillid Gary Barlet, CTO for den offentlige sektor hos Illumio, er enig i Hannan-Jones' analyse. I nogle tilfælde er angrebene designet til at underminere offentlighedens tillid, skabe operationel ustabilitet og lægge økonomisk pres, siger Barlet. Han forklarer, hvordan mange ransomware-grupper opererer i miljøer, hvor de modtager indirekte beskyttelse eller stiltiende godkendelse fra regeringer, der ser strategisk værdi i deres aktivitet. "Denne konvergens skaber en enorm udfordring for forsvarere, der ikke længere kun har at gøre med isoleret kriminel aktivitet." Problemet er nu trusler, der befinder sig i en "gråzone" mellem økonomisk motiverede angreb og statsallierede operationer, ifølge Barlet. "Ransomware-grupper opfører sig i stigende grad som stedfortrædere, der går efter udenlandske fjender eller bidrager til bredere destabiliseringsindsatser." Samtidig er det vanskeligt at identificere gerningsmændene, fordi cyberoperationer bevidst er designet til at give kriminelle en plausibel benægtelsesmulighed. "Et angreb kan ved første øjekast virke økonomisk motiveret, men den operationelle timing, målvalget eller den bredere indvirkning kan antyde strategiske intentioner bagved," forklarer Barlet. Opportunistiske vs. strategiske. Nationalstatsangreb kan være strategiske eller opportunistiske. Penge er ofte en motivation for angreb fra nationalstater, såsom dem, der begås af Nordkorea. Det er ikke usædvanligt at observere nationalstatslige modstandere "monetarisere digital usikkerhed for at generere ulovlige indtægter", siger Jamie Moles, senior teknisk chef hos ExtraHop. "Ved at samarbejde med cyberkriminelle syndikater anvender stater ransomware og udnytter sårbarheder i forsyningskæden." Denne finansielle udvinding gør det muligt for regimer at omgå internationale sanktioner og finansiere efterretningsoperationer "uden for regnskabsåret". Muligheder kan nogle gange spille en rolle, hvor konflikt i Iran tillader nationer som Rusland at undgå at blive påvirket. I mellemtiden udnytter statsstøttede angribere sommetider cyberkriminalitetsøkosystemet til at skjule deres skyld i angreb, siger Andrew Brandt, ledende chef for trusselsefterretningshændelser hos Huntress. "Hvorfor bruge tid på at udvikle brugerdefineret, skræddersyet malware, når man bare kan tage den lækkede kildekode fra Gh0stRAT og bruge den i stedet?" Risiko forbundet med forsyningskæde og kritisk infrastruktur Risikoen vokser yderligere i takt med, at forsyningskæder bliver mere digitalt sammenkoblede, hvilket betyder, at de arver nye fejlpunkter, som angribere hurtigt kan udnytte. Ifølge Barlet fra Illumio misbruger cyberkriminelle rutinemæssigt fejlkonfigurationer, usikre API'er og svag autentificering for at opnå initial adgang, før de bevæger sig lateralt mod kritiske systemer. Ransomware-grupper ved også, at det kan være langt mere skadeligt og profitabelt at forstyrre forsyningskæder end at stjæle data. "Selv kortvarige forstyrrelser kan smitte af på tværs af globale forsyningskæder, især i just-in-time-produktionsmiljøer, hvor forsinkelser hurtigt går ned ad bakke," siger Barlet. Efterhånden som denne trussel vokser, kan traditionelle sikkerhedsmodeller have problemer, fordi de er bygget til hændelser snarere end statsstøttede kampagner. Sikkerhedsmodeller er ofte bygget op omkring "en perimeterbaseret tankegang", ifølge Barlet. "Sikkerhedsteams tænker i binære termer om, hvorvidt en angriber er kommet ind eller ej, hvilket betyder, at de ofte undlader at tage højde for, hvad der sker bagefter." Dette skaber urealistiske forventninger om, at ethvert brud kan forhindres.” Men når angribere bryder perimeteren, bevæger de sig ofte lateralt på tværs af systemer, hvilket eskalerer adgangen og forårsager omfattende forstyrrelser. "Ved at fokusere for meget på perimeteren forsvarer organisationer effektivt en begrænset grænse, mens ransomware-aktører opererer frit indenfor, når de først er kommet igennem den," forklarer Barlet. Han siger, at angrebene på Jaguar Land Rover og detailhandlere sidste år fulgte dette mønster. "Angriberne kompromitterede netværk, målrettede systemer, der var kritiske for tjenester og drift, og stjal følsomme oplysninger." Begræns virkningen I takt med at angrebslinjerne fortsætter med at blive slørede, er det nøglen til at sikre robusthed, tværsektoriel bevidsthed, synlighed i forsyningskæden og ansvarlighed på ledelsesniveau. Rammer som ISO 27001 kan danne et grundlag for risikostyring midt i stigende trusler. Med den stigende trussel fra nationalstater midt i geopolitiske forstyrrelser over hele verden mener Barlet, at virksomheder – især dem, der opererer i kritiske sektorer – er nødt til at give slip på ideen om total forebyggelse og i stedet fokusere på at begrænse virkningen af ​​ransomware gennem inddæmning af brud. "En inddæmningsstrategi tvinger angribere til at sætte farten ned, hvilket gør det sværere for dem at forblive skjulte og bevæge sig på tværs af forskellige systemer," forklarer han. "Endnu vigtigere er det, at det tvinger angribere til at ændre deres teknikker og procedurer, hvilket giver sikkerhedsteams en langt bedre chance for at opdage, reagere på og komme sig efter angreb." Hannan-Jones fra UBDS Digital mener, at fokus bør være på modstandsdygtighed frem for forebyggelse. "Ingen organisation kan garantere, at den ikke vil blive angrebet, så fokus skal skifte til modstandsdygtighed: Evnen til at opdage, reagere og genoprette med robust forretningskontinuitet og katastrofeberedskabsplanlægning." Beredskab til håndtering af hændelser er nøglen, herunder indøvede planer med "klare eskaleringsveje og kommunikationsprotokoller for at reducere virkningen af ​​et vellykket angreb betydeligt", siger Hannan-Jones. Organisationer bør også prioritere integration af trusselsintelligens, råder hun. "Det betyder at gå ud over generiske sikkerhedsadvarsler og i stedet indtage sektorspecifik, geopolitisk kontekstualiseret trusselsinformation for at forstå, hvilke trusselaktører der er aktive, deres taktikker og deres mål for forholdsmæssig risikostyring." Udvid din viden Podcast: Phishing for Trouble S01 E02: Sikkerhed i offentlige systemer og tjenester Blog: Cybertrusler i en tid med øgede spændinger i Mellemøsten: Hvad britiske ITSO'er kan forvente Blog: Modstandsdygtighedsfaktoren: Nedbrydning af BridgePay Ransomware-angrebet
Læs mere
ISO 27001

Nordkoreanske IT-medarbejdere går efter Storbritannien: Hvad skal man gøre?

Insiderrisiko blev indtil for nylig i vid udstrækning anset for at være begrænset til isolerede hændelser. Farligt, ja. Men normalt er det resultatet af uagtsomme medarbejdere eller en enkelt "ensom ulv" motiveret af grådighed eller hævn. Afsløringen af ​​en årelang kampagne fra Nordkoreas side for at infiltrere vestlige virksomheder har vendt disse antagelser på hovedet. Den dårlige nyhed for britiske ITSO'er: det er ikke længere kun et problem for amerikanske virksomheder, ifølge Google. Nu hvor Pyongyang tager insidertrusler til et helt nyt niveau, hvad kan sikkerhedsledere og deres HR-kolleger så gøre for at udrydde de kriminelle? Og forhindre den næste bølge af spioner i at snige sig vej ind i interne IT-roller? Ifølge Microsoft har Nordkoreas "svindelordning med fjernarbejdere" været i gang siden mindst 2020 og har placeret tusindvis af it-medarbejdere i stillinger i vestlige organisationer. Adskillige anklager mod nordkoreanske spioner og lokale formidlere er fulgt, hvilket løfter låget på operationens omfang. Nu ser det ud til at ekspandere til Europa, ifølge Jamie Collier, ledende rådgiver hos Google Threat Intelligence Group (GTIG). "Omfanget af truslen fra nordkoreanske it-medarbejdere fortsætter med at vokse, og britiske organisationer er tydeligt involveret." "Det, der startede som en primært amerikansk-fokuseret operation, har udviklet sig til en global kampagne, hvor Europa nu er et centralt mål," fortæller han IO (tidligere ISMS.online). "I ét tilfælde udnyttede en DPRK-IT-medarbejder facilitatorer i både USA og Storbritannien med en virksomhedsbærbar computer – beregnet til brug i New York – som viste sig at være funktionsdygtig i London." Dette peger på en kompleks logistisk kæde, hvor enheder og adgang effektivt sendes via betroede steder, hvilket giver operatører mulighed for at maskere deres sande identitet og placering.” Disse medarbejdere opretter, lejer eller køber identiteter, der matcher målorganisationens geoplacering, og åbner nye e-mail-, sociale medie- og GitHub-konti for at opbygge en overbevisende professionel persona. Deres facilitatorer validerer disse falske identiteter og hjælper ved at videresende virksomhedens enheder og drive bærbare computerfarme. Medarbejderne bruger fjernadministrationsværktøjer til at oprette forbindelse til disse enhedsfarme, der er placeret lokalt i forhold til rollen, mens VPN'er, virtuelle private servere (VPS'er) og proxytjenester skjuler deres sande identitet. AI-drevne deepfake-billeder/videoer og stemmeændrende software anvendes også for at holde arbejdsgivere uvidende. En nylig rapport fra Flare og IBM X-Force afslører flere detaljer om, hvor sofistikerede disse ordninger er. Den afslører brugen af ​​nordkoreanske IT-administrationsplatforme som "RB Site" og "NetkeyRegister" til at levere "en struktureret backoffice-operation til sporing af arbejde, administration af enheder og distribution af softwareopdateringer." Og brugen af ​​IP Messenger til hemmelig kommunikation. Sikkerheds- og HR-teams' arbejde vanskeliggøres af, at målet med kampagnen i de fleste tilfælde ikke nødvendigvis er datatyveri eller afpresning, men blot at generere penge til Kim Jong-uns regime. Flare anslår, at de genererer op til 500 millioner dollars årligt, hvor nogle arbejdere har flere job på samme tid. "I nogle tilfælde sikrer de sig ikke bare stillinger, de udmærker sig i dem," siger Googles Collier. "Da vi informerede en klient om, at en medarbejder var en nordkoreansk agent, var svaret: 'Er du 100 % sikker, for han er en af ​​vores bedste medarbejdere'." Tæmelse af insidertruslen Men selvom nordkoreanske it-medarbejdere ikke aktivt stjæler data eller afpresser deres arbejdsgivere, repræsenterer deres blotte tilstedeværelse en stor compliance-risiko. "Kontoret for Implementering af Finansielle Sanktioner's rådgivning fra september 2024 levner ikke meget plads til tvetydighed." At betale en nordkoreansk IT-medarbejder, selv ubevidst, kan udgøre et brud på britiske og FN's økonomiske sanktioner. Straffene er civilretlige (solidaritetsansvar, så uvidenhed er ikke et forsvar) eller strafferetlige (op til syv år)," forklarer Flares seniorforsker i cyberkriminalitet, Adrian Cheek. "OFSI rapporterede om omkring £500,000 i håndhævelsesbøder i 2024-25, og det år underskrev det et nyt memorandum of understanding med det amerikanske finansministerium, hvilket betyder, at det transatlantiske samarbejde i disse sager strammes." Hvis din virksomhed også opererer i USA, står du over for eksponering på begge sider, og omdømmerisikoen behøver næppe at blive forklaret nærmere.” Cheek skitserer flere trin, som organisationen bør overveje for at afbøde truslen. Disse bør starte med at forbedre ansættelsesprocessen, hvilket er måden, hvorpå de fleste skader kan forebygges. "Start med det grundlæggende: bekræft identitet mod offentligt udstedt ID, bekræft retten til at arbejde, og tjek uafhængigt ansættelseshistorik og referencer." "Ring ikke bare til nummeret på CV'et," siger han til IO (tidligere ISMS.online). "For alt, der berører følsomme systemer eller data, skal man gå videre." En BS 7858-screening dækker en verificeret femårig ansættelseshistorik uden uforklarlige huller, sanktioner og overvågningslister samt kontrol af økonomisk integritet, hvor loven tillader det.” Dernæst bør der komme en forbedret screening til jobsamtaler. "Det er den del, som de fleste retningslinjer overser." Standard tekniske interviews er trivielt nemme at bestå med AI, der kører på en anden skærm, hvilket er præcis, hvad disse agenter gør. "Du er nødt til at designe interviews, der bryder den arbejdsgang," siger Cheek. "Smid noget falsk ind, og se hvad der sker." Og stil spørgsmål, der kræver en reel mening, ikke et svar fra en lærebog. Undgå alt, hvad en kandidat kunne besvare ved at indsætte spørgsmålet i en LLM.” Ansættere bør også insistere på live-skærmdeling og ændre interviewformater mellem runder for at afskrække en potentiel falsk kandidat. "Hvis deres sprogfærdigheder falder dramatisk, når de ikke kan forberede sig og ikke har AI-assistance klar, er det en betydelig indikator," siger Cheek. For roller med adgang til følsomme data er mindst ét ​​personligt møde afgørende. Endelig kan organisationer mindske risikoen for at have en potentiel nordkoreansk medarbejder iblandt sig ved at anvende færrest rettigheder, deaktivere lokale administratorkonti og begrænse muligheden for at installere fjernskrivebordsværktøjer, konkluderer Cheek. "Giv ikke en ny entreprenør nøglerne til hvert eneste lager og interne værktøj på dag ét." "Giv adgang trinvis og gennemgå den regelmæssigt," siger han. "Og hvis I ikke kan udstede en administreret enhed, skal I sørge for, at der er tilsvarende logføring og endpoint-synlighed på plads." Samarbejde med HR Mange af disse tiltag vil kræve, at sikkerhedsteams bygger bro til deres HR-modparter, siger Mimecasts cybersikkerhedsstrateg, Adenike Cosgrove. "Samarbejde skal indbygges i rekrutteringen som standard og ikke behandles som et eskaleringsskridt," fortæller hun IO. "HR er ofte den første forsvarslinje." De ser de tidlige signaler: kandidater, der afleder spørgsmål om identitet, afviser verifikation eller opfører sig inkonsekvent.  Uden en klar kanal til at afsløre disse bekymringer for sikkerheden, forsvinder disse signaler.” Det samme bør gælde for offboarding for at sikre, at netværksadgang fjernes umiddelbart efter opsigelsen af ​​en mistænkt ondsindet insider, siger hun. "Intet af dette fungerer uden enighed på forhånd: om hvad HR rapporterer til sikkerheden, hvad sikkerheden kommunikerer tilbage, og hvordan beslutninger træffes, når billedet er tvetydigt," tilføjer Cosgrove. "Insiderrisiko er i sidste ende et menneskeligt problem." De teams, der er tættest på mennesker, og de teams, der er tættest på data, skal arbejde ud fra den samme strategi. "Hvis HR og sikkerhed ikke fungerer som ét system, glider denne trussel lige igennem kløften mellem dem." Rollen af ​​bedste praksis-rammer Den gode nyhed er, at selvom standarder som ISO 27001 kan føles "afkoblede" fra trusler som denne, "er de i praksis mere relevante end nogensinde", siger Cosgrove. "ISO 27001 giver struktur," tilføjer hun. "Det tvinger HR-screening, adgangskontroller og sikkerhedstilsyn fremad, hvilket er præcis der, hvor denne trussel ligger." Flare's Cheek går endnu videre. Han nævner NIST CSF 2.0 som relevant for multinationale selskaber eller virksomheder, der arbejder med amerikanske kunder. Og Cyber ​​Essentials er grundlæggende, men med nyttige krav til adgangskontrol. Men ISO 27001 er den mest omfattende til at håndtere den nordkoreanske trussel, argumenterer han. Cheek nævner følgende som nyttigt og relevant her: Bilag A 6.1 (Screening), som kræver baggrundstjek, der står i forhold til rollens risikoniveau, og løbende screening. Bilag A 5.16 (Identitetsstyring), som kræver unik brugeridentifikation og forbyder delte konti. Bilag A 6.5 og 6.6, som kræver, at fortrolighedsforpligtelser overlever opsigelse, og at adgangen tilbagekaldes øjeblikkeligt, hvilket mindsker afpresningsrisici. Bilag A 6.7 (Fjernarbejde), som dækker risikoen for, at ikke-administrerede enheder fysisk verificerer fjernarbejdere. "Den virkelige værdi af ISO 27001 er dog kulturel," konkluderer han. "Forskere har i over et år sagt, at insiderrisiko skal være et fælles ansvar på tværs af sikkerhed, HR, jura, revision og finans." ISO 27001 giver dig strukturen til at få det til at ske.” Udvid din viden Blog: Når helpdesken er truslen Podcast: Phishing for problemer S02 E02: Fra bestyrelseslokale til pauserum - Opbygning af en compliance-kultur Vejledning: Statusrapport for informationssikkerhed 2025
Læs mere
ISO 27001

Forvaltningskløften: Hvorfor EU's AI-lov er det øjeblik, hvor bestyrelser ikke længere kan behandle compliance som en andens problem

EU's AI-lovgivning er allerede trådt i kraft, der er allerede indført sanktioner, og de fleste virksomheder kan ikke selv klassificere deres AI-systemer. Forvaltningskløften er ikke længere teoretisk; det er en forpligtelse, der sidder på balancen. I de seneste tre år har bestyrelser entusiastisk implementeret kunstig intelligens på tværs af ansættelser, kreditbeslutninger, kundeservice, drift og strategi. De fleste har gjort det uden at opbygge den styringsarkitektur, der skal til for at håndtere det. Nu er de regulatoriske rammer kommet, og de er kommet med tænder. Dele af EU's AI-lov er allerede trådt i kraft. Forbud mod uacceptable AI-praksisser trådte i kraft i februar 2025. Sanktioner for udbydere af generelle AI-modeller blev aktiveret i august 2025. Fuld håndhævelse af regler mod højrisiko-AI-systemer vil nu træde i kraft i etaper i august og december 2027. Vinduet mellem nu og da er ikke plads til at ånde. Det er hele landingsbanen. Og alligevel er beredskabskløften slående. En undersøgelse af 106 virksomheders AI-systemer viste, at 40 % ikke klart kunne identificere deres egen risikoklassificering i henhold til loven. Det mest grundlæggende trin i compliance-processen forbliver ufuldstændigt for en stor del af virksomhedsimplementeringer. Et flertal af C-suite-ledere identificerer nu manglende overholdelse af lovgivningen som deres primære AI-bekymring. Den efterslæbende faktor er den operationelle respons. Dette er kernen i problemet. Investeringen i AI er reel. Konkurrencepresset for at indsætte er reelt. Den regulatoriske forpligtelse er nu reel. Det, der ikke har holdt trit, er regeringsførelse. Kløften ingen taler om De fleste samtaler om virksomheds-AI fokuserer stadig på kapacitet og investering. Samtalen om forvaltning har haltet, og konsekvenserne er allerede mærket. Data fra IO State of Information Security Report viser, at 79 % af organisationerne har implementeret AI eller maskinlæring i de seneste 12 måneder, og yderligere 19 % planlægger at gøre det. Det gør implementeringen af ​​AI næsten universel. Det, der gør den efterfølgende styringskløft endnu mere akut, er dette: 37 % af organisationer rapporterer, at medarbejdere bruger generativ kunstig intelligens uden tilladelse. Yderligere forskning fra IBM viser, at hændelser relateret til skygge-AI tegnede sig for 20 % af brud i løbet af det seneste år, og 11 % af de organisationer, der havde været involveret i brud, var usikre på, om de havde oplevet en hændelse relateret til skygge-AI. Implikationen for overholdelse af AI-loven er direkte: Hvor medarbejdere implementerer AI uden organisatorisk viden, kan organisationen drive AI-systemer med høj risiko, som den ikke kan klassificere, overvåge og dokumentere styring over. I henhold til loven er det et distributøransvar. Du kan ikke styre det, du ikke kan se. Og de fleste organisationer kan endnu ikke se al deres kunstige intelligens. Dette problem ligger ikke i én del af virksomheden. EU's AI-lov skaber samtidige forpligtelser på tværs af informationssikkerhed, databeskyttelse og AI-forvaltning. Ethvert AI-system, der behandler personoplysninger, er omfattet af både loven og GDPR. Ethvert system, der er integreret i ansættelses-, kredit- eller kundebeslutninger, medfører forpligtelser for distributøren, uanset om det er bygget internt eller indkøbt fra en leverandør. Leverandørkontrakter skal nu tildele ansvar for overholdelse af regler for AI. Forsyningskæden for AI-styring er organisationens ansvar. De fleste organisationer har disse funktioner i separate rum med separate samtaler. Den fragmentering er netop den strukturelle sårbarhed, som loven vil afdække. Forordningen rækker længere, end de fleste bestyrelser i øjeblikket forstår. Straffestrukturen er betydelig: bøder på op til 35 millioner euro eller 7 % af den globale årlige omsætning for de mest alvorlige overtrædelser, et loft, der endda overstiger GDPR. Det personlige ansvar for den ledende ledelse er fastsat i loven. Og dens rækkevidde er ekstraterritorial. Enhver organisation, hvis AI-systemer påvirker brugere eller markeder i EU, er omfattet, uanset dens hovedkvarter. London, New York, Singapore: Hvis din kunstige intelligens berører EU, har du forpligtelsen. For britiske virksomheder, der opererer under antagelsen om, at lovgivningsmæssig afstand efter Brexit giver nogen beskyttelse her, gør den ikke. Forpligtelsen følger systemet, ikke flaget. Tidslinjen er en sekvens, ikke en enkelt fremtidig dato. Forbuddene er allerede i kraft. De generelle AI-straffe er allerede aktive. December 2027 er ikke en fjern deadline. Opbygning af en integreret forvaltningsinfrastruktur på tværs af funktioner, der i øjeblikket opererer uafhængigt, i forskellige cyklusser og med forskellige værktøjer, tager mere tid, end de fleste organisationer, der kører reaktive compliance-programmer, har tilbage. Hvorfor afkrydsningsboksmodellen bryder sammen. Den traditionelle compliance-respons; udarbejdelse af et risikovurderingsdokument, tildeling af en politikejer og planlægning af en årlig gennemgang fungerer ikke. Lovens krav er tekniske og operationelle. AI-systemer skal løbende overvåges, logges og testes i forhold til den aktuelle ydeevne. Modellerne glider afsted. Træningsdata bliver forældede. Implementeringskontekster ændrer sig. En styringsmodel, der er designet omkring periodiske evalueringer, kan ikke følge med. IO-dataene gør omfanget af dette tydeligt. 54 % af respondenterne siger, at de indførte AI-teknologi for hurtigt og nu står over for udfordringer med at nedskalere den eller implementere den mere ansvarligt. Kun 21 % nævner etablering af ansvarlige politikker for brug af AI som en prioritet for det kommende år. Kontrasten er slående, næsten universel implementering, minimal prioritet for forvaltning. Mere fundamentalt ejer ingen enkelt funktion den fulde compliance-flade, som loven undersøger. Et juridisk team, der kun adresserer privatlivstruslen, udsætter sikkerheds- og AI-risici. En CISO, der kun beskæftiger sig med sikkerhed, lader klassificering og datastyring være afdækket. Et produktteam, der kun adresserer AI-risici, har intet indblik i privatlivets fred eller sikkerhedssituationen i de systemer, det ejer. Isolerede reaktioner på tværfunktionelle regler resulterer ikke i delvis overholdelse. De skaber illusionen om overholdelse af regler, og den illusion er præcis, hvad tilsynsmyndighederne forsøger at teste. Modstandsdygtighedsløkken Den indsigt, der adskiller organisationer, der opbygger ægte modstandsdygtighed, fra dem, der håndterer isolerede forpligtelser, er denne: AI-styring kan ikke behandles isoleret fra informationssikkerhed og databeskyttelse, fordi disse risici i praksis er uadskillelige. Modstandsdygtighedsløkken, den kontinuerlige, samlede styring af informationssikkerhed, databeskyttelse og AI-styring som et enkelt integreret system, er det arkitektoniske svar på denne virkelighed. En løsning, der genererer et klart overblik over risici og afbødninger, tilpasser sig nye lovgivningsmæssige krav og leverer den slags påviselige, kontrollerbare robusthed, som regulatorer, investorer og virksomhedskunder i stigende grad efterspørger. De tre domæner, som EU's AI-lov aktiverer samtidigt, er netop de tre domæner, som resiliensløjfen forener. En organisation, der allerede opererer på denne måde, behøver ikke at eftermontere overholdelse af AI-loven i eksisterende programmer. Infrastrukturen er allerede på plads og regulerer hele den tværfunktionelle overflade, som forordningen undersøger. Organisationer, der endnu ikke har foretaget dette skift, står ikke over for et dokumentationshul. De står over for et arkitektonisk problem. De konkurrenceregulerede sektorer; finansielle tjenester, sundhedspleje og kritisk infrastruktur, accelererer kravene til AI-styring for leverandører og partnere. Virksomhedsindkøb inkluderer i stigende grad vurderinger af AI-styring. Institutionelle investorer er begyndt at betragte modenhed inden for AI-overvågning som en del af deres risikovurdering. IO-dataene peger på, hvad der allerede sker. Respondenterne rapporterer, at de største stigninger i compliance-ROI kom fra forbedret forretningsbeslutningstagning, kundefastholdelse og nye salgsmuligheder, og disse gevinster er blevet betydeligt styrket år for år. Mønsteret er konsistent: Organisationer, der først bevæger sig ind i integreret styring, trækker sig væk fra dem, der stadig reaktivt håndterer compliance, ikke fordi selve styringen er en konkurrencefordel, men fordi den infrastruktur, den opbygger, muliggør hurtigere og mere sikker implementering af de kapaciteter, der er. AI-loven sætter ikke et loft over, hvad forvaltning kræver. Det er gulvet. Vinduet er kortere end de fleste bestyrelser forstår i øjeblikket. December 2027 er den hårde linje for AI-systemer med høj risiko. Opbygningen af ​​den integrerede forvaltningsinfrastruktur for at overholde denne deadline er ikke et projekt, der starter i 3. kvartal 2026. Det starter nu. De organisationer, der agerer i dette vindue, vil træde ind i håndhævelsesberedskabet fra en styrkeposition. De, der venter, vil være under pres inden for eftermontering, mod en deadline, der allerede er synlig i enhver tilsynsmyndigheds horisont. Spørgsmålet, som ethvert bestyrelsesbestyrelse bør stille, er ikke, om de skal handle. Det handler om, hvorvidt der stadig er tid. Og svaret er, for nu, ja. Udvid din viden Podcast: Phishing for Trouble S02 Ep02: AI: Tillid, etik og at få det rigtigt fra starten Blog: At lukke modstandsdygtighedskløften: Hvor regeringen siger, at UK PLC stadig fejler Webinar: ISO 42001 i aktion: Lektioner fra en af ​​verdens første ISO 42001-certificeringer
Læs mere
ISO 27001

Hvorfor cybermodstandsdygtighed stadig er langt væk for mange britiske virksomheder

Cyberrobusthed er blevet et af de vigtigste fokusområder for cyberindustrien i de seneste år. Selv regeringen har nævnt det i et kritisk lovforslag, der er under udarbejdelse. Men det viser sig at være noget vanskeligt for Storbritanniens seks millioner virksomheder at opnå det. Hvis man skal gå ud fra den seneste Whitehall-forskning, er der fortsat betydelig afstand mellem branchens ambitioner for modstandsdygtighed og hvad organisationer rent faktisk opnår. Årets undersøgelse af cybersikkerhedsbrud er ude. Og det er endnu et bevis på, at landets virksomheder halter bagefter, når det kommer til deres cyberrobusthed. Kun halvdelen (57%) af mellemstore virksomheder og tre fjerdedele (74%) af store virksomheder har overhovedet en sikkerhedsstrategi på plads – stort set uændret fra sidste år. Der er stadig meget arbejde at gøre. Rejsen til modstandsdygtighed Modstandsdygtighed handler om at omformulere cybersikkerhed på baggrund af et ustabilt trusselslandskab, voksende regulatorisk kontrol og umættelig efterspørgsel efter digitale investeringer i bestyrelseslokaler. I en verden, hvor cyberkriminalitetsøkonomien er billioner værd, National Cyber ​​Security Center (NCSC) håndterer fire "nationalt betydningsfulde" angreb om ugen, og milliarder af kompromitterede legitimationsoplysninger cirkulerer, må sikkerhedsteams acceptere, at ingen organisation er 100 % sikker mod brud. I denne sammenhæng skifter fokus fra forebyggelse til at være i stand til at forberede sig, reagere, komme sig og lære af eventuelle angreb, der sniger sig igennem. Dette er vigtigere end nogensinde før, da angrebsflader udvides med en eksplosion af IoT-enheder, AI-agenter, chatbots og LLM'er – hvoraf mange bruges uden IT-afdelingens viden. IO (tidligere ISMS.online) State of Information Security Report 2025 afslører, at en tredjedel (34%) af respondenterne er bekymrede over skygge-AI i det kommende år, hvilket er et af de mest populære svar. Hvad regeringen fandt ud af Ægte modstandsdygtighed kræver lagdelt forsvar. Desværre afslører regeringens seneste rapport om brud på sikkerhedsbrud, at mange organisationer ikke implementerer det grundlæggende. Her er nogle af de vigtigste resultater: Personaleuddannelse og bevidstgørelse: Selvom andelen af ​​respondenter, der deltog i disse aktiviteter, steg for de største virksomheder (fra 76 % sidste år til 84 % i år), forblev den samlet set på skuffende 19 %. Risikovurderinger: En meget lille årlig stigning i antallet af respondenter, der udfører risikovurderinger for cybersikkerhed, blandt mellemstore (57 % til 62 %) og store (70 % til 72 %) virksomheder. Det samlede tal forblev dog stort set uændret på 30 %. Risikostyring i forsyningskæden: Mindre end en tredjedel (30%) mellemstore virksomheder og halvdelen (48%) af store virksomheder gennemgår de cyberrisici, som direkte leverandører udgør. Det er næsten uændret i forhold til henholdsvis 32 % og 45 % sidste år. For den bredere forsyningskæde var tallene endnu lavere: 13 % og 24 % versus 15 % og 25 %. Samlet set gennemgik kun 15 % af virksomhederne deres direkte leverandører og 6 % den bredere forsyningskæde – omtrent det samme som sidste år (14 % og 7 %). Forsikring: Halvdelen (47%) af virksomhederne siger, at de er forsikret mod cyberrisiko, hvilket er stigende for mellemstore virksomheder (61%). Dette er stort set på niveau med sidste år (45 % og 65 %). Det er dog mere bekymrende, at kun 10 % siger, at de har en specifik cyberforsikring på plads, og over en femtedel (22 %) ved det slet ikke. Begge statistikker var de samme som sidste år (7 % og 20 %). Bestyrelsen: Cybersikkerhed anses for at være en "høj prioritet" for den øverste ledelse hos 72 % af respondenterne. Men er det virkelig? Bestyrelsesansvaret for det steg kun en smule, fra 27 % til 31 %. Hændelsesrespons: Andelen af ​​respondenter med en formel IR-plan var stort set uændret (25 %), ligesom tallene for mellemstore (53 % til 57 %) og store (75 % til 76 %) virksomheder. Kendskab til regeringsinitiativer: Flere respondenter end sidste år siger, at de har hørt om regeringsordninger som Cyber ​​Aware (24 % til 30 %), 10-trinsvejledningen (12 % til 17 %) og Cyber ​​Essentials (12 % til 17 %). Men disse tal, og dem for den nyere kodeks for softwaresikkerhed (22 %) og kodeks for cyberforvaltning (16 %), er stadig alt for lave. Derudover er andelen af ​​respondenter, der har Cyber ​​Essentials, kun steget en smule, fra 3 % til 5 % samlet set og fra 21 % til 35 % for store virksomheder. AI: Omkring en femtedel (21%) af respondenterne siger, at de har implementeret nogle AI-værktøjer i organisationen. Alligevel hævder næsten halvdelen (45%), at AI ikke er relevant for deres organisation. Merlin Gillespie, CTO hos Cybanetix, fortæller IO, at rapporten endnu engang illustrerer to realiteter: Større virksomheder er generelt kompetente, mens deres mindre konkurrenter er udsatte. "Standardrecepten er velindøvet." "Antag en "antage-break"-holdning, skriv en afprøvet hændelsesresponsplan med klare eskaleringsstier, implementer en række sikkerhedskontroller, MDR, identitetsstyring, autentificeringshærdning, og begynd formelt at gennemgå din forsyningskæde," forklarer han. "Alle disse er det rette svar for virksomheder med en formaliseret sikkerhedsfunktion og ressourcer, der er i stand til at udføre opgaverne." Problemet er, at denne forskrift forudsætter en kapacitet, som de fleste britiske virksomheder ikke har.” Richard Groome, OT-cybersikkerhedsspecialist hos e2e-assure, er bekymret over den dårlige kapacitet til at reagere på hændelser. "De fleste virksomheder kan eskalere internt, men kun en tredjedel har klare eksterne rapporteringsprocesser." Det er ikke modstandsdygtighed, det er reaktion,” fortæller han IO. "Virksomheder er nødt til at bevæge sig ud over afkrydsningsfelter i sikkerhed og i stedet fokusere på observerbarhed og operationel robusthed." Dette kræver kontinuerlig overvågning, hurtigere detektion og hændelsesrespons, der faktisk er blevet testet, ikke blot dokumenteret. Med krav om 24-timers rapportering kan du ikke reagere på en hændelse, du ikke har opdaget. "Synlighed og hastighed er afgørende." Dan Lattimer, EMEA VP hos Semperis, tilføjer, at identitet skal være en del af enhver plan for håndtering af hændelser. "Det er afgørende at investere i identitetsovervågning og -gendannelse sammen med forebyggelse for at reducere nedetid, gentagne hændelser og langvarig forretningsskade," siger han. "Hændelsesrespons uden identitetsgendannelse er en ufuldstændig respons." Formalisering af bedste praksis Trods lav bevidsthed om og anvendelse af standarder og rammer for bedste praksis kan disse være en nyttig allieret i bestræbelserne på at forbedre cyberrobustheden, ifølge andre eksperter, som IO har talt med. Graeme Stewart, chef for den offentlige sektor i UK&I hos Check Point, beskriver rapportens resultater som et "wake-up call" for organisationer i alle størrelser. "Den magiske trekant af mennesker, processer og teknologi kræver alle opmærksomhed." Personalet skal være informeret og opmærksomt. Processerne skal være robuste og dække både forebyggelse og respons efter hændelser, og teknologien skal opdateres korrekt, anvendes korrekt og holdes opdateret,” fortæller han IO. "Rammer som Cyber ​​Essentials, ISO 27001 og NIST-vejledning giver vigtige sikkerheder, især for mindre organisationer, hvis ledelse ikke er cybereksperter." "Disse rammer giver virksomheder en struktureret vej fremad, og det er virkelig positive fremskridt," er Huntress vCISO Muhammad Yahya Patel enig. "Rammer som Cyber ​​Essentials og ISO-standarder er værdifulde, fordi de giver en ensartet og styret tilgang til styring af kontroller, risici og politikker," fortæller han IO. "Cyber ​​Essentials fokuserer især stærkt på grundlæggende hygiejnekontroller, og virkeligheden er, at mange af de angreb, vi ser i dag, lykkes netop fordi disse grundlæggende kontroller ikke er på plads." I vores rapport om sidste års undersøgelse bemærkede vi også, hvordan modstandsdygtighedsindsatsen var gået i stå på tværs af britiske PLC'er. Forhåbentlig siger vi ikke det samme igen næste år. Guide til udvid din viden: Rapport om status for informationssikkerhed 2025 Blog: Lukning af modstandsdygtighedskløften: Hvor regeringen siger, at UK PLC stadig fejler Blog: Overholdelse af dataanvendelses- og adgangsloven med tillid: Hvorfor ISO 27001-, 27701- og 42001-løkken leverer
Læs mere
ISO 27001

Når helpdesken er truslen

Gamle social engineering-angribere dør aldrig; de udvikler sig bare og bliver bedre. Her er en historie om en angrebsgruppe, der er dristig nok til at blive ved med at kompromittere infrastrukturen, og råd om, hvad man kan gøre ved det. I slutningen af ​​maj 2024 så Microsoft en økonomisk motiveret cyberkriminel gruppe, som de sporer som Storm-1811, gøre noget, som traditionelle perimeterkontroller ikke var bygget til at se – de loggede på Teams, sagde hej og bad om hjælp. Cloud- og softwaregigantens trusselsefterretningsteam havde allerede dokumenteret, at de samme operatører misbrugte fjernsupportværktøjet Quick Assist siden midten af ​​april samme år, men skiftet til Teams gav dem en ny front. Storm-1811, skrev Microsofts analytikere, "er en økonomisk motiveret cyberkriminel gruppe, der er kendt for at implementere BlackBasta ransomware", og de brugere, de registrerede til operationen, havde displaynavne så generiske, at de gik ubemærket hen: 'Help Desk', 'Help Desk IT', 'Help Desk Support', 'IT Support'. Siden da har mønsteret fortsat. Den 4. november sidste år loggede en ekstern bruger ind i et kundemiljø under visningsnavnet "IT Support" med kontoen mostafa.s@dhic.edu.eg. Inden for otteogtyve minutter havde de åbnet en Quick Assist-skærmdelingssession mod et mål, der troede, at han talte med kolleger. Fem måneder senere, i marts i år, offentliggjorde BlueVoyant de retsmedicinske analyser af en relateret kampagne, der udgiver en tidligere udokumenteret nyttelast kaldet A0Backdoor, og bedømte den som "en udvikling af taktikker, teknikker og procedurer forbundet med BlackBasta ransomware-banden, som er opløst efter at de interne chatlogs fra operationen blev lækket". Besætningen har ændret sig; det har spillereglen ikke. Dette er et vedvarende problem. Teams har en fireårig historie med at lade imitatorer bøje tillidsmodellen indefra. I en afsløring, der løb fra marts 2024 til den endelige patch, der landede i slutningen af ​​oktober 2025, dokumenterede Check Point Research, at angribere i al hemmelighed kunne overskrive chats ved at genbruge et clientmessageid, forfalske afsendere af notifikationer, ændre visningsnavne i private chats og forfalske opkalder-identiteter i lyd- og videoopkald. Legitime værktøjer i kriminelle hænder. Grunden til, at dette fungerer i stor skala, er arkitektonisk, ikke adfærdsmæssig. Næsten alle komponenter er godkendt. Quick Assist leveres som standard på Windows 11 og aktiveres af en sekscifret kode; MSI-installationsprogrammerne er digitalt signeret og hostes i personlig Microsoft-cloudlagring; den skadelige hostfxr.dll sideloader sig selv i en legitim proces og dekrypterer først A0Backdoor, når den er placeret i hukommelsen, hvor de fleste endpoint-inspektioner allerede har afsluttet sit arbejde. Selv kommando- og kontrolfunktioner gemmer sig i det åbne: i stedet for de TXT-registrerede DNS-tunneler, som modne sikkerhedsoperationscentre har lært at markere, koder A0Backdoor sine instruktioner i DNS MX-forespørgsler. Tid til fælles styring. Så hvordan ser styring ud, når angribere udnytter dine egne arbejdsgange som våben mod dig ved hjælp af funktioner, der er aktiveret som standard? Nærmere undersøgelse af disse funktioner er udgangspunktet, sammen med deaktivering af funktioner, der muligvis er indstillet som standard. Sikkerhedsteams kan afvise B2B-chatinvitationer ved at ændre standardindstillingen i Set-CsTeamsMessagingPolicy. De kunne basere Quick Assist til en kendt supportworkflow, mens de behandlede Teams ChatCreated-hændelser som et førsteklasses signal sammen med slutpunkts- og identitetstelemetri. Men det er ikke beslutninger, der skal træffes uafhængigt. Disse angreb virker netop fordi ingen enkelt ejer ser nok til at handle. Identitetsteamet har intet signal i en ChatCreated-hændelse, som det ikke forbruger, mens SOC'en ikke har nogen regel for en MX-forespørgsel, som det aldrig har undersøgt. En samlet styringstilgang involverer et samlet overblik over de virksomhedsarbejdsgange, der bruger dem. Et integreret styringssystem (IMS) er det organiserende princip for en end-to-end styringsworkflow. I henhold til ISO 27001 kan sikkerheds- og styringsteams f.eks. gennemgå eksterne chatpolitikker i henhold til adgangsreglerne A.5.15. Organisationer kan sætte fokus på DNS ​​MX-kanalen ved at beslutte at overvåge MX i stedet for kun TXT under A.8.16 (overvågningsaktiviteter). Den slags fælles tænkning kan føre til, at ChatCreated og MX-telemetri vises på den samme analytikers skærm. På samme måde hører Quick Assist-skærmdelingen under desktop engineering under A.8.2 (privilegerede adgangsrettigheder, inklusive fjernskrivebordsværktøjer). MFA-prompten, den omgår, falder ind under A.5.15 (IAM), mens MSI-installationerne kan overvåges systematisk under A.8.19 (softwareinstallation). En samlet forståelse af disse risici baner også vejen for bedre håndtering af hændelser. Hvis du har integreret denne type risiko i din kontrolramme, er det nemmere at behandle et kompromis via samarbejdssoftware som et anerkendt scenarie og udarbejde en handlingsplan for dette under afsnit A.5.24 (planlægning og forberedelse af hændelseshåndtering). ISO 27001 er det logiske hjem for den slags arbejde, fordi det tvinger identitet, adgang og hændelsesrespons til at være placeret i ét kontinuerligt revideret system i stedet for tre sæt af uafhængige kontrolejere. Det er præcis det hul, som Storm-1811 og dens efterfølgere bliver ved med at gå igennem. Udvid din viden Podcast: Phishing for problemer Episode #8: Sikrere software, sikrere virksomheder Blog: Hvordan kan sikkerhedsteams forberede sig på en post-mytetisk fremtid? Blog: Hvordan Agentic AI skaber en ny risikoklasse for cybersikkerhedsteams
Læs mere
ISO 27001

AI i sundhedsvæsenet udvikler sig hurtigt, men datastyring kæmper for at følge med

Hvordan kan sundhedsorganisationer løse huller i tillid og datastyring for at realisere de fulde fordele ved AI?  Af Kate O'Flaherty Sundhedssektoren innoverer ved hjælp af AI, med et enormt potentiale for teknologien på tværs af områder, herunder diagnostik, triage og administration. I Storbritannien omfavner NHS allerede AI ud over basale opgaver. NHS England har startet pilotprojekter for screening af lungekræft med kunstig intelligens, hvor teknologien kan identificere mindre problemer, end det menneskelige øje kan se. I mellemtiden har den amerikanske fødevare- og lægemiddelstyrelse (FDA) godkendt over 1,000 enheder, der inkorporerer AI, hvoraf størstedelen anvendes i radiologi. I løbet af de seneste to år er ledere inden for sundhedsvæsenet gået fra at sætte spørgsmålstegn ved, om AI er relevant, til at fokusere på, hvordan det kan bruges ansvarligt og i stor skala, ifølge en nylig McKinsey-rapport. Tallene viser, at halvdelen af ​​amerikanske sundhedsorganisationer allerede har implementeret generativ kunstig intelligens, mens mere end 80 % havde implementeret deres første use cases hos slutbrugere. Ifølge McKinsey er den næste fase at se organisationer gå fra at bruge generativ kunstig intelligens til at skabe indhold og understøtte individuelle opgaver hen imod agentisk kunstig intelligens til at handle og koordinere mere komplekse processer. Alligevel forsinker betydelige barrierer innovation inden for AI inden for sundhedsvæsenet, herunder sikkerhedsrisici og compliance-problemer på grund af de enorme mængder følsomme data, der er nødvendige for at træne systemer. Hvordan kan sundhedsorganisationer løse huller i tillid og datastyring for at realisere de fulde fordele ved AI? Meget følsomme data Sundhedsdata er blandt de mest følsomme og mangesidede data i enhver sektor og kombinerer patientjournaler, personlige identitetsdata og økonomiske oplysninger fra flere udbydere og systemer. "En patients oplysninger kan findes på tværs af hospitaler, praktiserende læger, specialister, laboratorier, apoteker, forsikringsselskaber og teknologiplatforme – ofte i ukompatible formater uden en samlet journal, der binder dem sammen," forklarer Craig Gravina, CTO hos Semarchy. Resultatet er, at intet enkelt system indeholder et fuldstændigt billede af en patient. "At opbygge det billede – den longitudinelle patientjournal – er det, der kræves for at få AI til at fungere sikkert og effektivt i et klinisk miljø," fortæller Gravina til IO. "Uden den arbejder AI ud fra et ufuldstændigt og upålideligt billede." Inden for sundhedsvæsenet går dette ud over at være et dataproblem, det bliver et spørgsmål om patientsikkerhed.” Efterhånden som kunstig intelligens bliver integreret i kliniske arbejdsgange, står organisationer over for et stigende pres for at besvare grundlæggende spørgsmål: Hvor stammer disse data fra, er de blevet valideret, hvem har adgang til dem, og kan kunstig intelligens-assisterede beslutninger revideres? "Når systemer begynder at påvirke kliniske beslutninger i stor skala, afslører svage datagrundlag alvorlige huller i tillid og ansvarlighed," siger Gravina. Introduktionen af ​​AI-teknologi skaber problemer på tre områder: Ansvarlighed, forklarlighed og samtykke, siger Mike Macauley, administrerende direktør hos Liferay. "Ingen ved, hvem de skal bebrejde, når AI giver medicinsk rådgivning. Hvis et system fremsætter en anbefaling, kan loven ikke sige, hvem der er ansvarlig for resultatet.” Mange AI-modeller er i realiteten “sorte bokse”, der ikke forklarer, hvordan de når frem til en konklusion, ifølge Macauley. Det skaber et juridisk problem i henhold til Storbritanniens generelle forordning om databeskyttelse (GDPR), fordi patienter har ret til at vide, hvorfor en computer traf en specifik beslutning om deres helbred, siger Macauley. I mellemtiden træner virksomheder deres AI ved hjælp af data, de har indsamlet til ét bestemt formål, men det bruges ofte også af andre årsager. "Det betyder, at de ikke kan bevise, at de har den juridiske ret til at bruge de originale data, der lærte systemet," fortæller Macauley til IO. Det skjulte problem I takt med at kunstig intelligens introduceres i sundhedsvæsenet, er en ofte overset risiko, hvad der sker, når data passerer gennem en kompleks kæde af tredjeparter såsom ældre platforme og eksterne partnere. "Ansvaret udvandes ved hver overdragelse," ifølge Semarchys Gravina. "Det er ikke altid klart, hvem der ejer dataene i hvert trin, hvem der er ansvarlig for deres kvalitet, eller hvem der er ansvarlig, når noget går galt." Når ingen enkelt part har et komplet, end-to-end-overblik over datalivscyklussen, bryder styringen sammen.” For at øge kompleksiteten blev traditionelle rammer for sundhedsstyring designet til statiske systemer med relativt stabile datastrømme og faste regler. For eksempel fungerer Cyber ​​Essentials og NHS Information Governance kun for rigide systemer. "AI bryder disse regler, fordi den konstant udvikler sig," siger Macauley fra Liferay. Samtidig ser en standard konsekvensanalyse af databeskyttelse, som beskrevet i GDPR, kun på et system én gang. Men en AI, der lærer undervejs, kan ændre sin adfærd uden at nogen tjekker, om den stadig er sikker eller lovlig, ifølge Macauley. Innovationsflaskehalse Manglende tillid til forvaltningen underminerer fremskridtene inden for kunstig intelligens inden for sundhedsvæsenet ved at øge risikoen for innovationsflaskehalse. Når organisationer mangler tillid til deres datagrundlag, går implementeringen af ​​AI i stå. "Ledere vil tøve med at implementere AI i kliniske miljøer, hvis de ikke kan garantere datakvalitet og -afstamning eller demonstrere reviderbarhed over for regulatorer," siger Gravina fra Semarchy. "Ironien er, at den forvaltningsinfrastruktur, der er nødvendig for at skalere AI sikkert, er den samme, der leverer det longitudinelle patientdatabillede, der gør AI mere effektiv i første omgang." God forvaltning er drivkraften bag effektiv AI i sundhedsvæsenet, forklarer han. "Det er afgørende, at eksponering af data for AI ikke behøver at betyde, at den styringsværdi, der er bygget op omkring det, mistes – afstamning, adgangskontrol og datakvalitet bør følge med dataene og ikke efterlades, når de indgår i en AI-pipeline." Internationale standarder To internationale standarder danner rammen for håndtering af AI. ISO 27001 danner grundlag for stærk informationssikkerhed og -styring og hjælper med at etablere strukturerede tilgange til risikostyring, adgangskontrol, hændelsesrespons, aktivstyring og ansvarlighed. Dette hjælper med at opbygge "en mere forsvarlig regeringsførelse", siger Gravina. ISO 42001 bygger videre på dette ved at introducere governance, der er specifikt designet til AI-systemer. Det fokuserer på tilsyn, AI-specifik risikostyring, gennemsigtighed og ansvarlig udvikling og brug af AI. Sammen gør disse standarder det muligt for sundhedsorganisationer at "gå ud over ad hoc-adoption af AI hen imod en mere struktureret styringsmodel", forklarer Gravina. Det er tydeligt, at AI tilbyder et enormt potentiale inden for sundhedsvæsenet, hvis styringsstrukturerne kan tilpasses denne innovative nye æra. Patienttillid bør være grundlaget for alt, ifølge eksperter. Dr. Lohyd Terrier, lektor i organisationsadfærd ved EHL Hospitality Business School, går ind for at behandle AI som en eksplicit service til patienten. "Det skal være sporbart, forklarligt og kunne afvises – snarere end en usynlig backoffice-funktion." Udgangspunktet skal være selve dataene. Ledere skal forstå, om deres organisation har grundlaget for at opbygge "et samlet, langsgående overblik over patientdata på tværs af alle systemer og udbydere", siger Gravina fra Semarchy. "Uden det er AI-styring bygget på sand." Han anbefaler at kortlægge, hvor AI allerede er i brug, identificere kritiske datastrømme og afhængigheder fra tredjeparter, afklare ejerskab og forvaltning og styrke adgangskontroller, revisionsspor og datakvalitet fra start til slut. "Forvaltning af privatliv, sikkerhed og AI skal samles i én sammenhængende tilgang i stedet for at blive forvaltet isoleret." Udvid din viden Blog: DXS International Breach: Lessons Learned for Healthcare Blog: Statusrapport for informationssikkerhed: 11 nøglestatistikker og tendenser for sundhedssektoren Webinar: ISO 42001 i aktion: Lessons from One of the World's First ISO 42001 Certifications
Læs mere
ISO 27001

Hvorfor Storbritanniens NIS-opdatering kan betyde ekstra arbejde for organisationer inden for rammerne af ordningen

Lovforslaget om cybersikkerhed og modstandsdygtighed (CSRB) fortsætter sin behandling i parlamentet. Men afslutningen på en langvarig lovgivningsproces nærmer sig langsomt. Når lovforslaget endelig bliver lov, vil det medføre en længe ventet opdatering af NIS-forordningerne fra 2018. Men hvad med britiske organisationer, der allerede overholder EU's revision af de samme regler, kendt som NIS2? Selvom der er nogle forsøg på at bringe de to i overensstemmelse, er der også mange punkter, hvor de adskiller sig. Fra antallet af sektorer, der er omfattet af omfanget, til størrelsen af ​​potentielle bøder, skal compliance-teams nu begynde at forstå virkningen af ​​disse ændringer. Og planlæg for en potentielt stor mængde ekstra arbejde. Hvordan CSRB adskiller sig fra NIS2 For at forstå, hvor meget CSRB afviger fra NIS2, kan du se på resuméet af lovforslaget på regeringens hjemmeside. Den nævner slet ikke dens europæiske modstykke. Ordet "justering" optræder heller ikke. I praksis er der flere områder, som compliance-teams skal se på: Regulerede enheder: omfang. Storbritannien fokuserer på operatører af essentielle tjenester (OES), relevante digitale tjenesteudbydere (RDSP'er) – som er cloud-, søge- og markedspladsudbydere – og en ny kategori af relevante administrerede tjenesteudbydere (RMSP'er). Dens tilgang er at udpege specifikke OES'er, hvorimod NIS2 automatisk trækker alle mellemstore og store enheder i 18 sektorer ind. Resultatet er, at nogle organisationer, der er omfattet af CSRB, vil undgå NIS2-regulering og omvendt. Regulerede enheder: nye kategorier CSRB introducerer kun én ny OES-kategori af "datacentertjenester", hvorimod NIS2 omfatter flere: offentlig forvaltning, rumfart, spildevand, fødevarer, fremstilling, posttjenester, affaldshåndtering og digitale udbydere. Det gør det mere sandsynligt, at britiske organisationer, der ikke er reguleret af CSRB, vil falde ind under NIS2. MSP'er: RMSP'er introduceres som en ny kategori i CSRB, og de betragtes som essentielle enheder eller vigtige enheder af NIS2. Men der kan være forskellige overholdelseskrav for hvert regime. Tilsyn med forsyningskæden: I Storbritannien kan "kritiske leverandører" til OES'er, RDSP'er og RMSP'er udpeges af kompetente myndigheder og Information Commissioner's Office (ICO) og er underlagt direkte tilsyn. I NIS2 er der ingen direkte regulatorisk tilsyn, men alle enheder, der er omfattet af dette område, skal vurdere risici i forsyningskæden. Hændelsesdefinitioner og rapportering: CSRB's definition af en reguleret hændelse er blevet udvidet til at omfatte hændelser, der "kan have en betydelig indvirkning på leveringen af ​​en essentiel eller digital tjeneste" samt "hændelser, der væsentligt påvirker et systems fortrolighed, tilgængelighed og integritet". Betydningen vil blive vurderet branche for branche. I NIS2 er hændelser dem, der forårsager driftsforstyrrelser, økonomisk tab eller materiel/immateriel skade på andre. Det betyder, at tærsklen for rapportering kan være anderledes i Storbritannien/EU. Indberetningsfristerne – første indberetning inden for 24 timer efter at være blevet opmærksom på en hændelse, derefter fuld anmeldelse inden for 72 timer – er dog stort set de samme i Storbritannien/EU. Kundemeddelelse: Dette er påkrævet for datacenterudbydere, RDSP'er og RMSP'er i Storbritannien. Men der kan være yderligere krav i henhold til NIS2, afhængigt af medlemsstatens fortolkning af direktivet. Personligt ansvar: Dette er ikke dækket af CSRB, men NIS2 introducerer betydelig personlig ansvarlighed for den øverste ledelse. Dette omfatter obligatorisk træning for ledere og personligt ansvar for manglende overholdelse. Britiske organisationer, der overholder NIS2, skal forstå de mere detaljerede forvaltningskrav i EU-ordningen. Bøder: I CSRB er standardbøder det højeste beløb af £10 mio. eller 2 % af den globale årlige omsætning, men stiger til £17 mio./4 % for maksimale bøder. NIS2 giver medlemsstaterne råderum til at træffe afgørelser om disse, så længe de er "effektive, forholdsmæssige og afskrækkende". Registrering: I henhold til CSRB skal RMSP'er og datacenterudbydere, der er udpeget som OES'er, registrere sig. I NIS2 skal essentielle og vigtige enheder registreres hos kompetente myndigheder, men medlemsstaterne bestemmer, hvordan dette fungerer. Konklusionen er, at britiske organisationer bliver nødt til at vurdere deres forpligtelser for begge separat. Generel tilgang: CSRB indfører betydelige nye beføjelser til at indsamle oplysninger for kompetente myndigheder og ICO, uanset hvilken type reguleret organisation der er tale om. NIS2 gør det muligt for vigtige enheder at drage fordel af en lettere tilgang. Men overordnet set er CSRB designet til at være mere fleksibel end sin europæiske pendant, siger James Wong, senior associate i Tech & Digital-teamet hos det globale advokatfirma Clifford Chance. "Regeringen vil være i stand til at udstede strategiske prioriteter og målrettede retningslinjer, og tilsynsmyndighederne vil være i stand til at udpege enheder som 'kritiske leverandører', hvilket bringer dem direkte inden for ordningens anvendelsesområde," fortæller han IO (tidligere ISMS.online). "Lovforslaget indeholder også en mekanisme for praksiskodekser, der giver mulighed for nuancer, der er skræddersyet til konteksten." Compliance Burden Grows Wong argumenterer for, at kompleksiteten af ​​"lokale implementeringslove", sekundær lovgivning og det potentielle behov for at samarbejde med flere regulatorer gør compliance mere udfordrende for organisationer, der er omfattet af både NIS2 og CSRB. Rhiannon Webster, chef for cybersikkerhed i Storbritannien hos det globale advokatfirma Ashurst, tilføjer, at Brexit med dette lovforslag og loven om dataanvendelse og -adgang begynder at have en reel indvirkning på compliance-byrden for britiske virksomheder, der opererer i Europa. "Det har taget et stykke tid at komme frem, da privatlivs- og cyberlovgivningen i Storbritannien hidtil er en kopi og indsæt af deres EU-forgængere." Vi har dog nogle små, men meningsfulde ændringer under udvikling,” fortæller hun IO. "Selvom virksomheder kan forsøge at overholde begge ordninger på en ensartet måde ved at anvende den højeste standard i Storbritannien og Europa, er det usandsynligt, at dette er en kommerciel tilgang til compliance, og virksomheder bliver nødt til at overveje forskellene i ordningerne, når de implementerer compliance-programmer og vurderer risici." Introduktion Webster opfordrer organisationer til først at forstå, om de er omfattet af NIS2 og dets britiske tilsvarende. "Du vil måske blive overrasket over at høre, at i tilfælde af sikkerhedshændelser og overholdelse af tidsfrister for rapportering har vi ofte klienter, der har været usikre på, om de blev fanget af NIS2, og som forsøger at finde ud af det i tilfælde af et brud, hvilket langt fra er ideelt," forklarer hun. "Overholdelse af standarder som ISO 27001 kan bruges til at sikre, at dine informationssikkerhedskrav er forholdsmæssige." Clifford Chances Wong forklarer, at et "samlet cyberberedskabsprogram, der er kortlagt til alle relevante juridiske og regulatoriske krav", bør være hovedmålet for compliance-teams. "Brug af etablerede rammer som ISO 27001 kan strømline compliance og gøre det lettere at demonstrere kernepraksis på tværs af flere jurisdiktioner." Sådanne rammer giver en struktur at bygge videre på, men er kun en base og skal tilpasses lokale forpligtelser,” tilføjer han. "Regelmæssige gennemgange sikrer, at programmet forbliver egnet til formålet, efterhånden som kravene ændrer sig over tid." For komplekse forretningsaktiviteter, der spænder over flere jurisdiktioner, bliver bedste praksis endnu vigtigere, siger Wong. Han peger på "proaktiv ledelse", prioritering af risici og kontroller, regelmæssige bordøvelser, stærke relationer i forsyningskæden og implementering af de rette værktøjer. Uanset hvordan man ser på det, vil prisen for at operere i Storbritannien og EU stige. Webinar om udvid din viden: Mastering af NIS 2-overholdelse af ISO 27001 Blog: Fra NIS2 til Cyber ​​Resilience Act: Produktsiden af ​​styring Blog: Byg én gang, overhold overalt: Multi-Framework Compliance Playbook
Læs mere
ISO 14001

Hvordan Blue Services opnåede succes med tredobbelt ISO-certificering

Compliance er ikke længere en byrde – det er blevet en integreret del af, hvordan vi driver virksomhed.
Læs mere
ISO 27001

Hvordan kan sikkerhedsteams forberede sig på en post-mytetisk fremtid?

Cybersikkerhedsbranchen har måske lige haft sit “ChatGPT-øjeblik”. Anthropics nye Claude Mythos Preview-model, der blev afsløret i begyndelsen af ​​april, har tilsyneladende fundet tusindvis af zero-day-fejl med høj og kritisk alvorlighed i open source og proprietær software – nogle der går over 20 år tilbage. Dermed lover det at lukke det udnyttelsesvindue, hvor netværksforsvarere kæmper for at opdatere programmer før deres modstandere. Anthropics beslutning om at bruge modellen i Project Glasswing – hvor leverandører vil bruge teknologien til at finde og rette nye sårbarheder – vil forårsage endnu mere forstyrrelse. Det er svært at overvurdere den indvirkning, dette vil have på sikkerhedsteams. Men én ting har de på deres side. Historien er brudt igennem til bestyrelseslokalet. Dette kunne være en gylden mulighed for at sikre finansiering og ressourcer til en ny æra af AI-drevet sårbarhedsstyring. Hvad betyder dette for CISO'er? Selv hvis Mythos med succes holdes ude af hackernes hænder, vil andre modeller fra andre leverandører ikke blive det. Der er store konsekvenser for CISO'er: På kort sigt vil teams sandsynligvis blive oversvømmet med nødopdateringer fra leverandører, der er tilmeldt Project Glasswing. Statslige aktører kan forsøge at bruge eventuelle oplagrede zero-day exploits relativt hurtigt, før AI-drevet opdagelse gør dem værdiløse. På længere sigt kan IT-chefer forvente, at Mythos-lignende kapabiliteter kommer i hænderne på cyberkriminelle og statslige aktører. Dette vil "dramatisk øge" antallet og hyppigheden af ​​komplekse, nye angreb, ifølge en ny brancherapport. Hvor god er Mythos? Ifølge rapporten – produceret af Cloud Security Alliance (CSA), OWASP, SANS og andre – repræsenterer Mythos et "skridtskifte" inden for AI-drevet opdagelse og udnyttelse af sårbarheder. Den hævder, at modeller af denne art er forskellige, fordi de er: Mere autonome og pålidelige, og udvikler exploits autonomt uden behov for "stillads" – den eksterne kode og de rækværk, som LLM'er ofte har brug for for at fungere I stand til at identificere komplekse, kædede sårbarheder I stand til at gøre det hele med en enkelt prompt Men efter at have testet Mythos har Storbritanniens AI Security Institute (AISI) nogle vigtige forbehold. Det afslørede i en ny rapport, at Mythos Preview lykkes i 73% af tilfældene på "ekspertniveau"-capture-the-flag-opgaver. Imidlertid er cyberangreb i den virkelige verden langt mere komplekse. Derfor byggede AISI "The Last Ones" (TLO): en 32-trins simulering af virksomhedsnetværksangreb, der går fra indledende rekognoscering til fuld netværksovertagelse. Det ville tage et menneske omkring 20 timer at gennemføre. Mens Mythos var den første model til at løste TLO fra start til slut, tre ud af 10 gange. Mere inferensberegning kan opnå endnu bedre ydeevne, sagde AISI. Endnu vigtigere er det, at instituttet sagde, at dette kun beviser, at Mythos er i stand til "autonomt at angribe små, svagt forsvarede og sårbare virksomhedssystemer, hvor der er opnået adgang til et netværk." I den virkelige verden burde tingene være langt vanskeligere takket være tilstedeværelsen af ​​"aktive forsvarere og defensive værktøjer". Forberedelse til en post-mytos-æra I mellemtiden anbefalede AISI sikkerhedsteams at fokusere på det grundlæggende: "regelmæssig anvendelse af sikkerhedsopdateringer, robuste adgangskontroller, sikkerhedskonfiguration og omfattende logføring." Den pegede også på defensiv brug af frontlinje-AI til ting som: Systemhærdning via kontinuerlig scanning, afsløring af fejl og fejlkonfigurationer, kortlægning af angrebsstier og test af udnyttelsesevne Forbedring af trusselsdetektion og -undersøgelse ved triaging, spotting af mønstre i logs og skrivning af rapportresuméer Automatisering af responshandlinger som blokering af trafik, karantæneprocesser og tilbagekaldelse af brugeradgang Bridewells CTO, Martin Riley, tilføjer, at CISO'er bør starte med kontinuerlig trusselseksponeringsstyring (CTEM) som et presserende spørgsmål. "Opgørelse over aktiver, prioritering af angrebsflader, kontrolvalidering og mobilisering til afhjælpning." Hvis du ikke har kontinuerligt overblik over din eksponering, flyver du i blinde,” fortæller han IO (tidligere ISMS.online). "For det andet, stresstest din detektion mod trusler, du aldrig har set før." Invester i anomalibaseret detektion og dyb netværkstelemetri. Signaturbaserede tilgange vil ikke fange AI-genererede angrebskæder.” CISO'er skal også stålsætte deres teams til en periode med “vedvarende operationel intensitet”, advarer Riley. "CSA-dokumentet fremhævede med rette udbrændthed som en operationel risiko." "CISO'er skal planlægge kapacitet, anmode om medarbejderantal og fremskynde brugen af ​​AI-agenter i deres egne teams for at holde trit," argumenterer han. "Til sidst, styrk det grundlæggende." Segmentering, udgående filtrering, phishing-resistent MFA og dybdegående forsvar. Disse kontroller øger omkostningerne ved udnyttelse, uanset hvordan sårbarheden blev opdaget. Modenhed er ikke noget, man opbygger natten over. "Tiden til at investere er nu." Eksisterende rammer som fundament Jeff Williams, grundlægger af OWASP og CTO for Contrast Security, argumenterer for, at eksisterende standarder og rammer for bedste praksis som ISO 27001 og NIST CSF kan spille en rolle i overgangen til en post-Mythos-verden. "Eksisterende rammer kan hjælpe her, men mest som en liste over konceptuelle ønskede resultater." De kræver styring, synlighed, kontrol, detektion, reaktion og løbende forbedringer,” fortæller han IO. "Men i en post-Mythos-verden, hvor både udviklere og angribere er hyperaccelererede med AI, skal næsten alle aktiviteter, som disse frameworks indebærer, gentænkes for at drive disse resultater med AI-forbedrede arbejdsgange." Det handler ikke om at udføre det samme arbejde hurtigere, men snarere om at transformere "periodisk, manuel, afkrydsningsklar sikkerhed" til noget, der er "mere kontinuerligt, mere maskinlæsbart og mere forsvarligt", fortsætter han. "CTEM, AI-assisteret detektion, runtime-sikkerhed og kontinuerlig observation er, hvordan man forvandler disse rammeideer til en reel garanti for, at sikkerheden faktisk er korrekt og effektiv på tværs af både udvikling og drift," argumenterer Williams. Pukar Hamal, grundlægger og administrerende direktør for SecurityPal AI, ser også en rolle for ISO 27001, NIST CSF, SOC 2 og endda Cyber ​​Essentials. "De er stadig gode udgangspunkter, fordi de gennemtvinger den grundlæggende disciplin, som de fleste organisationer stadig ikke har: en opgørelse over, hvad man ejer, en fornemmelse af, hvem der kan røre ved det, og en dokumenteret måde at reagere på, når noget går i stykker," fortæller han IO. "Intet af det forsvinder i en verden efter Mythos." CISO'er bliver dog nødt til at bygge deres sikkerhedsstrategi efter Mythos op omkring løbende sikring og ikke periodisk attestering. "De klogeste sikkerhedsledere, jeg taler med, behandler allerede ISO 27001 som gulvet og bygger stille og roligt selv det andet lag," konkluderer han. Udvid din viden Podcast: Phishing for Trouble Episode #08: Guide til sikker software, sikrere virksomheder: Sikring af AI-angrebsoverfladen Blog: Hvorfor regulatorer og investorer forventer, at virksomheder håndterer en tredobbelt risiko
Læs mere
ISO 27001

Mind The Gap: Salesforce-hændelsen og den udviklende natur af cloud-risiko

Hvordan kan virksomheder styrke deres modstandsdygtighed, efter at hackerkollektivet ShinyHunters udnyttede "alt for permissive" Salesforce-gæstebrugerkonfigurationer til at få adgang til data fra op til 400 organisationer? Af Kate O'Flaherty I marts udsendte Salesforce en advarsel til kunder om, at hackerkollektivet ShinyHunters udnyttede fejlkonfigurationer på offentligt tilgængelige Experience Cloud-websteder til at få adgang til følsomme data og holde virksomheder som løsepenge. Angriberne havde tilsyneladende en modificeret version af open source-værktøjet AuraInspector, oprindeligt udviklet af Mandiant, som våben til at udføre massescanning og finde konfigurationshuller for at angribe op til 400 organisationer. Som en del af Salesforce Aura-frameworket til at identificere sikkerhedsfejlkonfigurationer på Experience Cloud-websteder, har angriberne skabt en version af værktøjet, der "er i stand til at gå ud over identifikation til rent faktisk at udtrække data", advarede Salesforce i en meddelelse. "Dette er den moderne angriberstrategi," siger Dean Garvey-North, CTO hos Microlise. "Brug legitime værktøjer, målret konfigurationssvagheder snarere end platformssårbarheder, og arbejd i internetskala." Da modstandere udnyttede kunder med "alt for permissive gæstebrugerindstillinger", var Salesforce ikke skyld i hændelsen – i hvert fald ikke fra et juridisk synspunkt. Hændelsen er et godt eksempel på, hvordan cloudkonfiguration, identitetseksponering og modeller for delt ansvar skaber nye og ofte misforståede risikoområder. Hvordan kan organisationer reducere eksponering og styrke modstandsdygtighed i cloud-drevne miljøer, hvor risikoen ofte ligger i kløften mellem platformens kapacitet og kundekonfiguration? Fejlkonfigurationer Som Salesforce-hændelsen viser, er fejlkonfigurationer, især omkring gæsteadgang og identitetstilladelser, fortsat en vedvarende kilde til dataeksponering. Fejlkonfigurationer fortsætter, fordi organisationer ofte prioriterer brugervenlighed og hurtig digital implementering frem for sikkerhed. Dette giver utilsigtet uautoriserede eksterne brugere "brede, interne datatilladelser" i stedet for strengt at håndhæve en "mindst mulig privilegium"-adgangsmodel, siger Dray Agha, senior manager for sikkerhedsoperationer hos Huntress. Brugervenlighed og sikkerhed er "i spænding per design", og konfigurationsbeslutninger truffet på implementeringstidspunktet genovervejes sjældent, siger Garvey-North fra Microlise. "Salesforce Experience Cloud-portaler bruger en dedikeret gæstebrugerprofil, der giver uautoriserede besøgende mulighed for at se offentlige sider eller indsende formularer uden at logge ind." Når den profil er forkert konfigureret med for mange tilladelser, bliver data, der ikke er beregnet til at være offentlige, direkte forespørgbare, uden at login er påkrævet.” Problemet er strukturelt, siger Garvey-North. "Platforme leveres med tilladelige standardindstillinger for at reducere friktion for nye kunder." Implementeringsteams optimerer for at få tingene til at fungere. "Sikkerhedsgennemgange sker på et givet tidspunkt." Men cloudkonfiguration er ikke statisk: "Hver ny portal, integration eller funktionsudrulning er en potentiel ny eksponeringsflade," påpeger Garvey-North. "Uden løbende konfigurationsovervågning stoler du i bund og grund på, at intet er ændret siden din sidste revision." Hvem har skylden? Salesforce er et eksempel på, hvordan funktioner designet til brugervenlighed, såsom offentlige portaler, API'er og gæsteadgang, introducerer nye og ofte undervurderede sikkerhedsrisici. Disse funktioner ændrer ofte traditionelle sikkerhedsantagelser, siger Dana Simberkoff, chef for risiko, privatliv og informationssikkerhed hos AvePoint. "Brugervenlighedsdrevet design flytter ofte risikoen stille og roligt fra platformen til kunden." Det kan derfor være udfordrende at finde ud af, hvor ansvaret ligger mellem cloududbydere og kunder – især når hændelser stammer fra konfigurationsproblemer snarere end centrale platformsårbarheder. Angriberne sagde, at en "Salesforce-begrænsning" muliggjorde hændelsen. Alligevel har Salesforce selv været tydelig: Dette er ikke en platformssårbarhed, men et problem i, hvordan kunder har konfigureret gæstebrugertilladelser, siger Garvey-North. Cloududbydere sikrer platformen, men kunderne er ansvarlige for, hvordan den er konfigureret – herunder identitet, tilladelser og dataeksponering. "Det er dér, de fleste organisationer kommer til kort," siger Stew Parkin, global CTO for Assured Data Protection. "De ender med at stole på punkt-i-tidspunkt-revisioner i miljøer, der konstant ændrer sig." Modellen med delt ansvar er "veletableret i teorien og vedvarende misforstået i praksis", tilføjer Garvey-North fra Microlise. "Cloud-udbydere sikrer infrastrukturen og platformen." Kunderne er ansvarlige for, hvad de lægger på den, hvordan de konfigurerer adgang, og hvordan de styrer den over tid. Hullet, og hvor de fleste brud nu findes, er i konfigurationslaget.” Automatisering muliggør angreb Samtidig vokser angribernes kapacitet og bruger automatisering og legitime værktøjer til at identificere og udnytte svagheder på tværs af hundredvis af organisationer samtidigt. Mandiants tekniske direktør bekræftede, at Shiny Hunters brugte AuraInspector til at automatisere sårbarhedsscanninger i stor skala på tværs af Salesforce-miljøer. "Når forsvarere tænker på cloud-risiko, har de stadig en tendens til at tænke i individuelle hændelser," siger Garvey-North. Men angribere tænker i overfladeareal. "Ethvert mønster af fejlkonfiguration, der findes på tværs af tusindvis af organisationer, er en enkelt automatiseret kampagne væk fra masseudnyttelse," siger Garvey-North. I mellemtiden øger taktikker som iscenesatte lækager og vishing-kampagner virkningen af ​​denne type hændelser. ShinyHunters satte en offentlig deadline og advarede om, at stjålne data ville blive frigivet, medmindre ofrene overholdt afpresningskrav. Gruppen kørte parallelle vishing-operationer, hvor de efterlignede IT-personale og dirigerede medarbejdere til websteder, der indsamlede legitimationsoplysninger for at indfange single sign-on-legitimationsoplysninger og multifaktor-godkendelseskoder (MFA). Kombinationen er bevidst, siger Garvey-North: "Stjæl data via forkert konfiguration, indsaml legitimationsoplysninger via social engineering, og afpress derefter ved hjælp af begge dele." Det kommer på et tidspunkt med stigende regulatoriske forventninger til databeskyttelse, adgangskontrol og ansvarlighed. Med mange områder, der nu har databeskyttelseslove, og stigningen i gruppesøgsmål, er forebyggelse af eksponering af data nu ofte den vigtigste drivende faktor i betalingen af ​​afpresningskrav. "Selvom det klart ikke anbefales, er det ofte billigere at betale for at forhindre frigivelse af dataene end at stå over for bøder og sagsomkostninger, der følger af offentliggørelsen," siger Tony Gee, ledende cybersikkerhedskonsulent hos 3B Data Security. Bro over synlighedskløften Hændelser som Salesforce-angrebene fremhæver en vedvarende udfordring: Organisationer er i stigende grad afhængige af cloudplatforme, men sikkerhedsansvaret er distribueret og ikke altid klart forstået. Virksomheder er nødt til at bevæge sig ud over at antage, at cloud-platformsikkerhed er tilstrækkelig, hen imod en mere kontinuerlig, systembaseret tilgang til konfigurationsstyring, identitetsstyring og -sikring. Traditionel sikkerhed er i høj grad afhængig af statiske, punktvise revisioner, der "fuldstændig overser de subtile, kontinuerlige konfigurationsforskydninger og API-eksponeringer, der kendetegner moderne cloudrisici," siger Huntress' Agha. Dette efterlader "et farligt hul i synligheden, hvor legitime funktioner i al hemmelighed misbruges", advarer han. Med dette i tankerne er der nogle praktiske skridt, som sikkerheds- og compliance-ledere bør tage for at forbedre synligheden og kontrollen over identitet, adgang og konfigurationsindstillinger. Ledere skal skifte til en "privat-som-standard" sikkerhedsposition ved aktivt at revidere tilladelser til eksterne gæsteprofiler, deaktivere uautoriseret offentlig API-adgang, medmindre det er strengt nødvendigt, og implementere kontinuerlig overvågning af hændelseslogfiler for at fange unormale dataforespørgsler, ifølge Agha. "Vær utrolig nysgerrig på den anvendte infrastruktur, og antag, at udbyderen ikke har implementeret standardsikkerhed," råder han. "Undersøg de sikkerhedsmuligheder, der er tilgængelige i konfigurationen af ​​tredjepartsværktøjer." En vigtig defensiv kontrol er stærk due diligence hos leverandører og løbende risikostyring fra tredjepart, siger Gee fra 3B Data Security. Han anbefaler en tilgang med mindst mulige privilegier til datadeling, hvor kun de nødvendige data deles med tredjeparten. Microlises Garvey-North råder til at stille leverandører de samme spørgsmål, som man ville stille sin egen infrastruktur: "Hvad er jeres sikre standardkonfigurationer, hvordan registrerer I unormal adgang på platformniveau, og hvordan ser jeres offentliggørelsesproces ud, når noget går galt?" Samtidig er det afgørende at have en robust reaktionsproces for at begrænse risikoen for bøder og retssager, siger Gee. "Det er blevet set som en afgørende faktor for bødeniveauet at udvise stærk cyberrobusthed." At ikke gøre noget og stole på den glitrende tredjepartsmarkedsføring er ikke et gyldigt forsvar og fører ofte til større bøder og nemme sejre i gruppesøgsmål.” Samtidig hjælper rammer som ISO 27001 ved at kræve strenge, løbende risikovurderinger og systematiske adgangskontrolpolitikker. Dette hjælper med at transformere cloudsikkerhed fra en "indstil og glem"-afkrydsningsfelt til en "kontinuerligt styret proces, der tilpasser komplekse miljøer til robuste standarder", siger Agha. Hvor ISO 27001 virkelig tilfører værdi i komplekse digitale miljøer er ved at fremtvinge organisatorisk klarhed: Hvem ejer hver kontrol, hvordan acceptabel risiko ser ud, og hvordan hændelser eskaleres og læres af, siger Garvey-North. "Denne ledelsesstruktur bliver bindevævet mellem jeres sikkerhedstekniske kapacitet og jeres risikoappetit på bestyrelsesniveau." Uden det har du værktøjer uden ansvarlighed.” Udvid din viden Blog: Mindst modstands vej: Hvorfor dybdegående forsvar er den bedste reaktion på cloudtrusler Podcast: Phishing for problemer Episode #10: De store cybersikkerhedsspørgsmål, som virksomheder står over for Webinar: Styrken ved ISO 27017 & 27018: Sikring af dit cloudmiljø
Læs mere
ISO 27001

Hvordan Evolution Funding førte til succes med ISO 27001-certificering

Lær hvordan Evolution-finansiering:

  • Opnået ISO 27001 certificering på 18 måneder
  • Tilpassede IO-platformen politik- og kontrolskabeloner at strømline compliance
  • Integrerede IO-platformen i den daglige drift for at centralisere styringen af ​​informationssikkerhed.

Evolutionsfinansiering er en FCA-reguleret motorfinansieringsmæglervirksomhed. Virksomheden leverer digitale finansieringsløsninger, der hjælper deres partnere med at opbygge motorfinansieringsrejser og transformere kundeoplevelsen ved at tegne motorfinansiering. Evolution Fundings omfang og kapaciteter går ud over en traditionel mæglers; deres innovative digitale finansieringsløsninger former motorfinansieringsbranchen.

At opnå ISO 27001-certificering var et kernemål for Evolution Funding. I takt med at virksomheden var vokset og innovativ, havde den udvidet sit tilbud yderligere ind på det teknologiske område med markedsledende finansielle softwareløsninger, leadgenereringsfunktioner inden for motorfinansiering, en proprietær Digital Finance API og mere. Disse udviklinger gjorde det afgørende at demonstrere robust informationssikkerhedsstyring.

Evolution Funding-teamet havde dog brug for en centraliseret platform, som de kunne implementere ISO 27001-standarden med og arbejde sig igennem compliance-processen. De brugte oprindeligt SharePoint, som tilbød en stærk løsning til håndtering af dokumentation, men som ikke tillod teamet nemt at indsamle bevismateriale eller forbinde det med deres politikker og kontroller for informationssikkerhedsstyringssystemet (ISMS).

"Vi brugte SharePoint til at samle alt til ISO 27001. Selvom det er godt til dokumentlagring og -styring, kræver ISO-standarden meget mere end blot dokumentlagring."

Jen Fox, GRC Informationssikkerhedschef hos Evolution Funding

For at strømline ISO 27001-certificeringsprocessen udnyttede Evolution Funding IO-platformen. Teamet migrerede deres eksisterende dokumentation fra SharePoint til IO, hvilket gjorde det muligt for dem at konsolidere deres compliance-styring, sikre, at dokumenter blev gemt i passende områder af platformen og få et live-overblik over deres fremskridt i deres dashboard.

"At flytte vores dokumentation fra forskellige områder af SharePoint til én enkelt platform gjorde certificeringsprocessen meget nemmere."

Jen Fox, GRC Informationssikkerhedschef hos Evolution Funding

Den indledende implementering var ligetil. Jen brugte platformens brugeradministrationsfunktion til at tilføje brugere til relevante projekter og tildele forskellige adgangsniveauer efter behov. Dette forenklede også processen med at give adgang til tredjeparter, såsom interne og eksterne revisorer.

"Det er en reel fordel at kunne tilføje de tredjeparter, der støtter os med vores interne og eksterne revisioner, til IO-platformen, så de kan gennemgå og revidere uden at skulle gennemgå alt med os."

Jen Fox, GRC Informationssikkerhedschef hos Evolution Funding

I forbindelse med compliance-processen brugte Jen og teamet platformens indbyggede politik- og kontrolskabeloner som vejledning. De brugte IO's 'adopter, tilpas, tilføj'-funktioner til at skræddersy skabeloner med deres eget brugerdefinerede indhold efter behov og sikrede, at de var relevante for Evolution Fundings specifikke informationssikkerhedsbehov.

"Hvor vi ikke var helt sikre på, hvad vi skulle skrive om i en politik eller kontrol, var det meget nyttigt at bruge skabelonerne til at omformulere dem og gøre dem til vores egne."

Jen Fox, GRC Informationssikkerhedschef hos Evolution Funding

"Certificeringsprocessen for ISO 27001 er blevet gjort meget nem. Jeg tror ikke, vi ville have fundet det lige så nemt at opnå certificering uden IO-platformen."

Jen Fox, GRC Informationssikkerhedschef hos Evolution Funding

Ved at bruge IO-platformen til at centralisere og strømline deres compliance opnåede Evolution Funding ISO 27001-certificering på 18 måneder. De opnåede dette på trods af, at virksomhedens oprindelige eksterne revisionsorgan oplevede ressourceudfordringer, der forsinkede processen.

Jen fortalte, at IO-platformen sparede virksomheden en betydelig mængde tid:

"Et område, hvor vi sparede en masse tid, var revisionsprocessen – vi behøvede ikke at tilbringe dage i Teams-møder med revisorer. Vi kunne fortsætte og udføre vores normale arbejde som et team, mens revisoren havde adgang til platformen."

Jen Fox, GRC Informationssikkerhedschef hos Evolution Funding

Kvartalsmøder med deres dedikerede Compliance Success Manager (CSM), Wayne, fortsætter med at tilføre reel værdi til virksomheden. Disse møder understøtter en åben kommunikationslinje, hvor Wayne ofte identificerer nye løsninger, der kan hjælpe Evolution Funding med at nå specifikke mål inden for platformen. For eksempel krævede virksomheden for nylig en regel om "undtagelser fra politikken", der giver teamet mulighed for at bruge specifikke værktøjer i en vis periode, før IO-platformen automatisk forhindrer genbrug.

Virksomheden planlægger at videreudvikle brugen af ​​IO-platformen til compliance management. Evolution Funding er en del af en større gruppe, Evolution Group, og de næste skridt omfatter tilføjelse af søsterselskaberne Creditas og Motion Finance til deres ISO 27001 ISMS.

Derudover undersøger teamet enten muligheden for at udvide ISO 27001-anvendelsesscenariet eller implementere Cyber ​​Essentials for andre virksomheder i Evolution Group, der muligvis ikke falder ind under anvendelsesområdet for deres eksisterende ISMS.

Læs mere

ISO 27001:2022 Krav

ISO 27001:2022 Bilag A Kontrolelementer

Organisatoriske kontroller

People Controls

Fysiske kontroller

Teknologisk kontrol

Om ISO 27001

Se en platformdemo

Se hvordan mere end 1,000 teams driver deres compliance-rammer på en 3-minutters platformrundvisning

Se nu
platformsdashboard fuldt ud i perfekt stand

Klar til at komme i gang?

Book en demo