Sikkerhedsvurderinger

Transkript

1 Sikkerhedsvurderinger CERTA har specialiseret sig i at yde uafhængig og sagkyndig bistand til virksomheder i forbindelse med håndteringen af sikkerhedsmæssige trusler og risici. Et væsentlig element i CERTA s arbejde er at gennemføre sikkerhedsvurderinger for danske og udenlandske virksomheder. Dette kan ske enten som en særskilt vurdering eller i form af en årlig sikkerhedsvurdering til brug for virksomhedens bestyrelse. En sikkerhedsvurdering indebærer, at CERTA på grundlag af en konkret trusselsvurdering for virksomheden foretager en gennemgang, analyse og vurdering af virksomhedens sikkerhedsniveau og sikkerhedsforanstaltninger. Endvidere gennemføres en nærmere analyse af virksomhedens sikkerhedsrelaterede omkostninger med henblik på at identificere effektiviseringsmuligheder. Arbejdet munder ud i en samlet vurdering og konkrete anbefalinger, som CERTA ligeledes vil kunne bistå virksomhedens ledelse med at gennemføre. Formålet med en sikkerhedsvurdering er sikre, at virksomheden har et klart overblik over de sikkerhedsmæssige trusler og risici, som har betydning for virksomheden, kan træffe de nødvendige foranstaltninger med henblik på at beskytte virksomheden bedst muligt mod disse sikkerhedsmæssige trusler og risici, og er i stand til effektivt at forebygge og håndtere sikkerhedsmæssige hændelser og dermed begrænse eventuelle skadevirkninger i forhold til virksomheden. En sikkerhedsvurdering er i øvrigt særlig relevant i tilfælde, hvor virksomheden ønsker at blive betrygget i, at virksomheden er beskyttet på tilstrækkelig vis, at der ikke udvises forsømmelighed i virksomhedens håndtering af sikkerhedsmæssige trusler og risici, og at virksomheden har en effektiv ressourceanvendelse - også på det sikkerhedsmæssige område.

2 Sikkerhedsvurderingen kan omfatte hele virksomheden eller en del af denne, f.eks. en produktionsfacilitet i udlandet, ligesom sikkerhedsvurderingen kan fokusere på ét eller flere sikkerhedsmæssige områder, herunder: Fysisk sikring Personbeskyttelse Cyber- og informationssikkerhed Rejsesikkerhed Sikkerhed i forhold til insider-trusler Beredskab og krisestyring Sikkerhedsorganisation og anden sikkerhedsmæssig understøttelse CERTA tilbyder tre former for sikkerhedsvurderinger: Sikkerhedskortlægning (Security Survey) o Trusselsvurdering o Kortlægning af virksomhedens sikkerhed o Anbefalinger o Bistand til implementering Sikkerhedsgennemgang (Security Review) o Trusselsvurdering o Kortlægning af virksomhedens sikkerhed o Konsekvens- og sårbarhedsanalyse o Risikovurdering o Gennemgang af sikkerhedsniveau og sikkerhedsforanstaltninger o Anbefalinger og handlingsplan o Bistand til implementering Sikkerhedsevaluering (Security Evaluation/Security Audit) o Inspektion o Test og øvelse o Evaluering o (Revision/audit) o Anbefalinger o Bistand til implementering 2

3 Mens et Security Survey eller et Security Review vil omfatte hele eller dele af virksomheden samt alle eller enkelte af virksomhedens sikkerhedsområder, vil en Security Evaluation eller en Security Audit typisk være relevant i de tilfælde, hvor virksomheden målrettet har arbejdet med at opbygge og udvikle virksomhedens sikkerhed, f.eks. som følge af særlige sikkerhedsmæssige trusler, og hvor man ønsker en evaluering af, om virksomheden har nået sine mål, og om de iværksatte tiltag fungerer efter hensigten. En Security Audit indebærer i øvrigt, at der ud over en evaluering tillige gennemføres en sikkerhedsmæssig revision på grundlag af relevante standarder. 3

4 Årlig sikkerhedsvurdering for bestyrelser Som virksomhedsledelse må man i stadig større omfang forholde sig til, at virksomheden kan blive berørt af sikkerhedsmæssige trusler i form af bl.a. terrorisme, politisk ekstremisme, spionage og organiseret kriminalitet, herunder cyberkriminalitet. Udviklingen stiller virksomhedsledelserne over for nye, strategiske udfordringer. I sidste ende er det således et ledelsesmæssigt ansvar at sikre, at virksomheden også på det sikkerhedsmæssige område har en effektiv risikostyring, og at der er truffet de nødvendige foranstaltninger med henblik på beskytte virksomheden samt dens værdier, aktiviteter og omdømme bedst muligt. En ansvarlig virksomhedsledelse må nødvendigvis stille sig selv følgende spørgsmål: Har virksomheden fuldt overblik over de sikkerhedsmæssige trusler og risici, som kan have betydning for virksomheden? Hvad vil konsekvenserne være, og hvor sårbar er virksomheden, i tilfælde af en sikkerhedshændelse, og er virksomhedens sikkerhedsorganisation og beredskab tilstrækkelig og velfungerende? Er virksomhedens sikkerhedsniveau og sikkerhedskultur passende, og er der truffet de sikkerhedsforanstaltninger, der må anses for nødvendige, og som i øvrigt kan forventes af virksomheden? Anvender virksomheden på det sikkerhedsmæssige område sine ressourcer på en effektiv og hensigtsmæssig måde, herunder i forhold til virksomhedens sikkerhedsleverandører? Virksomhedens bestyrelse har ansvaret for den overordnede, strategiske ledelse af virksomheden og for at sikre en forsvarlig organisation samt de fornødne procedurer for risikostyring og interne kontroller. Dette er efter selskabslovgivningen en juridisk forpligtelse, hvor en tilsidesættelse efter omstændighederne kan medføre bl.a. erstatningsansvar. For bestyrelsen kan det være vanskeligt at danne sig et samlet og sammenhængende overblik over virksomhedens sikkerhedsmæssige situation eller at tage stilling, hvad det er for oplysninger, som bestyrelsen har brug for med henblik på at kunne danne sig et sådant overblik. 4

5 Behandlingen af sikkerhedsmæssige spørgsmål i bestyrelsen sker ofte fragmentarisk og uden det nødvendige strategiske fokus, hvilket gør det vanskeligt for bestyrelsen at varetage sine opgaver og forpligtelser i forhold til virksomhedens sikkerhed. Når det gælder virksomhedens sikkerhed, må bestyrelsen regelmæssigt og systematisk sikre sig, at virksomheden er beskyttet på tilstrækkelig vis i lyset af det aktuelle trusselsbillede, at der ikke udvises forsømmelighed i virksomhedens håndtering af sikkerhedsmæssige trusler og risici, og at virksomheden har en effektiv ressourceanvendelse på det sikkerhedsmæssige område. Disse vurderinger kræver typisk indsigt og kompetencer, som virksomheden ikke selv råder over i tilstrækkeligt omfang, og det kan derfor være både nødvendigt og hensigtsmæssigt at søge uafhængig og sagkyndig bistand. Dette gælder særligt, når bestyrelsens stillingtagen forudsætter en evaluering af virksomhedens egen indsats. CERTA har specialiseret sig i at yde uafhængig og sagkyndig bistand med henblik på bestyrelsers håndtering af sikkerhedsmæssige spørgsmål. CERTA tilbyder i den forbindelse at foretage en årlig vurdering af virksomhedens sikkerhed, således at bestyrelsen på grundlag af denne vurdering kan tage stilling til, om virksomheden er tilstrækkelig beskyttet mod de relevante sikkerhedsmæssige trusler og risici. Den årlige sikkerhedsvurdering indebærer, at CERTA på grundlag af en konkret trusselsvurdering for virksomheden foretager en gennemgang, analyse og vurdering af dels virksomhedens sikkerhedsniveau og sikkerhedsforanstaltninger, dels virksomhedens sikkerhedsorganisation, beredskab og krisestyring samt sikkerhedskultur. Der vil som led i vurderingen blive foretaget en evaluering af relevante strategier, politikker og planer. Endvidere vil der blive gennemført en nærmere analyse af virksomhedens sikkerhedsrelaterede omkostninger med henblik på at identificere effektiviseringsmuligheder. Arbejdet munder ud i en samlet vurdering og konkrete anbefalinger, som CERTA eventuelt vil kunne bistå virksomhedens ledelse med at gennemføre. 5

6 Den årlige sikkerhedsvurdering, der udarbejdes i samarbejde med virksomheden, vil kunne tilpasses bestyrelsens konkrete ønsker og behov, ligesom der i forbindelse med sikkerhedsvurderingen vil kunne fokuseres på særlige områder af betydning for virksomhedens sikkerhed. Der vil som led i den årlige sikkerhedsvurdering tillige kunne gennemføres en sikkerhedsmæssig revision (Security Audit) på grundlag af relevante standarder. Endvidere vil der som led i den årlige sikkerhedsvurdering og efter nærmere aftale kunne foretages inspektion, afprøvning, test eller øvelser i forhold til specifikke dele af virksomhedens sikkerhed. Den årlige sikkerhedsvurdering vil efter omstændighederne inddrage og tage højde for øvrige evalueringer mv. af betydning for virksomhedens sikkerhed, herunder f.eks. virksomhedens IT-revision. 6