15-09-2015

e-Boks håndterer hver dag store mængder fortrolig kommunikation til sine brugere, og derfor har datasikkerhed altid haft højeste prioritet. Nu er e-Boks blevet ISO 27001-compliant, og det betyder en modernisering af sikkerhedsarbejdet.

Fra starten af 2016 bliver sikkerhedsstandarden ISO 27001 obligatorisk at følge for Danmarks statslige institutioner, hvor ISO'en afløser den hidtidige standard, DS484. e-Boks har i løbet af første halvår i 2015 tilpasset sig ISO-standarden, og skiftet handler om meget andet end nye regler.

- Den gamle måde at tænke sikkerhed var groft sagt, at man fulgte en sikkerhedsstandard uden at forholde sig til konkrete risici, fortæller Jacob Zwicki, som er Head of Security hos e-Boks. – ISO 27001 er derimod et 'Information Security Management System' - et ledelsessystem for informationssikkerhed. Det skal forstås sådan, at det er et rammeværktøj, som man bygger sin sikkerhed op omkring, og det introducerer en mere dynamisk og agil tilgang.

Aktiv styring af risici

En ISO-compliance medfører typisk en professionalisering af sikkerhedsarbejdet og en klar forankring i organisationen. Hos e-Boks er der bl.a. etableret et Security Board, som er det centrale organ for governance omkring sikkerhedsarbejdet.

En af præmisserne bag ISO 27001 er at alting indebærer en risiko. Forestillingen om 100% sikkerhed er passé i 2015. I stedet må man arbejde aktivt med de risici, der kan opstå.

- Topledelsen må forholde sig til sin 'risikoappetit' og spørge sig selv, hvor risikovillige vi er i vores organisation. Hvor ligger truslerne lige netop for os? Er der noget, vi ikke vil acceptere? Hvad kan der ske, hvis den eller den begivenhed rammer os? Og hvad kan vi aktivt gøre for at begrænse risikoen? Hvis en trussel bliver mindre med tiden, kan vi skrue ned for nogle kontroller og op for nogle andre. Det giver smart sikkerhed, og dermed de mest rentable sikkerhedskontroller, fortæller Jacob Zwicki.

Jacob Zwicki er ikke i tvivl om, at ISO-compliance i sidste ende har betydning for e-Boks troværdighed.  Standardisering, dokumentation og det aktive arbejde med risici  øger sikkerheden betydeligt.

- Vi lever af troværdighed, og det gør mange af vores kunder og samarbejdspartnere også. Derfor betyder det også noget, at sikkerheden er blevet mere formaliseret i vores organisation. Vi er godt klar over, at e-Boks er en meget vigtig komponent i dansk digital infrastruktur. Derfor har vi også et særligt ansvar for, at sikkerheden håndteres omhyggeligt, slutter han.

**

FAKTA: Compliant – ikke certificeret

e-Boks tilpasning til ISO 27001 er sket i samarbejde med et eksternt konsulenthus, som er eksperter på sikkerhed, og implementeringen er gennemført på cirka et halvt år. Alle risici er beskrevet i et risikoregister, sikkerhedskontroller er dokumenteret, og der er etableret faste processer for bl.a. dokumenthåndtering, auditering og evaluering. Det hele er revideret af PWC, som nu har givet papir på, at e-Boks er 'compliant', dvs. opfylder betingelserne i ISO 27001.