Sikkerhedspolitik – Hvordan kommer du i gang? |
/Printer_Icon.gif){kind=icon} |
En sikkerhedspolitik skal ikke kun omfatte den teknologi der kræves for at beskytte virksomheden, den skal også præcisere hvilket ansvar og hvilke handlinger der omfatter den enkelte medarbejder.
Ofte kan brud på virksomheders informationssikkerhed skyldes at den enkelte medarbejder eller underleverandør utilsigtet kommer til at give adgang til fortrolige informationer. Et sådant sikkerhedsbrud kan have meget alvorlige konsekvenser for virksomheden.
Følgende er et kort overblik over det der kræves for at udvikle en sikkerhedspolitik.
Risikoanalyse - Beslut hvad der skal forebygges
For at kunne oprette et værn mod skadelige handlinger, er det vigtigt at få besluttet præcis hvad man skal beskytte sin virksomhed mod. Derfor vil SoftScan anbefale at sikkerhedspolitikken altid er baseret på en risikoanalyse. Det vil sikre, at virksomhedens mest kritiske områder er omfattet af sikkerhedspolitikken.
En risikoanalyse skal indeholde alle de mulige trusler der kan være mod virksomheden. Men en risikoanalyse er ikke en ubetydelig opgave at udføre, derfor anbefaler SoftScan at man opretter en arbejdsgruppe til formålet.
Skab en arbejdsgruppe
Fastsæt risici
|
Sandsynlighed |
Estimér sandsynligheden for at en trussel opstår. |
|
Indvirkning på virksomheden |
Estimér den indvirkning det vil have på virksomheden, hvis truslen opstår. |
|
Beslutning/prioritering |
Lad ledelsen bestemme. Den endelige prioritering af risici bør blive besluttet af ledelsen med udgangspunkt i de konsekvenser det kan have for virksomheden (fx tabt fortjeneste hvis fortrolige informationer kommer ud). |
Sikkerhedspolitik
Med udgangspunkt i risikoanalysen skal arbejdsgruppen udvælge de områder, der skal være indeholdt i sikkerhedspolitikken. De enkelte områder skal hver især have bestemte taktikker, retningslinie eller procedurer.
Sikkerhedsorganisationen SANS har udarbejdet skabeloner til fremstilling af sikkerhedspolitikker. Skabelonerne er dog opbygget efter US-standarder og kan derfor virke lidt omfattende. SoftScan anbefaler at bruge skabelonerne til inspiration, og tilpasse formen, så den matcher jeres organisation.
Eksempler på sikkerhedspolitikker: e-mailpolitik, anti-virus procedure, tredjepartsaftaler, politik for fortrolig information, guidelines for mistænkelige data og brugerkontrakt.
|
Godkendelse |
Husk at arkivere ledelsesgodkendelsen af sikkerhedspolitikkerne og konsekvenserne ved et brud på disse. |
|
Konsekvenser |
Involver alle afdelinger. Fx er personaleafdelingen oftest de bedste til at afgøre hvilke konsekvenser det skal have, hvis man ikke overholder sikkerhedsbestemmelserne. |
Træning og fastholdelse - Hvordan arbejder man sikkert
For at få en succesfuld oplevelse med anvendelsen af it-sikkerhedspolitik, er det vigtigt at give alle medarbejdere en ordentlig introduktion. Husk, at politikken har effekt på den måde de ansatte arbejder. Det er derfor vigtigt at træne og uddanne nye og gamle medarbejdere, og sikre at opmærksomheden på politikken fastholdes.
|
Forklar |
Forklar hvorfor de ansatte skal ændre deres arbejdsprocesser i forhold til sikkerhedspolitikken. |
|
Introducér |
Alle nye medarbejdere skal introduceres til sikkerhedspolitikken igennem virksomhedens introduktionsprogram. |
|
Fastholdelse |
Medarbejderne skal løbende gøres opmærksomme på sikkerhedspolitikken. Det kan man fx gøre i et samarbejde med Marketingafdelingen - det er jo dem der er kommunikationseksperterne. Brug kommunikationskanalerne i virksomheden til at få kommunikeret indholdet af sikkerhedspolitikkerne, fx det interne nyhedsbrev, intranettet, plakater, klistermærker, screen savers eller sange til julefrokosten. |
|
Test |
Test om fastholdelsen har effekt. Til det formål kan anvendes on-line undersøgelser, interviews, eller endda "Social Engineering" tjek af medarbejdernes viden. Tests er det bedste værktøj til at konstatere, om medarbejderne overholder politikkerne. |