Konsekvensanalyse af aktiver
2024
Konsekvensanalyse af aktiver er et vigtigt led i risikostyringen og har til formål at minimerekonsekvenserne ved et cyberangreb rettet mod virksomheden.
30. maj 2023
Modulet helt kort
Dette modul præsenterer fire byggesten for arbejdet med cybersikkerhed.
De fire byggesten er tilsammen en 360-graders beskrivelse af, hvad der indgår af (nye) arbejdsopgaver i virksomhedens cybersikkerhedsindsats.
Resultatet af at stifte bekendtskab med de 4 byggested er, at virksomheden står med et indledende idékatalog til videreudvikling af virksomhedens cybersikkerhed, et begyndende fælles sprog om cybersikkerhed, samt en forståelse af hvad arbejdet med cybersikkerhed rummer.
Grundlæggende begreber
Som del af arbejdet med de fire byggesten til cybersikkerhed vil nedenstående definitioner og begreber gå igen.
Definition af IoT-løsning
Med IoT-løsning menes: styring af maskiner i produktionen ved hjælp af opkobling til internettet, produkter og/eller tjenester, hvor der indgår sensorer, modems eller anden teknologi, der sender og modtager data over internettet, inkl. dataindsamling fra sensorer i maskiner og evt. data, der sendes til kundens/ egne systemer.
Byggesten til cybersikkerhed
Cybersikkerhed består af flere ting, der spiller sammen i virksomhedens praksis. De ting er enkelt udtrykt med de fire byggesten. Da det er et samspil, kan man ikke sige, at den ene eller den anden byggesten kommer først. Det er alle fire byggesten tilsammen, der beskriver virksomhedens cybersikkerhed.
Hver byggesten henviser til en arbejdsopgave med cybersikkerhed i virksomheden. Man kan sige, at byggestenene er udtryk for en gruppering af værktøjer og beslutninger i fire kernearbejdsopgaver, som virksomheden står overfor, når cybersikkerheden skal videreudvikles.
Passende niveau af cybersikkerhed
Hver virksomhed skal finde sit eget passende niveau for cybersikkerhed, og virksomheder er bestemt ikke ens. Hvad der er passende, afgøres af virksomhedens forretning, kompetencer og ressourcer.
For at gøre det enkelt for virksomhedens cybersikkerheds-team at tale om arbejdsopgaverne, har vi lavet en visuel model med fire byggesten til virksomhedens cybersikkerhed for IoT.
Fire byggesten til virksomhedens cybersikkerhed
Indholdet i de fire byggesten til cybersikkerhed i den danske produktionsindustri og tilknyttede brancher er under løbende udvikling, fordi teknologier, procedurer og forretningsmodeller udvikler sig hele tiden.
Byggestenene er forenklet for at kunne give fokus og retning på arbejdet med cybersikkerhed.
“De fire Cybersikkerheds-byggesten” af CyPro under licens CC BY-SA 4.0
Saml idéer med de fire byggesten
Hver af de fire byggesten er beskrevet i sit eget værktøjsark, så virksomheden kan indsamle idéer om videreudviklingen af cybersikkerhed for hver byggesten. Idéerne til hver af de fire byggesten udgør samlet set virksomhedens idékatalog for cybersikkerhed.
Værktøjsarkene bruges som grundlag for en dialog om virksomhedens cybersikkerhed og munder ud i brainstorm til et idékatalog for videreudviklingen af cybersikkerheden.
Hvert værktøjsark er struktureret på denne måde (se eksemplet på byggestenen til Sammenhæng mellem forretning og sikkerhed nedenfor):
- Byggestenens navn.
- Identifikation af byggestenens arbejdsopgave.
- Hjælpespørgsmål til at afklare virksomhedens videre arbejde med byggestenen.
- Fastholdelse af virksomhedens første brainstorm over idéer til kataloget for byggestenen. Byggestenens idékatalog er opdelt efter foreslåede temaer, men idéerne kan også handle om noget helt andet. Det er vigtigt, at virksomheden ikke lader sig begrænse af de ‘fortrykte’ idétemaer.
Eksempel på “Byggesten: Sammenhæng mellem forretning og sikkerhed” af CyPro under licens CC BY-SA 4.0
Byggesten
Printvenlig version af værktøjet for alle 4 byggesten i stort format.
Praktiske informationer
- Invitér mindst to og gerne flere medarbejdere/ledere, der står for forskellige funktioner i virksomheden knyttet til produktionsapparatet, cybersikkerhed og forretningen, til et møde af 1,5 times varighed.
- Send alle fire værktøjsark til deltagerne inden mødet med instruktion om, at hver deltager kort ser arkene igennem som mødeforberedelse.
- Udprint de fire værktøjsark – et sæt med alle fire byggesten til hver mødedeltager og medbring papirkopierne til mødet.
- Medbring ekstra notatpapir og skriveredskaber.
Trin-for-trin guide
- Start med at rammesætte mødet som en indledende dialog om virksomhedens cybersikkerhed. Formålet er at tage hul på overvejelserne om cybersikkerhed – ikke at lave store forkromede og systematiske analyser.
- Bliv enige om:
a) en tidsperiode for dialogen om hver byggesten. Afsæt fx 15-20 min. til dialog om hver byggesten. Måske tager den første tager lidt længere tid end den sidste.
b) hvem, der skriver nøgleord til virksomhedens indledende idékatalog i hvert værktøjsskema. - For alle byggestenen på skift; Tal om:
a) tal om, hvad handler byggestenen handler om set i konteksten af virksomheden. Inddrag hjælpespørgsmål og formuleringen af arbejdsopgaven.
b) notér nøgleord til idéer om videreudvikling af byggestenen i kolonnen længst til højre.
Udbytte
Udbyttet er et fælles idékatalog i virksomheden, der kommer hele vejen rundt om cybersikkerhed i virksomhedens forretning, organisation, teknologi og standarder.
Formålet med byggestenene er også at skabe en fælles reference for cybersikkerhed i virksomheden. Et fælles sprog om arbejdsopgaver og idéer, der kan være med til at opbygge bevidsthed og indsatser om cybersikkerhed.
Ekspertens råd
Vi ved, at det er meget vigtigt med et sprog for cybersikkerhed for at virksomhederne kommer i gang med at udvikle og konsolidere deres nuværende niveau af sikkerhed. Et fælles sprog i virksomheden styrker fokus og udvikling.
Nogle virksomheder er langt med de fleste arbejdsopgaver, andre virksomheder er i gang med 1-2 arbejdsopgaver, og andre igen er først ved at begynde på systematisk arbejde med cybersikkerhed. Det vigtige er, at der ikke skal arbejdes på samme tid eller i samme omfang med opgaver i alle virksomheder.
Så det vil kun være godt (og forventeligt), hvis byggestenene udvikler sig i den enkelte virksomhed, mens der arbejdes med dem. Måske kommer der flere arbejdsopgaver til under byggestenene, som
Næste skridt
Virksomhedens næste skridt er at bruge kendskabet til byggesten til cybersikkerhed til yderligere at forankre cybersikkerhed i virksomheden.
Byggestenene giver ikke i sig selv svar på, hvad der er næste bedste skridt, eller hvorfor virksomheden arbejder som den gør med cybersikkerheden. Dette kan virksomheden afdække struktureret gennem værktøjerne ’Situationsanalyse af cybersikkerhed’, ’Prioritering af situationsanalyser’, ’Mål for byggesten til cybersikkerhed’.
Det vil med andre ord sige, at forankring af cybersikkerhed i virksomheden betyder, at virksomheden aktivt tilpasser byggestenene til cybersikkerhed til forholdene i virksomheden.
Indholdselementerne ovenfor er udviklet gennem projektet:
’CyPro – Cybersikker produktion i Danmark’ af Aarhus Universitet, Alexandra Instituttet, DAMRC, UGLA Insights og FORCE Technology støttet af Industriens Fond. Materialet fra projektet er offentliggjort under licens CC BY-SA 4.0
