It-sikkerheden skal uden undtagelse være i orden hos den nordjyske it-udvikler E-Komplet. Kundernes overlevelse afhænger af det. Med den nye bogføringslov som anledning og med D-mærkets kriterier i hånden er der kommet bedre styr på rettigheder, opdatering af it-udstyr og større forståelse for it-sikkerhed i hele organisationen.
En virksomheds it-sikkerhed er ikke længere bare et anliggende for virksomheden selv. Den vedrører hele værdikæden.
Netop den pointe er de ekstremt bevidste om i den nordjyske virksomhed E-Komplet, der tilbyder en samlet it-løsning til bygge- og håndværksbranchen.
”Vi skal som moderne udviklingshus have styr på it-sikkerhed og data. Det er afgørende for vores forretning, og det er afgørende for vores kunders forretning. De driver forretning gennem vores system, så hvis vi bliver ramt, kan det true deres eksistens. Det tager vi meget alvorligt,” siger Stig Jørgensen, der er udviklingschef i E-komplet.
Bogføringslov fører til D-mærket
E-Komplets kunder tæller primært el- og VVS-virksomheder med alt fra få til flere hundrede ansatte. De fleste driver alle dele af forretningen – lige fra oprettelse af en opgave til fakturering – gennem E-Komplets system, og derfor er de også helt afhængige af, at sikkerheden og behandlingen af data er i orden.
Det er også en af årsagerne til, at Bogføringsloven skærper kravene til it-sikkerhed for digitale bogføringssystemer. Kravene berører E-Komplet, og her har D-mærket været et godt afsæt til at sikre efterlevelse, vurderer Stig Jørgensen.
”D-mærket blev anbefalet på et kursus om den nye lovgivning. Vi kunne se klare sammenfald mellem, hvad Erhvervsstyrelsen og D-mærket stiller af krav, så det var en helt oplagt ramme at arbejde ud fra. Samtidig hjælper det os med at leve op til minimumskravene i NIS2, så processen har helt klart givet værdi,” siger han og uddyber:
”Vi har fået et helt andet overblik end tidligere. Vi blev tvunget til at formulere uskrevne processer, standardisere retningslinjer på tværs af afdelinger og tage et ekstra, kritisk blik på, hvad vi gør, når vi on- og offboarder medarbejdere.”
Det har eksempelvis ført til en strammere styring af de rettigheder, hver enkelt medarbejder får tildelt. I modsætning til tidligere starter medarbejdere nu helt uden rettigheder for at sikre, at ingen får rettigheder, de ikke har brug for.
”Vi slår ikke medarbejderne i hovedet”
Overblik og ro i maven er nogle af de nøgleord, Stig Jørgensen nævner, når han skal beskrive betydningen af arbejdet med D-mærket. At tankerne falder på lige netop de ord er ikke overraskende, for i tæt samarbejde med rådgiver Kenny Schødt fra Labtech Erhverv har E-Komplet arbejdet struktureret med hele organisationen.
I første omgang betød det en systematisk snak med afdelingslederne, hvor samtlige systemer blev kortlagt. Samtidig blev systemernes betydning for forretningen og sikkerhed vurderet. Ifølge Stig Jørgensen har det gjort en stor forskel, at de fik et overblik på virksomhedsniveau i stedet for afdelingsniveau.
”Vi kunne se mønstre og systemer på tværs af afdelinger. Det har gjort, at vi har kunne standardisere en lang række processer på tværs af vores afdelinger, så vi nu arbejder mere effektivt,” siger han.
Stig Jørgensen får nu med et fast interval rapporter fra alle virksomhedens enheder og systemer. De afslører, om bestemte enheder kører med en forældet version af et system, og det gør det nemmere at løse aktuelle sikkerhedsudfordringer eller justere processer.
Med den faste rapportering har det været særligt vigtigt at få medarbejderne med, vurderer han. Dels for at de forstår betydningen af it-sikkerhed for forretningen, men også fordi nogle i værste fald kan opleve, at de bliver kigget over skulderen.
”Vi løfter kun sikkerheden, hvis vi får medarbejderne med. Det får vi ikke, hvis de oplever, at vi slår dem i hovedet, fordi de ikke har gennemført en sikkerhedsopdatering. Ofte har de en god grund. Rapporterne bruger vi i højere grad til at se på, hvordan vi skaber processer, der skærper sikkerheden og passer til den enkelte medarbejders hverdag,” siger Stig Jørgensen.
Tal med dine samarbejdspartnere
Lige så bevidste E-Komplet er om, hvordan deres it-sikkerhed påvirker kundernes forretning, lige så bevidste er de om at stille krav til deres leverandørers sikkerhed. D-mærkets krav om netop dette har været anledning til at tage samtaler med samarbejdspartnere, som har været meget udbytterige.
Derfor anbefaler Stig Jørgensen også flere virksomheder at tage en snak med deres underleverandører. For her kan også være inspiration at hente.
”Vi er blevet mere bevidste om, hvordan vores samarbejdspartnere flyder ind i os. Vi skal sikre et sundt økosystem. De fleste har taget godt imod de samtaler og set det som en mulighed for at granske deres egne politikker. Vi har også lært noget af det, fx havde en af vores partnere en udførlig beredskabsplan brudt ned i 6, 12 og 24 timer. Det vil vi tage ved lære af,” forklarer han.
Generelt er han heller ikke i tvivl om, at der stadig er mulighed for at styrke sikkerheden yderligere.
”It-sikkerhed handler om løbende at gøre det bedre. Så frem mod gentildelingen af D-mærket om et år skal vi se på, hvor vi kan og skal sætte ind for at blive endnu sikrere,” siger Stig Jørgensen.