Neupart viser andre vejen til informationssikkerhed - og følger den selv
Certificering understreger, at Informationssikkerhed handler om mere end teknologi, virus og hackerangreb.
Danske virksomheder søger i stigende grad helhed i deres it- og informationssikkerhed. Som det første IT-firma herhjemme blev Neupart A/S i november 2003 certificeret inden for Informationssikkerhed af DS Certificering A/S. Certificeringen understreger, at Informationssikkerhed handler om mere end teknologi, virus og hackerangreb.
Virksomhederne er ikke garanteret informationssikkerhed, blot fordi de har købt en firewall og et antivirusprogram. En helhedsløsning er nødvendig. Det kan blandt andet ske ved at etablere fælles regler for sikker brug af it-systemer og gennem velinformerede medarbejdere.
Den internationalt anerkendte standard DS/EN/ISO 27001:2007, beskriver kravene til sådan en helhedsløsning. Certifikatet fra DS Certificering dokumenterer, at Neupart A/S har indført et informationssikkerhedssystem i overensstemmelse med standarden.
Neupart A/S har lagt vægt på, at sikkerhedssystemet skal være praktisk og enkelt.
”Det kan sagtens lade sig gøre samtidig med at man overholder standarden. Vi har ikke oplevet noget voldsomt bureaukrati. Alt skal selvfølgelig være behørigt dokumenteret, men kun i en grad, der passer til vores forretning”, siger Lars Neupart, direktør i Neupart A/S.
Vores egen medicin virker
Neupart A/S lever af at udvikle og sælge informationssikkerhed til andre virksomheder.
”Vi er nødt til at feje foran egen dør. Nu har vi som den første IT-virksomhed papir på at vi har taget vores egen medicin. Med certificeringen kan vores kunder nemt verificere, at vi selv har styr på sikkerheden. Desuden er der værdi i at få uvildige øjne på, om det vi har lavet er godt nok . Man kan nemt stirre sig blind på sine egne systemer. Det er en fordel, at der kommer nogen udefra og siger: hvad nu hvis, og har I tænkt på…”, siger Lars Neupart.
Til gavn for forretningen
Ifølge Lars Neupart er der sund fornuft i at indføre et sikkerhedssystem som beskrevet i standarden. Standarden opstiller tre kategorier, som alle trusler mod informationssikkerhed kan regnes ind under: tab af fortrolighed, integritet og/eller tilgængelighed. Det certificerede sikkerhedssystem tilfører forretningen værdi ved at reducere risikoen på alle tre områder til et acceptabelt niveau.
”Vi er en vidensbaseret virksomhed, der har udviklet software af høj værdi. Vi er forpligtet til at beskytte vores værdier – det skylder vi både vores kunder, aktionærer, og medarbejdere. Derfor skal der være styr på sikkerheden”, siger Lars Neupart.
I processen med at følge standarden har Neupart A/S fået større sammenhæng mellem risikoanalyse og konsekvensvurdering på den ene side og den konkrete IT-sikkerhedspolitik på den anden side. Den største del af virksomhedens kundekommunikation foregår elektronisk. Derfor er konsekvenserne alvorlige, hvis e-mailsystemet ikke virker – det går ud over tilgængeligheden.
Ingen 100 procents garanti
Neupart A/S udvikler software til et sikkerhedsintranet, der skal styrke den menneskelige Firewall i virksomhederne. Det er afgørende at beskytte kildeteksten til denne software, så den ikke kommer gratis i omløb på internettet – en trussel mod fortroligheden.
”Vi har truffet både tekniske og menneskelige foranstaltninger i vores sikkerhedspolitik – fx gennemgår vi selv jævnligt de awareness-quizzer vi lever af at sælge. Dermed får vi reduceret risikoen til et acceptabelt niveau - fjerne den helt kan man ikke. Man skal aldrig stole på en udbyder, der lover 100 % sikkerhed!”, siger Lars Neupart.
Truslen kommer ikke altid udefra
IT-sikkerhedspolitik handler ikke kun om at beskytte sig mod udefrakommende fjender som hackere og virus, men også om opmærksomhed og agtpågivenhed i forhold til de daglige rutiner. Fejl og forsømmelser i egne rækker kan koste dyrt, fx når back up’en kikser, når en medarbejder utilsigtet sletter data, eller når der opstår kompatibilitetsproblemer i forbindelse med opgradering af software.
”Sikkerhedshændelser af denne type koster mere nede-tid hos os end fx virusangreb. Derfor er det en del af sikkerhedspolitikken at holde styr på, hvilke hændelser der sker – for at undgå, at de gentager sig”, siger Lars Neupart.