"D-mærket har givet os en målstreg for it-sikkerhed"
Hvert år huser Comwell tusindvis af gæster og en lang række af landets største virksomheder. Det skaber særlige udfordringer for it-sikkerheden. Med D-mærket har virksomheden haft større mandat til at indføre nye sikkerhedstiltag og givet organisationen større ejerskab over it-sikkerhed.
Hvert år huser Comwell tusindvis af gæster og en lang række af landets største virksomheder. Det skaber særlige udfordringer for it-sikkerheden. Med D-mærket har virksomheden haft større mandat til at indføre nye sikkerhedstiltag og givet organisationen større ejerskab over it-sikkerhed.
”Nogen har kørt ind i min bil på jeres parkeringsplads. Jeg har vedhæftet en video som dokumentation.”
En e-mail med det budskab kan f.eks. lande i indbakken på en receptionscomputer hos hotelkæden Comwell. Og hvad stiller receptionisten så op, må videoen åbnes? For er der tale om phishing eller en reel kundehenvendelse, som skal tages seriøst og reageres på hurtigt?
Det er et klassisk hverdagsdilemma på et hotel, hvor god service er en kerneværdi for medarbejderne, og hvor gæster fra en bred vifte af forskellige nationer hver dag tjekker ind. Derfor sker det også med jævne mellemrum, at flere internationale hotelkæder bliver ramt af cyberangreb, og derfor er det helt afgørende, at it-sikkerheden er i top – både rent teknisk, og at hele organisationen handler sikkert.
”Der sker flere og flere angreb på hotelbranchen. Særligt målrettet og avanceret phishing. I værste fald kan det skade omdømmet, som er altafgørende for et hotel, der håndterer en masse personlige data om tusinder af gæster – lige fra pas- til kreditkortoplysninger,” siger Egzon Meha, Information og Security Officer i Comwell.
D-mærket har givet os en målstreg
Flere tusinde gæster og virksomheder besøger på årlig basis Comwells hoteller i Danmark. De mange besøg stiller store krav til Comwells digitale systemer og sikkerhed. Digitale systemer spiller en forretningskritisk rolle i administration af besøg, og samtidig skal virksomheder – herunder nogle af landets største – have sikker netværksadgang, når de holder konferencer og møder.
Derfor er der stort behov for ejerskab, viden om og engagement i it-sikkerhed i hele organisationen. Det er netop en af årsagerne til, at Comwell valgte D-mærket, fortæller it-chef Jesper Aarestrup.
”Vi vidste, at vi skulle arbejde ud fra et rammeværk, og jeg blev overbevist om D-mærket, fordi det både forholder sig til governance og samtidig stiller minimumskrav, der flugter med blandt andet NIS 2. D-mærket giver en målstreg, du kan arbejde hen imod, og det gør det lettere at få hele organisationen med, når de initiativer, vi indfører, kommer fra en valid, ekstern autoritet,” siger Jesper Aarestrup.
Et af de områder, hvor det er kommet til udtryk, er i forhold til træning af virksomhedens ansatte. D-mærkets kriterie 2 ”Awareness og sikker adfærd” stiller krav til løbende træning i it-sikkerhed, og det har blandt andet fået Comwell til at indføre en årlig beredskabsdag. Her bruger konference- og receptionschefer én gang om året en hel dag ude af huset, hvor de tester beredskabet i tilfælde af angreb. Præcis som mange gennemfører brandøvelser.
Øvelsen kræver stor opbakning i organisationen, for det er både ressourcekrævende og en logistisk udfordring at samle så mange ledere en hel dag. Derfor er der også behov for opbakning i organisationens øverste led.
”Der er stor opbakning fra Comwells ledelse, som prioriterer sikkerhed højt. Det er altafgørende, fordi det giver os et stærkt mandat til at gennemføre øvelser og iværksætte nye initiativer,” siger Jesper Aarestrup og uddyber:
”Processen hen imod D-mærket har også gjort det nemmere for os i samtaler med den øverste ledelse. D-mærket er med til at gøre it-sikkerhed til en mere håndgribelig størrelse. Derfor er der en tryghed i at få en ekstern validering,” forklarer han.
It-sikkerhed er en hårfin balance
Taler man med Jesper Aarestrup og Egzon Meha, opdager man hurtigt, at ejerskab har været et nøgleord i deres arbejde med it-sikkerhed. Ejerskab er nemlig ifølge begge helt afgørende, hvis en organisation med succes skal beskytte sig mod cybertruslerne.
For uden ejerskab kan der opstå konflikter mellem it-sikkerheden og forretningens drift.
”It-sikkerhed og forretning skal begge fungere, og det sker kun, når der er ejerskab i organisationen. Der er behov for at indføre initiativer med respekt for, at hverdagen også skal fungere. Det er en balance, for forretningen fungerer ikke, hvis du lukker for alt, og det er for usikkert, hvis du slet ikke sætter nogle rammer,” siger Jesper Aarestrup.
I tillæg til ejerskab er forståelse for it-sikkerhed og ansvarlig dataanvendelse afgørende. Den dimension er både Egzon Meha og Jesper Aarestrup særligt bevidste om. Derfor har de også fokuseret meget på at skabe en beredskabskultur i processen hen imod D-mærket.
”Det er vigtigt konstant at forklare sine initiativer. Det gør vi generelt meget ud af i Comwell, og det gælder også for it-sikkerhed. Ændringer, som it-sikkerhed ofte indebærer, går nemmere, når der er et formål og medarbejderne ved, hvorfor vi stiller de krav, vi gør, og at de kan se meningen i det,” siger Egzon Meha.
Netop derfor kommunikerer it-afdelingen ofte til medarbejderne, når store cyberangreb florerer i medierne. Ikke kun for at øge opmærksomheden, men fordi det giver en forståelse for, hvor omfattende konsekvenserne af cyberangreb kan være, og hvorfor det er vigtigt at have fokus på. Og det har en effekt.
”Crowdstrike var en øjenåbner for mange. Vi er vant til, at systemer bare kører, men hvad gør vi, når de pludselig stopper med det. Det kommunikerer vi aktivt til medarbejderne. Der har vi virkelig rykket os i processen mod D-mærket,” siger Egzon Meha.
Kort fortalt
Udfordring
Comwell ønskede at styrke it-sikkerheden med hjælp fra et rammeværk til at strukturere arbejdet. Samtidig ønskede de større ejerskab over it-sikkerheden i hele organisationen – lige fra den øverste ledelse til receptionen.
Løsning
Valget faldt på D-mærket, fordi det i tillæg til fokus på governance stiller minimumskrav til it-sikkerheden. Det giver virksomheden et målbillede at arbejde hen imod og samtidig en større forståelse for nødvendigheden af konkrete initiativer på tværs af organisationen.
Værdi
Comwell oplever generelt stor opbakning til arbejdet med it-sikkerhed på tværs af organisationen. It-afdelingen har opbakning fra den øverste ledelse, og så har D-mærket hjulpet i arbejdet med at skabe en beredskabskultur i hele virksomheden, så it-sikkerhed bliver en naturlig del af hverdagen, som ikke konflikter med forretningens drift.
Er I klar til at tage næste skridt mod bedre it-sikkerhed?
Udvalgte cases
Læs flere eksempler på, hvorfor virksomheder har valgt at gå i gang med D-mærket, og hvordan det har skabt værdi for dem.