Ignorer kommandoer på båndet
Gå til hovedindhold
< BACK

COWI opgraderer it-sikkerheden

​​Af journalist Klavs Andersen​

 

Rådgivervirksomheden COWI opgraderer i kampen mod cyberkriminalitet via et ISO 27001-projekt. Virksomheden styrker derved både sin it-sikkerhed og konkurrenceevne.​

I lyset af at sikkerhedstruslerne fra cyberkriminelle er eskaleret voldsomt, besluttede COWI at foretage en gennemgribende evaluering af sin organisation omkring it-sikkerhed med henblik på at opnå en ISO 27001 sikkerhedscertificering. Beslutningen blev truffet i forbindelse med, at COWI’s CISO (Chief Information Security Officer) gennem mange år nærmede sig pensionsalderen. Som indledning på projektet gennemførte NNIT en strategisk security assessment.
”Vi havde erkendt, at en ISO 27001-certificering ville kunne styrke hele vores organisation omkring it-sikkerhed. En række af vores kunder, især i den private sektor, stillede stadigt flere spørgsmål og krav til vores it-sikkerhed og informationspolitik,” forklarer CIO Claus Hagen Nielsen og tilføjer: ”Desuden ser trusselsbilledet helt anderledes og meget mere alvorligt ud end for blot to år siden, og det bliver stadig mere komplekst at gardere sig effektivt imod sikkerhedstruslerne.”​

Ekstern partner accelererer projektet​

​​COWI besluttede at få en tredjepart på banen til at accelerere certificeringsopgaven. Her faldt valget på NNIT.

”Jeg ønskede en ekstern partner til at arbejde på indersiden af vores firewall og assistere med at analysere vores modenhed i forhold til it-sikkerhed og klarlægge, hvad der skulle til for at drive ISO-projektet igennem,” forklarer Claus Hagen Nielsen.
NNIT tager sig i forvejen af driften af COWI’s højrisiko it-systemer og kender derfor virksomhedens it-organisation og forretning indgående. Desuden har NNIT stor erfaring med at udarbejde strategiske it-sikkerhedsvurderinger for en lang​ 
række virksomheder. Claus Hagen Nielsen fremhæver, at det derfor var et naturligt valg at hyre NNIT ind fremfor at bringe yderligere en leverandør på banen:
 
”Vi opererer til daglig tæt sammen med NNIT i et partnerskab og vurderede, at de besad alle de kompetencer, som skulle til for at drive projektet igennem og stå for implementeringen.”​

Konkrete anbefalinger​

ISO-projektet er gennemført som et ”lean” projekt, med en projektgruppe, der blot involverede et par konsulenter fra NNIT og et par medarbejdere fra COWI’s it-organisation. I forbindelse med projektet har NNIT via interviews med medarbejdere afdækket modenheden af COWI’s it-sikkerhed.

”Opgaven var mere end blot at lave en gap-analyse,” siger Lars Koch Hviid, der har været NNIT’s Senior IT security architect på opgaven. ”Arbejdet indebar også at rådgive COWI omkring den fremtidige sikkerhedsorganisation og forankringen af sikkerhed i organisationen.”
Projektet mundede ud i en rapport med en række konkrete anbefalinger, som i høj grad er fulgt i det videre arbejde, understreger Claus Hagen Nielsen:
 
”NNIT rådede os til at styrke governance omkring vores it-sikkerhed via etablering af et ledelsesforum for informationssikkerhed. Det er svært at finde CISO’er, og endnu sværere at holde på dem. I stedet har vi valgt at lægge opgaven ind under vores BPM Board (Business Process Management), der refererer direkte til direktionen. Med assistance fra NNIT har vi ansat en IT Security Officer, og ved at placere det strategiske arbejde i board’et og de​  taktiske og operationelle opgaver hos IT Security Officeren, forankrer vi sikkerhed i organisationen og undgår at være afhængige af enkeltpersoner,” forklarer Claus Hagen Nielsen og tilføjer:

”Desuden blev vi rådet til at sætte mere fart i ISO-projektet. Det viste sig dog at være svært, fordi omfanget var større, end vi havde forventet. Men der er fuldt fokus på projektet, og vi tager bestemt anbefalingerne alvorligt. Vi regner med at være ISO 27001-certificeret ved udgangen af 2016.”​

Parallelle projekter

Baseret på rapportens anbefalinger har COWI søsat et længe ønsket projekt omkring identitets- og adgangskontrol (Identity and Access Management), som går i luften til efteråret. Derudover er der udarbejdet en ny it-politik og en tilhørende håndbog. Claus Hagen Nielsen fremhæver desuden et projekt, som skal forbedre styringen af COWI’s interne processer omkring persondata og sikre, at virksomheden lever op til de nye krav fra EU på persondataområdet. Endelig peger han på, at COWI gennemfører et Security Awareness-program overfor forretningen, som en del af ISO-projektet.​

Målene er nået – og mere til​

COWI har opnået markante resultater via samarbejdet med NNIT:
”Vi har nået de mål, jeg havde opstillet for projektet. Vi har afklaret, hvordan vi sikrer COWI effektivt mod cyberkriminelle trusler, og vi har identificeret hvilke områder, vi skal fokusere på samt planlagt eksekveringen af opgaverne,” siger Claus Hagen Nielsen.
Med ISO-certificeringen opnår COWI ifølge Claus Hagen Nielsen også forretningsmæssige gevinster:
 
”Det er ikke normalt at virksomheder i vores branche er ISO-certificerede inden for it-sikkerhed, og projektet giver os derfor helt klart en række konkurrencemæssige fordele. Vores projektleverancer er ISO-certificeret, men det er naturligt også at kvalitetssikre på it-området, fordi alt​  samarbejde med kunderne i dag er databåret, og it-systemerne dermed udgør den interne rygrad i vores leverancer,” fastslår han og tilføjer:
”Når vi får forespørgsler omkring vores it-sikkerhed fra kunder, kan vi nu give klare svar. For os handler det om at kunne levere den højest mulige kvalitet inden for alle vores forretningsområder – også når det gælder it.”​

 

 

 

 

 

 

Marius Jeppesen+45 3079 7254mujp@nnit.com ​​Vice Presidenthttp://www.linkedin.com/pub/marius-jeppesen/0/410/956Marius Jeppesen

 

 

Regulatory Compliancehttp://www.nnit.dk/cybersecurity/Sider/Regulatory Compliance.aspxRegulatory Compliance
Application Securityhttp://www.nnit.dk/cybersecurity/Sider/applikationssikkerhed.aspxApplication Security
Cyber Defense Centerhttp://www.nnit.dk/cybersecurity/Sider/nnit-cert.aspxCyber Defense Center
NNIT Security Insightshttp://www.nnit.dk/cybersecurity/Sider/nnit-security-insights.aspxNNIT Security Insights
Identitets- og adgangsstyringhttp://www.nnit.dk/cybersecurity/Sider/Identitets-og-adgangsstyring.aspxIdentitets- og adgangsstyring
Cybersecurity Consultinghttp://www.nnit.dk/cybersecurity/Sider/Sikkerhedsrådgivning.aspxCybersecurity Consulting
Sikkerhed og compliancehttp://www.nnit.dk/Raedgivning/Sider/sikkerhed-og-compliance.aspxSikkerhed og compliance
Produktionssikkerhedhttp://www.nnit.dk/cybersecurity/Sider/produktionssikkerhed.aspxProduktionssikkerhed
Cyberkriminalitet rammer os allehttp://www.nnit.dk/ArtiklerOgOfferings/Sider/NNIT_Cybercrime_DK_Article.aspxCyberkriminalitet rammer os alle
Implementering af EU Persondataforordningenhttp://www.nnit.dk/ArtiklerOgOfferings/Sider/NNIT_EU_Persondataforordning_artikel.aspxImplementering af EU Persondataforordningen