.: Nyheder :: 18-01-2010

Compliance-tendenser og nye forkortelser

18. januar, 2010

Lars Neupart, stifter og direktør i Neupart A/S, har skrevet et indlæg om 2009 compliance-tendenser for informationssikkerhed i DK•CERT's Trendrapport 2009

 

2009 compliance-tendenser for informationssikkerhed

Af Lars Neupart, direktør i it-sikkerhedsvirksomheden Neupart A/S.

It-branchen vælter sig i forkortelser - og nogle af dem glemmer vi hurtigere end andre. En vi så mere til i Danmark i 2009,  og som har chancer for at blive hængende i længere tid, er GRC: Governance, Risk- , og Compliance management. It-delen af GRC omfatter :

  • Governance: It-ledelse, it-sikkerhedsledelse, tilpasning af it og it-sikkerhed med forretningsmål, ISMS, sikkerhedspolitikker, beredskabsplaner, forankring, awareness-kampagner med mere.
  • Risk Management: Hvor stor er organisationens "risikoappetit".  Hvordan afhænger forretningen af it, og hvad gør ondt på forretningen (konsekvensvurdering, "BIA"). Og hvor sandsynligt er det, at det sker? Hvordan håndterer organisationen disse risici?
  • Compliance Management: Identifikation og aktiviteter, der sikrer efterlevelse (helt eller delvist) af kravsæt eller anbefalinger, typisk i  form af lovgivning, kundekrav eller standarder for et område eller en branche.

Jeg vurderer GRC-begrebet som overlevelsesdygtigt, fordi langt de fleste, hvis ikke alle, organisationer har brug for de tre begreber hver for sig.

Betalingskortstandarden PCI DSS (Payment Card Industri - Data Security Standard) er ikke slået rigtigt igennem i Danmark. Standarden er måske blevet opfattet som en standard, der primært henvender sig til den finansielle sektor. Den er dog måske reelt vigtigere for detail-branchen, som ganske vist kontraktmæssigt kan forpligte sine it-leverandører til at efterleve betalingskortkravene, og i nogen udstrækning kan nøjes med elektoniske erklæringer om dette. Men man kan som bekendt ikke helt eliminere sit eget ansvar med en leverandøraftale.

Leverandøraftaler er også en vigtig ingrediens i forbindelse med et andet meget omtalt fænomen: Cloud computing.  Skeptikere siger, at cloud computing kan være en modsætning til compliance; i hvert fald compliance med nogle love og standarder. Sikkerheden i skyen afhænger af typen af sky, og der er masser af udfordringer. Der er også en særdeles  tiltalende økonomi i cloud computing, og derfor arbejder mange personer og organisationer aktivt på at løse sikkerhedsproblemerne og compliance-udfordringerne.  I 2009 så vi vejledninger fra blandt andet  Cloud Security Alliance og Enisa. Der er håb forude!

Beredskabsplanlægning  er en anden voksende tendens, som vi så i 2009.  En af de mest fremstormende britiske standarder er BS25999, som beskriver et "Business Continuity Management System". Det er nu muligt at få certificeret beredskabsstyring. PS: Det var briterne der opfandt forløberne til ISO2700x og dermed DS484.

Apropos DS484, så blev 2009 også året, hvor lidt flere begyndte at stille fornuftige spørgsmål til omfanget af DS484-efterlevelse. I staten har en del institutioner oplevet DS484-efterlevelse som bureaukratisk. Det er ikke underligt, for der kræves meget før man kan påberåbe sig efterlevelse. ISO2700x-familien giver mere fleksibilitet og fokuserer mere på ledelsesdelen og på processerne. I sidste ende er det dog et governance-spørgsmål, hvor stringent DS484-efterlevelse indføres i praksis. Det bliver spændende at se, om det nye år giver en beslutning om hvorvidt DS484 skal opdateres som en selvstændig dansk standard. Den ISO-standard, der var grundlaget  for DS484 er i mellemtiden blevet til en serie af standarder med foreløbigt 5 dokumenter, og der er allerede flere opdateringer på vej. Så en beslutning er nødvendig.

Lovgivningsmæssigt er det stadig de gamle travere, som persondatalov, bogføringslov  og markedsføringslov, hvor "compliance" har mest it-relevans i Danmark. Det er værd at bemærke, at i 2009 begyndte EU i højere grad at tale om "Data Breach Notification". Det betyder, at virksomheder, der sjusker med sikkerheden omkring borgeres informationer, kan blive forpligtet til at informere de personer, hvis data de har mistet. Jeg er imod regler for reglernes skyld, men dårlig informationssikkerhed bør ikke være gratis. Derfor kan lovgivning på dette område være en sund drivkraft for, at flere organisationer tænker sig ekstra godt om, og beskytter deres egne og deres kunders informationer ordentligt. Effekten vil utvivlsomt være bedre informationssikkerhed.

 

 

Om Neupart

Neupart hjælper virksomheder med at leve op til it-sikkerhedskrav på en tryg og effektiv måde. Vi leverer software og konsulentydelser til både offentlige virksomheder inden for stat, kommuner og regioner, og til private virksomheder af alle størrelser. Neupart A/S er ISO 27001-certificeret, danskejet, har egne datterselskaber i Tyskland og USA samt forhandlere i en række andre lande.

DS-ISO27001-logo-150

 

Gazelle-2009-114

 

Kontakt Neupart

Email

Nyhedsbrev Kontakt support Kontakt salg

Telefon

Danmark +45 7025 8030

Tyskland +49 2102 420926

USA +1 (800) 616-8597