1
.
NIS2-baggrund og grundprincipper 🇪🇺
I denne video giver vi et overblik over NIS2-direktivet og forklarer dets baggrund, årsagerne til implementeringen og de vigtigste forbedringer i forhold til det oprindelige NIS-direktiv. Vi præsenterer også NIS2-direktivets vigtigste indhold i forhold til anvendelsesområde, påkrævede sikkerhedsforanstaltninger og hændelsesrapportering. Lær, hvordan NIS2 sigter mod at forbedre cyberrobustheden i vigtige industrier.
2
.
NIS2's anvendelsesområde og vigtigste krav 🏭
I denne video gennemgår vi det vigtigste indhold i NIS2-direktivet for en slutorganisation, f.eks. brancher i anvendelsesområdet, krævede minimumssikkerhedsforanstaltninger og krævede typer af hændelsesmeddelelser. Formålet er at forstå de vigtigste krav i direktivet, og hvordan man skal forholde sig til dem.
3
.
NIS2 og ISO 27001: Forstå forbindelsen
I denne video forklarer vi vigtigheden af og fordelene ved at afstemme NIS2-sikkerhedsforanstaltninger med ISO 27001-standarder. NIS2 giver mandat til at dække en liste af sikkerhedsemner, mens ISO 27001 giver detaljerede kontroller og bedste praksis for implementering af alle disse. Vi anbefaler stærkt, at du baserer dine NIS2-handlinger på 27001 eller andre lignende bredt accepterede sikkerhedsrammer.
4
.
Forstå Cyberday 🛡️: En overordnet introduktion
I denne video forklarer vi det grundlæggende i Cyberday, et ISMS-værktøj, der strømliner informationssikkerhedsstyringen i Microsoft Teams. Ved at bruge vores universelle cybersikkerhedssprogteknologi oversætter vi forskellige rammer til brugbare opgaver og forbedrer overholdelsen af forskellige krav. Jeg demonstrerer, hvordan man opbygger en fremtidssikret informationssikkerhedsplan, vælger rammer, sporer overholdelse og prioriterer kritiske opgaver.
5
.
Kom godt i gang på Cyberday: Hurtige evalueringer og tilgængelig support 🛟.
I denne video gennemgår vi de vigtige første skridt, når man implementerer Cyberday og kommer godt fra start. Du lærer, hvordan du evaluerer den aktuelle status for dine sikkerhedsforanstaltninger, hvordan du forstår dit nuværende overholdelsesniveau i forhold til almindelige rammer som ISO 27001, og hvordan du vælger realistiske mål for fremtiden.
6
.
Forstå rapportering i Cyberday 📊: Automatiserede compliance-rapporter, politikker, procedurer og meget mere
I denne video forklarer vi vigtigheden af rapportering i informationssikkerhedsarbejdet. Cyberday tilbyder forskellige slags rapporter, der passer til forskellige rapporteringsbehov - f.eks. rapportering til en revisor, til myndigheder, til din egen topledelse, dine kunder eller dit interne sikkerhedsteam. Du kan finde alle rapporterne i Cyberday's rapportbibliotek og oprette en hvilken som helst af dem med vores rapportoprettelse med et enkelt klik.
7
.
Risikostyring på Cyberday ⚠️: Automatiseringsassisteret, ligetil proces
I denne video diskuterer vi vigtigheden af risikostyring inden for informationssikkerhed og Cyberday. Hovedmålet er at minimere potentielle skader fra cybertrusler og samtidig holde omkostningerne i balance. Vi understreger behovet for en klar og enkel proces til at identificere, behandle og implementere foranstaltninger til cyberrisici. Seerne instrueres i at starte med det grundlæggende i informationssikkerhed, kategorisere aktiver og prioritere sikkerhedsforanstaltninger - for at have det bedste potentiale for at skabe en vellykket risikostyringsproces og for at få mest mulig hjælp fra automatiseringer.
8
.
Asset management på Cyberday : Vid, hvad du beskytter
9
.
Hændelsesstyring 🚩: Fra identifikation til løbende forbedring
10
.
Kontinuitetsstyring og sikkerhedskopier ☢️: Vær også forberedt på det værste
11
.
Sikkerhed i forsyningskæden på Cyberday 🏢: Fra lagerbeholdning til kontrakter og vurderinger
12
.
Vurdering af dine sikkerhedsforanstaltninger 📈: Introduktion til populære metoder
Denne artikel understreger vigtigheden af at vurdere effektiviteten af cybersikkerhedsforanstaltninger. Regelmæssige vurderinger hjælper organisationer med at forstå sårbarheder, forbedre sikkerheden og bevare et bredt overblik over deres sikkerhedsstilling. Forskellige vurderingsmetoder omfatter certificeringer, interne audits, sikkerhedsmålinger, ledelsesgennemgange, test af applikationssikkerhed og overvågning af medarbejdernes bevidsthed.
At vurdere effektiviteten af din cybersikkerhed betyder i bund og grund at evaluere, hvor godt dine nuværende sikkerhedskontroller, processer og strukturer beskytter dine informationsaktiver mod forskellige cybertrusler. Det indebærer at forstå, hvor du står, og hvilke skridt der er nødvendige for at styrke og forbedre din cybersikkerhedsposition.
Hvorfor er det vigtigt at vurdere effektiviteten af sikkerhedsforanstaltninger?
Forstå sårbarhederne: Vurderinger øger din forståelse af de forskellige områder i cyberlandskabet, der kan være på vej mod sårbarhed. Ved at identificere disse områder er din organisation bedre rustet til at prioritere handlinger og styrke disse svage punkter.
Find forbedringer: Løbende forbedringer er den eneste vej til et stærkt ledelsessystem for informationssikkerhed. Vurderinger hjælper dig med at få øje på ideer til forbedringer, som du derefter kan prioritere separat til videreudvikling.
Se det store billede: Informationssikkerhed er så bredt et emne, at det uden specifikke overordnede vurderinger er let at miste overblikket og drukne i detaljer.
Husk, at en proaktiv tilgang til cybersikkerhed er nøglen. Regelmæssige vurderinger giver dig mulighed for at opdage sårbarheder på forhånd, før de bliver til virkelige hændelser.
Forskellige måder at vurdere effektiviteten og proportionaliteten af dine sikkerhedsforanstaltninger på
Der er mange faktorer og synsvinkler at tage i betragtning, når man skal vurdere cybersikkerhedens effektivitet. Man kan have en meget bred tilgang (f.eks. interne audits), hvor man gennemgår stort set alt, hvad man foretager sig af sikkerhedsrelaterede ting. Man kan tage en mere teknologisk tilgang (f.eks. penetrationstest) og få detaljerede resultater. Og i bedste fald forstår du, hvordan du kan kombinere forskellige tilgange, så de fungerer godt for din organisation.
Vi vil præsentere følgende alternativer i denne artikel:
- Vurder sikkerhed gennem certificeringer
- Vurder sikkerheden gennem interne audits
- Vurder sikkerheden ved hjælp af informationssikkerhedsmetrikker
- Vurder sikkerheden gennem ledelsens gennemgang
- Vurder sikkerhed gennem test af applikationssikkerhed
- Vurder sikkerheden gennem overvågning af medarbejdernes bevidsthed
Certificeringer: Få en ekstern professionel til at vurdere din compliance i forhold til en ramme
Informationssikkerhedscertificeringer er værdifulde værktøjer for organisationer til at vurdere, validere og demonstrere robustheden af deres sikkerhedsforanstaltninger. Disse certificeringer tildeles typisk af anerkendte organer efter en streng vurderingsproces, og de kan hjælpe din organisation med at vurdere proportionaliteten af dine sikkerhedsforanstaltninger på flere måder:
1. Benchmarking og standardisering: Certificeringer giver et benchmark i forhold til etablerede standarder som ISO 27001 ellerSOC 2. Når du er certificeret i forhold til en standard, ved dine interessenter, at dine sikkerhedsforanstaltninger er i overensstemmelse med den bedste praksis i denne ramme, som mange kender.
2. Tredjepartsvurdering: Processen med at opnå en certificering involverer normalt en grundig ekstern revision udført af akkrediterede fagfolk. Denne eksterne gennemgang giver mulighed for en upartisk vurdering af din sikkerhedsstilling og giver indsigt, som måske bliver overset internt.
3. Kontinuerlig forbedring: For at opretholde certificeringen skal organisationer gennemgå periodiske reviews og audits. Det tilskynder til løbende forbedringer og hjælper med at sikre, at sikkerhedsforanstaltningerne forbliver effektive og relevante, efterhånden som teknologien og truslerne udvikler sig.
4. Konkurrencefordel og kundetillid: At have en anerkendt sikkerhedscertificering kan fungere som en konkurrencefordel, der viser kunder, partnere og myndigheder, at organisationen er forpligtet til at opretholde høje sikkerhedsstandarder. Certificeringer vil også hjælpe dig med at besvare sikkerhedsspørgeskemaer eller bevise, at du overholder lovkrav (som NIS2).
Interne revisioner: Vurder din sikkerhed generelt i forhold til et sæt krav
Interne audits inden for informationssikkerhed er systematiske evalueringer, der udføres af en organisation for at vurdere , hvor godt dens informationssikkerhedstiltag er i overensstemmelse med interne politikker og eksterne lovkrav. At udføre en intern informationssikkerhedsrevision er som at give din organisation et omfattende sundhedstjek - set ud fra et informationssikkerhedsperspektiv.
Disse audits har til formål at sikre, at organisationens datahåndtering og behandlingspraksis er sikker, at dataintegriteten opretholdes, og at risiciene i forbindelse med cybersikkerhedstrusler minimeres. Når du opdager noget, der ikke er i overensstemmelse med reglerne, dokumenterer du en afvigelse, som skal rettes separat for at sikre løbende forbedringer.
Du kan f.eks. beslutte at udføre to interne audits hvert år - og at dække hele dit ledelsessystem for informationssikkerhed med interne audits hvert tredje år. Det er helt normale tilgange i ISO 27001-certificerede organisationer. Du kan selvfølgelig også få hjælp af eksterne konsulenter eller partnere til at udføre disse audits .
Metrikker for informationssikkerhed: Vurder sikkerheden ved at vælge nøgletal, der skal følges
Metrikker for informationssikkerhed er kvantitative mål, der hjælper organisationer med at vurdere effektiviteten af deres sikkerhedsforanstaltninger . Disse målinger er afgørende for at overvåge sundheden af en organisations informationssikkerhedsprogram, demonstrere overholdelse af regler og træffe informerede beslutninger om sikkerhedsinvesteringer.
Gode sikkerhedsmålinger bør kombinere forskellige sikkerhedssynspunkter. Nogle eksempler:
Organisationsmålinger: Forfaldne punkter i dit ISMS, compliance-score i forhold til en ramme, antal identificerede risici, antal gennemførte forbedringer, tid til at rette op på en afvigelse.
Teknologiske målinger: Tid til at identificere en hændelse, antal identificerede sårbarheder, % af centralt overvågede adgangsrettigheder
Medarbejdermålinger: % af læste retningslinjer, gennemsnitlige resultater af færdighedstest, % af gennemført årlig uddannelse
Andre tilgange til vurdering af dine sikkerhedsforanstaltninger
Gennemgang af ledelsen: Forpligt din topledelse gennem "big picture reviews"
Management reviews er periodiske evalueringer udført af topledelsen. De gennemgår de vigtigste informationssikkerhedsaspekter (f.eks. ressourceallokering, overordnede fremskridt i forhold til mål, resultater af risikostyring, interne audits) og dokumenterer ledelsens syn på tingene sammen med ønskede yderligere tiltag. Management reviews kan arrangeres som møder, f.eks. to gange om året, hvor nøglepersoner inden for sikkerhed præsenterer tingene for topledelsen.
Test af applikationssikkerhed: Vurder, hvor godt dine vigtigste aktiver er beskyttet mod tekniske sårbarheder
Sikkerhedstestning refererer til en række processer, der bruges til at evaluere og identificere sårbarheder i informationssystemer, applikationer og netværk. Her er tilgangen til at vurdere sikkerheden meget teknologisk og fremhæver derfor kun visse sårbarheder.
Hvis din organisation primært arbejder med softwareudvikling, kan værktøjer som sårbarhedsscanning, penetrationstest, revision af applikationssikkerhed og endda etisk hacking være vigtige for regelmæssigt at vurdere dine sikkerhedsforanstaltninger.
Medarbejdernes bevidsthed: Vurder, om dine medarbejdere handler sikkert i det daglige arbejde?
At teste medarbejdernes bevidsthed er også en vigtig komponent i vurderingen af en organisations overordnede informationssikkerhedsforanstaltninger. Målet er at evaluere, hvor godt medarbejderne forstår og overholder organisationens sikkerhedspolitikker, og hvor effektivt de kan reagere på potentielle sikkerhedstrusler i det daglige arbejde. I bedste fald er medarbejderne den aktive første forsvarslinje.
For at overvåge dine "peoplecontrols" kan du vælge værktøjer som phishing-simuleringer, tests/quizzer om sikkerhedsfærdigheder, simulerede social engineering-angreb eller incident response-øvelser for at vurdere din sikkerhed.
At vurdere effektiviteten af din cybersikkerhed betyder i bund og grund at evaluere, hvor godt dine nuværende sikkerhedskontroller, processer og strukturer beskytter dine informationsaktiver mod forskellige cybertrusler. Det indebærer at forstå, hvor du står, og hvilke skridt der er nødvendige for at styrke og forbedre din cybersikkerhedsposition.
Hvorfor er det vigtigt at vurdere effektiviteten af sikkerhedsforanstaltninger?
Forstå sårbarhederne: Vurderinger øger din forståelse af de forskellige områder i cyberlandskabet, der kan være på vej mod sårbarhed. Ved at identificere disse områder er din organisation bedre rustet til at prioritere handlinger og styrke disse svage punkter.
Find forbedringer: Løbende forbedringer er den eneste vej til et stærkt ledelsessystem for informationssikkerhed. Vurderinger hjælper dig med at få øje på ideer til forbedringer, som du derefter kan prioritere separat til videreudvikling.
Se det store billede: Informationssikkerhed er så bredt et emne, at det uden specifikke overordnede vurderinger er let at miste overblikket og drukne i detaljer.
Husk, at en proaktiv tilgang til cybersikkerhed er nøglen. Regelmæssige vurderinger giver dig mulighed for at opdage sårbarheder på forhånd, før de bliver til virkelige hændelser.
Forskellige måder at vurdere effektiviteten og proportionaliteten af dine sikkerhedsforanstaltninger på
Der er mange faktorer og synsvinkler at tage i betragtning, når man skal vurdere cybersikkerhedens effektivitet. Man kan have en meget bred tilgang (f.eks. interne audits), hvor man gennemgår stort set alt, hvad man foretager sig af sikkerhedsrelaterede ting. Man kan tage en mere teknologisk tilgang (f.eks. penetrationstest) og få detaljerede resultater. Og i bedste fald forstår du, hvordan du kan kombinere forskellige tilgange, så de fungerer godt for din organisation.
Vi vil præsentere følgende alternativer i denne artikel:
- Vurder sikkerhed gennem certificeringer
- Vurder sikkerheden gennem interne audits
- Vurder sikkerheden ved hjælp af informationssikkerhedsmetrikker
- Vurder sikkerheden gennem ledelsens gennemgang
- Vurder sikkerhed gennem test af applikationssikkerhed
- Vurder sikkerheden gennem overvågning af medarbejdernes bevidsthed
Certificeringer: Få en ekstern professionel til at vurdere din compliance i forhold til en ramme
Informationssikkerhedscertificeringer er værdifulde værktøjer for organisationer til at vurdere, validere og demonstrere robustheden af deres sikkerhedsforanstaltninger. Disse certificeringer tildeles typisk af anerkendte organer efter en streng vurderingsproces, og de kan hjælpe din organisation med at vurdere proportionaliteten af dine sikkerhedsforanstaltninger på flere måder:
1. Benchmarking og standardisering: Certificeringer giver et benchmark i forhold til etablerede standarder som ISO 27001 ellerSOC 2. Når du er certificeret i forhold til en standard, ved dine interessenter, at dine sikkerhedsforanstaltninger er i overensstemmelse med den bedste praksis i denne ramme, som mange kender.
2. Tredjepartsvurdering: Processen med at opnå en certificering involverer normalt en grundig ekstern revision udført af akkrediterede fagfolk. Denne eksterne gennemgang giver mulighed for en upartisk vurdering af din sikkerhedsstilling og giver indsigt, som måske bliver overset internt.
3. Kontinuerlig forbedring: For at opretholde certificeringen skal organisationer gennemgå periodiske reviews og audits. Det tilskynder til løbende forbedringer og hjælper med at sikre, at sikkerhedsforanstaltningerne forbliver effektive og relevante, efterhånden som teknologien og truslerne udvikler sig.
4. Konkurrencefordel og kundetillid: At have en anerkendt sikkerhedscertificering kan fungere som en konkurrencefordel, der viser kunder, partnere og myndigheder, at organisationen er forpligtet til at opretholde høje sikkerhedsstandarder. Certificeringer vil også hjælpe dig med at besvare sikkerhedsspørgeskemaer eller bevise, at du overholder lovkrav (som NIS2).
Interne revisioner: Vurder din sikkerhed generelt i forhold til et sæt krav
Interne audits inden for informationssikkerhed er systematiske evalueringer, der udføres af en organisation for at vurdere , hvor godt dens informationssikkerhedstiltag er i overensstemmelse med interne politikker og eksterne lovkrav. At udføre en intern informationssikkerhedsrevision er som at give din organisation et omfattende sundhedstjek - set ud fra et informationssikkerhedsperspektiv.
Disse audits har til formål at sikre, at organisationens datahåndtering og behandlingspraksis er sikker, at dataintegriteten opretholdes, og at risiciene i forbindelse med cybersikkerhedstrusler minimeres. Når du opdager noget, der ikke er i overensstemmelse med reglerne, dokumenterer du en afvigelse, som skal rettes separat for at sikre løbende forbedringer.
Du kan f.eks. beslutte at udføre to interne audits hvert år - og at dække hele dit ledelsessystem for informationssikkerhed med interne audits hvert tredje år. Det er helt normale tilgange i ISO 27001-certificerede organisationer. Du kan selvfølgelig også få hjælp af eksterne konsulenter eller partnere til at udføre disse audits .
Metrikker for informationssikkerhed: Vurder sikkerheden ved at vælge nøgletal, der skal følges
Metrikker for informationssikkerhed er kvantitative mål, der hjælper organisationer med at vurdere effektiviteten af deres sikkerhedsforanstaltninger . Disse målinger er afgørende for at overvåge sundheden af en organisations informationssikkerhedsprogram, demonstrere overholdelse af regler og træffe informerede beslutninger om sikkerhedsinvesteringer.
Gode sikkerhedsmålinger bør kombinere forskellige sikkerhedssynspunkter. Nogle eksempler:
Organisationsmålinger: Forfaldne punkter i dit ISMS, compliance-score i forhold til en ramme, antal identificerede risici, antal gennemførte forbedringer, tid til at rette op på en afvigelse.
Teknologiske målinger: Tid til at identificere en hændelse, antal identificerede sårbarheder, % af centralt overvågede adgangsrettigheder
Medarbejdermålinger: % af læste retningslinjer, gennemsnitlige resultater af færdighedstest, % af gennemført årlig uddannelse
Andre tilgange til vurdering af dine sikkerhedsforanstaltninger
Gennemgang af ledelsen: Forpligt din topledelse gennem "big picture reviews"
Management reviews er periodiske evalueringer udført af topledelsen. De gennemgår de vigtigste informationssikkerhedsaspekter (f.eks. ressourceallokering, overordnede fremskridt i forhold til mål, resultater af risikostyring, interne audits) og dokumenterer ledelsens syn på tingene sammen med ønskede yderligere tiltag. Management reviews kan arrangeres som møder, f.eks. to gange om året, hvor nøglepersoner inden for sikkerhed præsenterer tingene for topledelsen.
Test af applikationssikkerhed: Vurder, hvor godt dine vigtigste aktiver er beskyttet mod tekniske sårbarheder
Sikkerhedstestning refererer til en række processer, der bruges til at evaluere og identificere sårbarheder i informationssystemer, applikationer og netværk. Her er tilgangen til at vurdere sikkerheden meget teknologisk og fremhæver derfor kun visse sårbarheder.
Hvis din organisation primært arbejder med softwareudvikling, kan værktøjer som sårbarhedsscanning, penetrationstest, revision af applikationssikkerhed og endda etisk hacking være vigtige for regelmæssigt at vurdere dine sikkerhedsforanstaltninger.
Medarbejdernes bevidsthed: Vurder, om dine medarbejdere handler sikkert i det daglige arbejde?
At teste medarbejdernes bevidsthed er også en vigtig komponent i vurderingen af en organisations overordnede informationssikkerhedsforanstaltninger. Målet er at evaluere, hvor godt medarbejderne forstår og overholder organisationens sikkerhedspolitikker, og hvor effektivt de kan reagere på potentielle sikkerhedstrusler i det daglige arbejde. I bedste fald er medarbejderne den aktive første forsvarslinje.
For at overvåge dine "peoplecontrols" kan du vælge værktøjer som phishing-simuleringer, tests/quizzer om sikkerhedsfærdigheder, simulerede social engineering-angreb eller incident response-øvelser for at vurdere din sikkerhed.
13
.
Interne audits på Cyberday ☑️: Overordnet introduktion
14
.
Cyberhygiejne og bevidsthed om personalesikkerhed 🧑💼: Intro til retningslinjer og træning i Cyberday
I denne video diskuterer vi vigtigheden af sikkerhedsbevidsthed i informationssikkerhedsstyring. Vi demonstrerer de relaterede funktioner i Cyberday og fremhæver behovet for at afklare sikkerhedsansvar for "normale" medarbejdere, udnytte automatiseringsprocesser og starte med grundlæggende retningslinjer og eksempler i stedet for at sigte mod perfektion i begyndelsen.
15
.
Kryptering #️⃣: Ekstra beskyttelseslag til dine data
Dette er introen
Dette er den længere tekstversion
Dette er den længere tekstversion
16
.
Andre vigtige NIS2-emner: HR-sikkerhed, adgang, MFA og systemadministration
17
.
Rapport om overholdelse af NIS2 🌐: Forstå dine fremskridt og din status
18
.
Kontinuerlig forbedring i Cyberday ⏫: Overordnet introduktion
