6 takeaways fra arbejdet med infosec i Billund Lufthavn

I Billund Lufthavn skal informationssikkerhed være en integreret del af hele organisationens kultur - ikke et IT-projekt. Det fortalte Information Security Officer i Lufthavnen Karsten Mochau Laursen om på et webinar, som Wired Relations afholdt for nylig.

Publiseringsdato: 
15/11/2024
Jacob Høedt Larsen
PR & PA

Læs mere om forfatteren

Billund Lufthavn er Danmarks næststørste med ca. 4 mio. årlige passagerer og 800 medarbejdere. Langt de fleste sidder ikke bag en computer, men de bruger alligevel IT og skal derfor være med til at sikre lufthavnen mod cybertrusler.

"Vi har været vant til fysisk sikkerhed i mange år, men informationssikkerhed kræver en helt anden tilgang, især når vi skal beskytte kritiske systemer. Informationssikkerhed er ikke bare IT længere. Vi har organiseret os tværorganisatorisk, så både ledelsen og flere afdelinger er med om bord," siger Karsten Mochau Laursen om opgaven.

{{factbox-dark}}

Her er mine take aways fra webinaret:

Kommercielle krav som drivkraft

Der er stort fokus på informationssikkerheden i Billund Lufthavn. Den udvikling har haft forskellige drivere, heriblandt kommercielle krav fra samarbejdspartnere.

Som Karsten Mochau Laursen siger:

“Det udsprang af, at vi faktisk fik nogle kommercielle krav lige pludselig på informationssikkerhed. Nogle af de større virksomheder vi samarbejder med, begynder at stille krav i deres kontrakter. Men hvis man spoler tiden lidt tilbage, så havde vi GDPR, som også havde krav til informationssikkerhed. Og spoler man tiden endnu længere tilbage, så var det jo IT-sikkerhed i gamle dage.”

Takeaway 1: Der er flere forskellige udefrakommende faktorer, som kan hjælpe med at sætte fokus på informationssikkerheden. NIS2 direktivet, hændelser som bliver omtalt i medierne og krav fra samarbejdspartnere. Det er en god ide at bruge dem alle sammen til at sætte fokus på informationssikkerheden.

Takeaway 2: Informationssikkerhed handler ikke kun om NIS2. Eller kun om ISO 27001. Det er en god ide at scope sit arbejde bredere, så man på én gang fanger kravene i GDPR, NIS2, ISO og kontrakter fra samarbejdspartnere. Det er forskellige krav - men ofte den samme opgave.

Hos Wired Relations kalder vi det: “Flere love og standarder - én robust løsning.”

Karsten Mochau Laursen udtrykker det sådan:

“Hvis vi skal ramme de her 4 skiver, så kan ISO 27001 hjælpe os. Så derfor er det også, at jeg gerne vil løfte det her lidt ud af NIS 2. Ja, NIS2 peger hen mod de kritiske services, men skal vi ikke prøve at beskytte hele forretningen?”

Tal forretningens sprog

Karsten Mochau Laursen arbejder målrettet på at flytte opfattelsen af informationssikkerhed fra at være noget, der sker “nede i IT-afdelingen” til at være et strategisk og tværorganisatorisk projekt.

“Vi skal lære at tale forretningens sprog. Vi skal fortælle dem, at informationssikkerhed er ligesom forsikringer. Jo bedre du er forsikret, jo bedre dækning har du, altså jo hurtigere kan du komme tilbage til normal drift, hvis du har en eller anden hændelse.

Og det er jo den historie vi skal kommunikere til ledelsen og sige, at vi gør det ikke for at være træls, alle de ting, vi kommer med og påpeger. Vi gør det for at sikre en stabil drift, og vi gør det for at sikre, at forretningen opnår sin vision og mission.”

Takeaway 3: Det lyder simpelt, men det er det ikke. Informationssikkerhed skal oversættes til strategi. Vi, der arbejder med informationssikkerhed, bliver mødt med alle mulige krav og standarder: NIS2, ISO og lignende. Derfor kan vi godt forfalde til at sige: “Fordi NIS2 siger, vi skal,” når der bliver stillet spørgsmålstegn ved os. Spørgsmålet er, om det virker?

Book en pentest

Karsten Mochau Laursen har et helt konkret råd, når det gælder ledelseskommunikationen - book en pentest.

“Jeg hører og har selv oplevet, at det er ret svært at få ledelsens opmærksomhed. Og hvad er det gode råd? Hvis du har en frisk pentest, der fortæller dig, hvor hullerne i osten er, så har du et rigtig godt talepapir.”

Hvor mødes de alligevel?

Der er kamp om topledelsens tid. Derfor er Karsten Mochau Laursens råd, at man ser på sin organisation og forsøger at massere informationssikkerheden ind der, hvor topledelsen i forvejen mødes.

Der må være nogle fora i dag, hvor de her samme mennesker mødes alligevel. Hvor vi kan være et add-on til de møder. Vi skal bruge 15 minutter i løbet af mødet til at fortælle om de seneste risikovurderinger og få accept på politikker eller hændelser der skal rapporteres.  Det er her man skal holde tungen i munden og kigge på sin organisation og se, hvordan de er organiseret i dag, hvor kan jeg tilpasse mig og hægte mig på noget i stedet for at prøve at opfinde noget nyt,” siger han.

Takeaway 4: Alle vil have topledelsens opmærksomhed, og de fleste har rigtigt gode begrundelser. Også informationssikkerhed. Vi skal bare passe på, at vi ikke opfinder en masse ny bureaukrati. Derfor elsker jeg rådet om at se konkret på sin egen organisation og finde fora, som findes i forvejen.

Du starter ikke fra 0

Den her får I blot som et citat fra Karsten Mochau Laursen:

“Det handler om at finde ud af, hvor organisationen er henne, fordi man starter jo sjældent fra nul. Der foregår jo altid noget, som man bare skal have samlet op. Måske skal dokumentationen rettes til.”

Takeaway 5: Der findes heldigvis ikke organisationer, som slet ikke har nogen form for sikkerhed. Hvis du er en af dem, der føler, at du starter helt fra bunden, så gør du det heldigvis ikke. Start med at finde ud af, hvad der faktisk fungerer i organisationen, hvor I allerede bruger MFA, laver awareness-træning eller tager back-up.

Ud af Excel - for overblikkets skyld

“I og med, at jeg er lidt af en enmandshær, så har jeg brug for noget værktøjsunderstøttelse,” siger Karsten Mochau Laursen.

Det er nemlig vigtigt at have overblikket, så han kan arbejde med de vigtige strategiske beslutninger i stedet for at lede efter dokumenter.

“Jeg har været på udkig efter at finde en platform, en måde at håndtere det på, så jeg ikke skal bo i et Excel-ark.“

Du kan læse mere om vores bud på en GRC-løsning, som er skræddersyet til informationssikkerhed her.

Kulturforandringen er det svære

I det hele taget er det vigtigt at bruge ressourcerne på de opgaver, som rent faktisk flytter organisationen på informationssikkerheden og det strategiske niveau. Og der er Karsten Mochau Laursen ikke et øjeblik i tvivl om, hvor hunden ligger begravet.

“Kulturforandring. Det er det, der tager længst tid i det her arbejde. Det er forholdsvis enkelt at købe en backupløsning. Men arbejdet med at få implementeret politikker, måle på effektiviteten og også kunne dokumentere det - det er svært.

Takeaway 6:  Jeg er endnu ikke stødt på informationssikkerhedsfolk, som siger: “Jeg har for mange ressourcer.” Det handler rigtigt meget om at være i stand til at prioritere sine ressourcer, så man får mest muligt ud af dem. Derfor er det vigtigt, at man tænker tingene igennem og understøtter sit arbejde med gode værktøjer.

Hvis du vil se et værktøj, som kan understøtte dit arbejde, så book en demo,

Du kan se hele webinaret om erfaringerne fra arbejdet med informationssikkerhed i Billund Lufthavn lige her.

Byg et robust NIS2 program: 

Det kræver struktur og en målrettet indsats at efterleve kravene i NIS2-direktivet. Vores tilgang til arbejdet med NIS2-kravene indeholder fem faser, og hver fase understøtter opbygningen af et stærkt og struktureret sikkerhedsarbejde.

Læs mere her.

Guide: Vejen til robust compliance

Vores e-bog udforsker et nyt perspektiv på compliance og hvad et GRC system skal mestre, med fokus på brugervenlighed, gennemsigtighed og enkelhed.

Download e-bog