CERTA yder rådgivning og anden form for bistand og støtte vedrørende sikkerhedsmæssige spørgsmål.

Transkript

1 Om CERTA s ydelser CERTA yder rådgivning og anden form for bistand og støtte vedrørende sikkerhedsmæssige spørgsmål. CERTA s ydelser omfatter bl.a. Sikkerhedsmæssige risikovurderinger CERTA udarbejder sikkerhedsmæssige risikovurderinger til brug for virksomheders strategiske beslutninger, f.eks. om etablering på nye markeder, udvikling af infrastruktur samt indgåelse af væsentlige aftaler med kunder, partnere eller underleverandører. En sikkerhedsmæssig risikovurdering tilvejebringer et overblik over dels de konkrete sikkerhedsmæssige risici, dels mulighederne for at træffe foranstaltninger med henblik på at eliminere eller begrænse disse risici. Sikkerhedsundersøgelser CERTA gennemfører sikkerhedsundersøgelser af personer i forbindelse med tillidshvervs og ansættelsesforhold mv., som indebærer stort og selvstændigt ansvar, adgang til følsomme oplysninger, varetagelse af økonomiske værdier eller ansvarsområder af kritisk betydning, eller som i øvrigt har karakter af betroede funktioner, hvor illoyalitet, indiskretion eller deciderede sikkerhedsbrud kan have alvorlig skadevirkning. Formålet med en sikkerhedsundersøgelse er at afklare, om der er forhold, som kan skabe tvivl om personens pålidelighed, troværdighed og dømmekraft, eller om der i øvrigt foreligger særlige sikkerhedsmæssige betænkeligheder. En sikkerhedsundersøgelse kan gennemføres på fire forskellige niveauer: o Screening o Background Check o Extended Background Check o Vetting

2 Due Diligence I en række sammenhænge er det både nødvendigt og hensigtsmæssigt at få foretaget en sikkerhedsundersøgelse af en anden virksomhed. Dette gælder bl.a. ved virksomhedsovertagelser og i andre aftalesituationer, hvor det er ønskeligt at få klarlagt eventuelle sikkerhedsmæssige risici forud for indgåelsen af en aftale med en konkret virksomhed, og hvor det er væsentligt, at der udvises den fornødne omhu og ansvarlighed ved tilvejebringelsen og vurderingen af oplysninger af betydning for aftaleindgåelsen. CERTA gennemfører sådanne sikkerhedsundersøgelser i form af: o Security Risk Due Diligence Report o Corporate Vetting Undersøgelse af uregelmæssigheder CERTA råder over medarbejdere, der har omfattende viden og erfaring, når det gælder undersøgelsen og efterforskningen af uregelmæssigheder samt disciplinære og strafbare forhold, herunder bestikkelse, korruption, hvidvask af penge, bedrageri, underslæb og andre økonomiske forbrydelser. Denne ekspertise stiller CERTA til rådighed for virksomheder, der har behov for rådgivning eller anden form for bistand som led i håndteringen af sager, hvor der er mistanke om uregelmæssigheder af betydning for den enkelte virksomhed. CERTA s rådgivning og bistand omfatter bl.a.: o Sagkyndig bistand til undersøgelse af uregelmæssigheder o Whistleblower-ordninger o Personundersøgelser i forsikrings- og pensionssager 2

3 Sikkerhedsorganisation For mange virksomheder er det vanskeligt og uforholdsmæssigt ressourcekrævende selv at opbygge en intern sikkerhedsorganisation, der besidder alle de fornødne kapaciteter og kompetencer. CERTA tilbyder derfor helt eller delvist at varetage de opgaver, der forudsættes løst af en intern sikkerhedsorganisation enten som supplement til eller en erstatning for egen sikkerhedsorganisation. Dette omfatter ligeledes uafhængig og sagkyndig bistand i forbindelse med virksomheders indkøb af sikkerhedsydelser og brug af sikkerhedsleverandører. CERTA s ydelser omfatter bl.a.: o Corporate Security Officer (CSO) Services o Corporate Information Security Officer (CISO) Services o Travel Security Officer (TSO) Services o Security Procurement Sikkerhedsvurderinger En sikkerhedsvurdering indebærer, at CERTA på grundlag af en konkret trusselsvurdering for virksomheden foretager en gennemgang, analyse og vurdering af virksomhedens sikkerhedsniveau og sikkerhedsforanstaltninger. Endvidere gennemføres en nærmere analyse af virksomhedens sikkerhedsrelaterede omkostninger med henblik på at identificere effektiviseringsmuligheder. Arbejdet munder ud i en samlet vurdering og konkrete anbefalinger, som CERTA ligeledes vil kunne bistå virksomhedens ledelse med at gennemføre. En sikkerhedsvurdering kan omfatte hele virksomheden eller en del af denne, ligesom sikkerhedsvurdering kan fokusere på ét eller flere sikkerhedsmæssige områder. Den konkrete gennemførelse af sikkerhedsvurderingen sker på ét af følgende niveauer: o Sikkerhedskortlægning (Security Survey) o Sikkerhedsgennemgang (Security Review) o Sikkerhedsevaluering (Security Evaluation/Security Audit) o Årlig sikkerhedsvurdering til brug for bestyrelser (Annual Security Report) 3

4 Sikkerhedskultur Mange virksomheder arbejder allerede med sikkerheds i form af politikker og beredskabsplaner, IT-sikkerhed og fysiske sikringstag. Sikkerhed skal imidlertid integreres i arbejdsrutiner og kultur. Ellers er effekten begrænset og investeringerne i sikkerhed risikerer at være spildt. Det er derfor afgørende at skabe den nødvendige sikkerhedsbevidsthed blandt medarbejderne og sikre en adfærd, som ikke udsætter virksomhed og medarbejdere for unødige risici. CERTA bistår virksomheder med at udvikle og fastholde en afbalanceret sikkerhedskultur, som understøtter virksomhedens øvrige sikkerhedsarbejde og øger robustheden i virksomheden. Cyber-sikkerhed CERTA yder rådgivning og bistand med henblik på opbygning og udvikling af virksomheders cyber-sikkerhed. CERTA s rådgivning og bistand omfatter bl.a.: o Cyber Review Et Cyber Review indebærer, at CERTA foretager en gennemgang af virksomhedens cyber-sikkerhed med henblik på at identificere områder, hvor sikkerheden bør udbygges og styrkes. CERTA s vurderinger og anbefalinger udarbejdes på grundlag af en konkret trussels- og risikovurdering, en teknisk gennemgang af virksomhedens netværk og en analyse af eksisterende sikkerhedsforanstaltninger. o Cyber Defence Et effektivt cyber-forsvar forudsætter, at den enkelte virksomhed kan agere proaktivt i forhold til konkrete trusler, og at virksomheden er i stand til hurtigt at erkende, afdække samt afværge konkrete angreb og derved begrænse eventuelle skadevirkninger mest muligt. CERTA tilbyder i den forbindelse tre ydelser, som udgør grundlæggende elementer i et effektivt cyber-forsvar: Cyber Intelligence Cyber Monitoring Cyber Response 4

5 Rejsesikkerhed CERTA bistår virksomheder med at tilvejebringe størst mulig sikkerhed for deres ledere, medarbejdere og gæster under rejser og ophold i udlandet. CERTA har i den forbindelse udviklet rejsesikkerhedskoncepter, der omfatter: o Rejsesikkerhed for virksomheder og deres medarbejdere o VIP-rejsesikkerhed o Sikkerhedskoordinator o Rejsesikkerhed for rejsearrangører og deres gæster Særlige former for sikkerhed CERTA tilbyder rådgivning og anden form for bistand vedrørende en række særlige former for sikkerhed og sikkerhedsmæssige foranstaltninger. Dette gælder bl.a.: o Hotelsikkerhed o Arrangement- og eventsikkerhed o Sweeping o Tiger-kidnapninger o Beskyttelse af kilder og kontakter i udlandet o Counter Terrorism Training (sikkerhedsansvarlige og vagtpersonale) Inden for det sikkerhedsmæssige område udfører CERTA desuden strategiske vurderinger samt analyse- og udviklingsprojekter af samfundsmæssig betydning. CERTA har bl.a. udført følgende projekter: Analyseprojekt for TrygFonden vedrørende modstandskraft mod radikalisering og voldelig ekstremisme (et eksplorativt studie af modstandskraft i udvalgte danske lokalmiljøer). Rapporten, som blev offentliggjort i februar 2016, er tilgængelig på Udviklingsprojekt for Industriens Fond vedrørende industrispionage rettet mod små og mellemstore virksomheder (se 5

6 Sikkerhedsmæssige risikovurderinger Private virksomheder må i dag forholde sig til stadig flere og nye sikkerhedsmæssige risici samt et trusselsbillede, som for den enkelte virksomhed er både dynamisk og komplekst. Dette hænger bl.a. sammen med, at alvorlige sikkerhedsmæssige trusler som terrorisme, politisk ekstremisme, spionage og organiseret kriminalitet i stigende grad er rettet mod eller berører private virksomheder. Hertil kommer, at private virksomheder ofte opererer steder i udlandet, hvor særlige sikkerhedsmæssige forhold gør sig gældende, og at den teknologiske udvikling har gjort virksomhederne mere sårbare over for bl.a. cyber-trusler. For en virksomhed er der i en række situationer behov for at kunne danne sig et klart overblik over de sikkerhedsmæssige risici, som konkret har betydning for den enkelte virksomhed, med henblik på at vurdere, om disse risici er acceptable for virksomheden, eller om der kan og bør træffes foranstaltninger for at eliminere eller begrænse de sikkerhedsmæssige risici. Det gælder bl.a. i forbindelse med beslutninger af strategisk betydning for virksomheden, herunder Etablering af virksomheden på nye markeder Virksomhedsopkøb Indgåelse af partnerskaber, strategiske alliancer, forhandleraftaler, franchiseaftaler mv. Aftaler med underleverandører, key-accounts mv. Outsourcing Udvikling af virksomhedens faciliteter, informations- og kommunikationssystemer samt øvrige infrastruktur Udarbejdelsen af sådanne risikovurderinger kræver imidlertid særlig indsigt og kompetencer på det sikkerhedsmæssige område, som den enkelte virksomhed sjældent selv besidder eller har mulighed for at opbygge og fastholde. CERTA har derfor specialiseret sig i at udarbejde sikkerhedsmæssige risikovurderinger til brug for virksomheders strategiske beslutningsprocesser. 6

7 I risikovurderingerne, der udarbejdes under inddragelse af CERTA s reasearchere, analytikere og sikkerhedsrådgiver, indgår følgende elementer: En trusselsvurdering, som indeholder beskrivelse og vurdering af virksomhedens profil, værdier og situation, dvs. hvad der er på spil; det overordnede trusselsbillede, dvs. den relevante kontekst; beskrivelse og vurdering af modstanderes motivation, vilje, evne, kapacitet og mål, dvs. truslernes omfang og karakter for virksomheden; beskrivelse af modus og scenarier, dvs. konkretisering af trusselsspektrum; samlet vurdering og eventuelt en værdisætning af trusselsniveauet. En konsekvensvurdering, der fokuserer på såvel umiddelbare effekter som mere overordnede og langsigtede konsekvenser, hvis de beskrevne trusler realiseres. En sårbarhedsvurdering, som indeholder en gennemgang af de etablerede sikkerhedsforanstaltninger og på den baggrund vurderer virksomhedens sårbarhed i forhold til det skitserede trusselsbillede. En samlet risikovurdering, som sammenfatter de forskellige elementer ved at sammenholde trussel, sårbarhed, sandsynlighed og konsekvens. Anbefalinger, som oplister hvordan virksomheden bedst muligt reducerer risici til, hvad der betragtes som et acceptabelt niveau, og eventuelt estimerer omkostningerne i forbindelse med de forskellige dele af en sådan risikoreduktion. 7

8 Sikkerhedsundersøgelser Hvornår er en sikkerhedsundersøgelse relevant? I en række sammenhænge er det både nødvendigt og hensigtsmæssigt at få foretaget en sikkerhedsundersøgelse af en person. Dette gælder bl.a. i forbindelse med udpegningen til ansvarsfulde tillidshverv samt indgåelsen af ansættelsesaftaler og andre aftaler, hvor det er ønskeligt forudgående at få klarlagt eventuelle sikkerhedsmæssige risici, således at disse kan indgå i den samlede bedømmelse af den pågældende person. CERTA råder over særlig ekspertise, når det gælder sådanne sikkerhedsundersøgelser, og CERTA foretager sikkerhedsundersøgelse af personer efter begæring af en privat part, der har en berettiget og legitim interesse i at få foretaget undersøgelsen. Formålet Formålet med en sikkerhedsundersøgelse er at afklare, om der er forhold, som kan skabe tvivl om en persons pålidelighed, troværdighed og dømmekraft, og som derfor har betydning for bedømmelsen af, om man kan have den fornødne tillid til vedkommende, eller om der i øvrigt er særlige sikkerhedsmæssige betænkeligheder, som gør sig gældende i forhold til den pågældende person. En sikkerhedsundersøgelse af en person er særlig relevant i forbindelse med tillidshverv eller ansættelsesforhold, der indebærer: Stort og selvstændigt ansvar. Adgang til følsomme oplysninger. Varetagelsen af økonomiske værdier eller ansvarsområder af kritisk betydning. Betroede funktioner, hvor illoyalitet, indiskretion eller deciderede sikkerhedsbrud kan have alvorlig skadevirkning. 8

9 Sikkerhedsundersøgelsen bidrager til at kvalificere beslutningsgrundlaget og reducere risici ved udpegningen til tillidshverv, ansættelser mv. Samtidig indebærer sikkerhedsundersøgelsen, at der ikke efterfølgende vil være grundlag for at bebrejde den, som har begæret sikkerhedsundersøgelsen, for manglende omhu og ansvarlighed ved tilvejebringelsen og vurderingen af oplysninger om den relevante person forud for udpegningen, ansættelsen eller lignende. Fire former for sikkerhedsundersøgelse En undersøgelse af en person kan gennemføres på fire forskellige niveauer: 1. Screening, hvor der indsamles, bearbejdes og analyseres oplysninger relateret til den pågældende person fra åbne kilder, herunder med henblik på at danne et billede af personens fremtræden, adfærd og relationer på bl.a. internettet. 2. Background Check, hvor der, ud over screeningen, indhentes, gennemgås og verificeres relevante oplysninger om personen, herunder i form af baggrunds- og referencetjek for så vidt angår uddannelse, erhvervsmæssige forhold mv. 3. Extended Background Check, hvor der tillige gennemføres en undersøgelse af økonomiske forhold, herunder ved en gennemgang af personens skatteoplysninger. 4. Vetting, hvor der ud over screening og baggrundstjek (eventuelt i form af et udvidet baggrundstjek) gennemføres et sikkerhedsinterview med den pågældende person med henblik på at foretage en mere indgående vurdering af den pågældendes pålidelighed, troværdighed og dømmekraft samt eventuelle eksponering i forhold til risikoen for f.eks. afpresning. Resultaterne af sikkerhedsundersøgelsen vil blive sammenfattet i en resumé-rapport. Herudover udarbejdes der en rapport om selve undersøgelsen med dokumentation af de undersøgelsesskridt, der er foretaget, og de oplysninger, der er tilvejebragt. 9

10 Hvem foretager sikkerhedsundersøgelsen? Gennemførelsen af en fyldestgørende sikkerhedsundersøgelse forudsætter særlig ekspertise. CERTA arbejder på grundlag af metoder og kompetencer, der anvendes af efterretnings- og sikkerhedstjenester, og CERTA s sikkerhedsundersøgelser foretages af researchere og analytikere, som har indgående erfaring med efterretningsarbejde. Ved gennemførelsen af en egentlig vetting inddrages tillige rådgivere med særlig efterforskningsmæssig baggrund og erfaring inden for psykologisk profilering. Diskretion, fortrolighed og databeskyttelse CERTA s sikkerhedsundersøgelser foretages i diskretion og under iagttagelse af fortrolighed samt den fornødne beskyttelse af personfølsomme oplysninger. En screening vil normalt blive gennemført uden samtykke fra den undersøgte person, og uden at den pågældende får kendskab til, at der foretages en screening. Et baggrundstjek kan gennemføres såvel med som uden samtykke og eventuel fuldmagt fra den person, som undersøgelsen vedrører. Et baggrundstjek, der gennemføres med samtykke og eventuel fuldmagt, vil give adgang til flere oplysninger, end hvis undersøgelsen gennemføres uden samtykke og eventuelt fuldmagt. Der vil som led i et baggrundstjek kunne træffes foranstaltninger med henblik på at sikre, at den undersøgte ikke får nærmere kendskab til undersøgelsens formål og baggrund eller til oplysninger om, hvem der har begæret undersøgelsen. Det vil imidlertid ikke fuldstændig kunne udelukkes, at den pågældende får kendskab til, at der indsamles oplysninger om den pågældende. Et udvidet baggrundstjek vil normalt forudsætte den pågældende persons samtykke og eventuelle fuldmagt, mens en vetting i alle tilfælde forudsætter samtykke og eventuel fuldmagt samt den pågældende persons aktive medvirken. De personoplysninger, der er tilvejebragt som led i en sikkerhedsundersøgelse, vil ikke efterfølgende blive lagret eller behandlet hos CERTA. 10

11 Due Diligence I en række sammenhænge er det både nødvendigt og hensigtsmæssigt at få foretaget en sikkerhedsundersøgelse af en anden virksomhed. Dette gælder bl.a. i situationer, hvor det er ønskeligt at få klarlagt eventuelle sikkerhedsmæssige risici forud for indgåelsen af aftaler med en konkret virksomhed, og hvor det er væsentligt, at der udvises den fornødne omhu og ansvarlighed ved tilvejebringelsen og vurderingen af oplysninger af betydning for aftaleindgåelsen. I forbindelse med virksomhedsovertagelser kan CERTA foretage en sikkerhedsundersøgelse af den virksomhed, som i givet fald overtages. Resultaterne af undersøgelsen sammenfattes i en: Security Risk Due Diligence Report En Security Risk Due Diligence Report udarbejdes til brug for de due diligence undersøgelser, der i øvrigt foretages i forbindelse med en virksomhedsovertagelse. Formålet er at give den potentielle køber et overblik over de sikkerhedsmæssige forhold i virksomheden forud for overtagelsen. Sikkerhedsundersøgelsen bidrager således til at klarlægge de sikkerhedsmæssige risici, som er knyttet til virksomheden, samt i hvilken udtrækning der allerede er foretaget de nødvendige investeringer for at beskytte virksomheden mod disse risici. Rapporten giver den potentielle køber en mulighed for at vurdere, om der vil skulle foretages væsentlige sikkerhedsmæssige investeringer efter en eventuel overtagelse af virksomheden, og hvilken betydning dette i givet fald bør have for købsprisen. Der vil som led i en Security Risk Due Diligence Report kunne foretages en nærmere sikkerhedsmæssig undersøgelse af nøglepersoner i virksomheden, ligesom der vil kunne foretages en IT-sikkerhedsgennemgang samt en vurdering af sikkerhedskompabilitet med henblik på afdækning af eventuelle omkostninger ved integrering af forskellige sikkerhedssystemer. 11

12 I andre tilfælde, herunder ved indgåelse af partnerskaber, strategiske alliancer, forhandler- og franchiseaftaler, leverandør- og kundeaftaler samt aftaler om outsourcing, kan CERTA foretage en sikkerhedsundersøgelse af den virksomhed, som aftalen påtænkes indgået med. Undersøgelsen gennemføres i disse tilfælde i form af en: Corporate Vetting Ved en Corporate Vetting indsamler, analyserer og vurderer CERTA relevante oplysninger om den pågældende virksomhed. Formålet er i den forbindelse at afklare, om der er forhold, som er egnede til at skabe tvivl om, hvorvidt man kan have den fornødne tillid til virksomheden, og om der i øvrigt er særlige sikkerhedsmæssige risici eller sikkerhedsmæssige betænkeligheder, som gør sig gældende i forhold til den pågældende virksomhed og en eventuel aftaleindgåelse med denne virksomhed. Sikkerhedsundersøgelsen bidrager i dette tilfælde til dels at kvalificere beslutningsgrundlaget og reducere risici i forbindelse med indgåelsen af væsentlige aftaler. 12

13 Undersøgelse af uregelmæssigheder CERTA råder over medarbejdere, der har omfattende viden og erfaring fra bl.a. politi og efterretningstjenester, når det gælder undersøgelsen og efterforskningen af uregelmæssigheder samt disciplinære og strafbare forhold, herunder i forhold til bestikkelse, korruption, hvidvask af penge, bedrageri, underslæb og andre økonomiske forbrydelser. Denne ekspertise stiller CERTA til rådighed for virksomheder, der har behov for rådgivning eller anden form for bistand som led i håndteringen af sager, hvor der er mistanke om uregelmæssigheder af betydning for den pågældende virksomhed. CERTA s rådgivning og bistand henblik på undersøgelsen af uregelmæssigheder omfatter bl.a.: Sagkyndig bistand ved undersøgelsen af uregelmæssigheder Etablering og administration af whistleblower-ordninger Personundersøgelser i forsikrings- og pensionssager CERTA yder desuden rådgivning og bistand til virksomheder med henblik på etablering og administration af ordninger, som tager sigte på at opfylde særlige forpligtelser, når det gælder håndteringen af sager, hvor der er mistanke om hvidvask af penge. 13

14 Sagkyndig bistand til undersøgelse af uregelmæssigheder CERTA yder uafhængig rådgivning og sagkyndig bistand til virksomheders interne undersøgelse af sager, hvor der er mistanke om uregelmæssigheder, som kan give anledning til ledelsesmæssige dispositioner, herunder i form af disciplinære sanktioner, politianmeldelse, civilretlige krav eller afbrydelse af et samarbejdsforhold. Når der i en virksomhed opstår mistanke om uregelmæssigheder, vil det ofte stille virksomheden over for vanskelige overvejelser: Er mistanken tilstrækkelig til at iværksætte yderligere undersøgelser, og kan mistanken eventuelt underbygges? Hvilke undersøgelser kan og bør iværksættes, og er der grundlag for at inddrage særlige ekspertise? Hvordan kan undersøgelserne gennemføres på en forsvarlig måde og med den fornødne fortrolighed? Hvordan sikres fornødne beviser og dokumentation som led i undersøgelserne? Hvornår må undersøgelsesmulighederne anses for udtømt og mistanken tilstrækkelig undersøgt? Hvorledes må resultaterne af undersøgelserne bedømmes, og hvilke yderligere skridt kan undersøgelserne give anledning til at foretage? CERTA hjælper virksomheder med at besvare disse spørgsmål og med at gennemføre de undersøgelser, der må anses for nødvendige og hensigtsmæssige, og som vil kunne forventes af en ansvarlig organisation. Formålet med denne bistand er således ikke blot at sikre en korrekt håndtering af den konkrete sag, men også at der ikke efterfølgende vil kunne rejses berettiget tvivl om, hvorvidt virksomheden og dens ledelse har udvist den fornødne omhu og ansvarlighed. CERTA s rådgivning og bistand i sager, hvor der er mistanke om uregelmæssigheder, vil blive ydet af konsulenter med omfattende efterretnings- og efterforskningserfaring på strategisk og operativt niveau. Konsulenterne vil blive understøttet af analytikere og researchere, der vil assistere ved indhentningen, bearbejdningen og analysen af oplysninger som led i undersøgelserne. CERTA vil ligeledes kunne stille særlige kapaciteter og kompetencer til rådighed med henblik på gennemførelsen af tekniske undersøgelser, interviews og samtaler mv. 14

15 CERTA vil som led i den konkrete rådgivning og bistand ligeledes kunne varetage eller vejlede om kontakten til danske eller udenlandske myndigheder samt andre parter, der vil kunne bidrage til undersøgelserne, eller vil skulle træffe foranstaltninger på baggrund af undersøgelserne. Dette gælder bl.a. i forbindelse med forberedelsen og gennemførelsen af en politianmeldelse. CERTA s rådgivning og bistand forudsætter, at CERTA får lejlighed til at gennemgå de relevante oplysninger i sagen. Tilvejebringelsen af yderligere oplysninger sker efter nærmere aftale mellem CERTA og den enkelte virksomhed, og alle oplysninger behandles fortroligt også efter sagens afslutning. Der vil mellem virksomheden og CERTA kunne indgås aftale om løbende bistand med henblik på gennemgang og vurdering af sager, hvor der er mistanke om uregelmæssigheder. Som led i en løbende vil bistand vil der bl.a. kunne etableres en visitationsordning, hvor CERTA bistår virksomheden med at identificere de sager, der kan give anledning til mistanke om uregelmæssigheder. 15

16 Whistleblower-ordninger Flere og flere virksomheder vælger at etablere whistleblower-ordninger, som dels giver medarbejderne mulighed for anonymt at rapportere om alvorlige lovovertrædelser i virksomheden, dels giver ledelsen mulighed for at opdage uregelmæssigheder på et tidligt stadie og gribe ind for derved at begrænse skadevirkningerne. Whistleblower-ordninger udgør at væsentligt supplement til virksomhedens normale hierarkiske kommunikationsveje og anbefales i øvrigt som god Corporate Governance for børsnoterede virksomheder. Andre virksomheder kan dog også drage fordel af en whistleblower-ordning, og der er i stadig større omfang internationale krav og forventninger om, at virksomheder etablerer whistleblower-ordninger som led indsatsen mod bl.a. bestikkelse og korruption. Finansielle virksomheder er i øvrigt lovgivningsmæssigt forpligtede til at etablere whistleblower-ordninger, hvor ansatte anonymt kan anmelde mistanke om overtrædelse af den finansielle regulering. Whistleblower-ordninger skal anmeldes til og godkendes af Datatilsynet, og der gælder i den forbindelse særlige regler og retningslinjer for indretningen og anvendelsen af whistleblower-ordninger, herunder om hvilke forhold, der må rapporteres om, hvem der må foretage indberetning, og hvem der må foretages indberetning om, samt om oplysningspligt over for den indberettede. Der er en række spørgsmål, som en virksomhed skal tage stilling til ved etableringen af en whistleblower-ordning. Virksomheden skal således bl.a. træffe beslutning om den praktiske indberetningsform og om, hvordan der sikres den fornødne anonymitet og uafhængighed i forhold til den daglige ledelse. Endvidere vil der skulle tages stilling til, hvem der skal være ansvarlig for den nærmere undersøgelse af indberetningerne, og hvordan der tilvejebringes de nødvendige kompetencer med henblik på sådanne undersøgelser. Mange virksomheder vælger i den forbindelse at henlægge håndteringen af indberetningerne eller en del af håndteringen til en ekstern part med særlig ekspertise på området. CERTA har udviklet en sådan særlig ekspertise, og CERTA yder rådgivning og bistand med henblik på såvel etableringen som administrationen af whistleblower-ordninger i den enkelte virksomhed. 16

17 CERTA s rådgivning og bistand kan bl.a. omfatte Udarbejdelse af databehandleraftaler og anmeldelse til Datatilsynet Teknisk og praktisk implementering af indberetningsordningen Fastlæggelse af whistleblower-politikker Modtagelse og behandling af indberetninger Undersøgelse af indberetninger Vurdering og anbefalinger til virksomhedens ledelse 17

18 Personundersøgelser i forsikrings- og pensionssager Forsikrings- og pensionsselskaber udbetaler betydelige beløb til forsikringstagere for tabt erhvervsevne efter sygdom eller ulykker. I en række sager er der imidlertid tvivl om, hvorvidt grundlaget for at udbetale erstatning og pension for tabt arbejdsevne var eller fortsat er til stede. Forsikringsbranchen anslår selv, at der i ca. 5 % af sagerne sker uberettiget udbetaling på grund af, at forsikringstager afgiver urigtige oplysninger om egen helbredstilstand. I flere tilfælde gennemfører forsikrings- og pensionsselskaber selv nærmere undersøgelser i de sager, hvor der er mistanke om, at udbetalingerne hviler på et urigtigt grundlag. CERTA Intelligence & Security kan bidrage til disse undersøgelser ved at foretage målrettede personundersøgelser med henblik på at få et bedre grundlag for at be- eller afkræfte forsikrings- eller pensionsselskabets mistanke. Det indebærer bl.a. at afdække, om der på internettet findes oplysninger, som kan skabe tvivl om rigtigheden af de oplysninger, som den undersøgte har afgivet over for forsikrings- eller pensionsselskabet. Undersøgelsen gennemføres i fortrolighed og i overensstemmelse med databeskyttelseslovgivningen og andre relevante regler, og resultatet præsenteres i en rapport, der bl.a. indeholder den eventuelle dokumentation, som vil kunne have bevismæssige betydning. Personundersøgelsen vil kunne danne grundlag for forsikrings- eller pensionsselskabets beslutning om, hvorvidt der er grundlag for at foretage yderligere undersøgelser, og hvorledes disse i givet fald kan tilrettelægges og målrettes at tage skridt til at indstille pensions- eller forsikringsudbetalingen, indgive politianmeldelse og/eller gøre krav gældende mod den pågældende person. 18

19 Sikkerhedsorganisation (CSO Services) For mange virksomheder gælder det, at det er vanskeligt og uforholdsmæssigt ressourcekrævende selv at opbygge en intern sikkerhedsorganisation, der har de fornødne kapaciteter og kompetencer. CERTA tilbyder derfor helt eller delvist at varetage de opgaver, der forudsættes løst af en intern sikkerhedsorganisation enten som et supplement til eller en erstatning for egen sikkerhedsorganisation. Dette indebærer, at CERTA løbende i forhold til den enkelte virksomhed løser følgende opgaver: Udarbejdelse af relevante trussels- og risikoanalyser samt sikkerhedsvurderinger Fastlæggelse af strategier, politikker og retningslinjer, herunder for behandling af sensitive oplysninger Sikkerhedsmæssig instruktion, uddannelse og træning af medarbejdere Etablering af den nødvendige fysiske sikring, personbeskyttelse og informationssikkerhed Håndtering af konkrete sikkerhedsspørgsmål, herunder interne undersøgelser og efterforskninger Beredskabsplanlægning og krisestyring Udvikling og implementering af konkrete sikkerhedsprojekter Varetagelse af sikkerhedsopgaver i forhold til udstationerede medarbejdere CERTA vil ligeledes - helt eller delvist - kunne varetage ansvaret for informationssikkerheden (Corporate Information Security Officer - CISO - Services) eller rejsesikkerheden (Travel Security Officer - TSO - Services) i en specifik virksomhed. Dette vil enten kunne ske særskilt eller som en integreret del af en samlet Corporate Security Officer - CSO - Service. 19

20 CERTA har desuden specialiseret sig i at yde uafhængig og sagkyndig bistand til virksomheder i forbindelse med virksomhedens indkøb af sikkerhedsydelser og brug af eksterne sikkerhedsleverandører (Security Procurement). Formålet med denne rådgivning og bistand er at sikre, at virksomheden køber de rigtige sikkerhedsydelser til den rigtige pris, at ydelserne leveres i den fornødne og aftalte kvalitet, og at virksomhederne kan have tillid til sikkerhedsleverandøren. 20

21 Security Procurement Private virksomheder må i dag forholde sig til stadig flere og nye sikkerhedsmæssige trusler og risici samt et trusselsbillede, som for den enkelte virksomhed er både dynamisk og komplekst. Dette hænger bl.a. sammen med, at alvorlige sikkerhedsmæssige trusler som terrorisme, politisk ekstremisme, spionage og organiseret kriminalitet i stigende grad er rettet mod eller berører private virksomheder. Hertil kommer, at private virksomheder ofte opererer steder i udlandet, hvor særlige sikkerhedsmæssige forhold gør sig gældende, og at den teknologiske udvikling har gjort virksomhederne sårbare over for bl.a. cyber-trusler. Udviklingen har betydet, at virksomheder løbende må træffe nødvendige sikkerhedsforanstaltninger og anvende ikke ubetydelige ressourcer på at beskytte virksomhedens værdier, aktiviteter og medarbejdere. Iværksættelsen og gennemførelsen af konkrete sikkerhedsforanstaltninger - såvel i Danmark som i udlandet - sker typisk under anvendelse af eksterne sikkerhedsleverandører, herunder vagt- og sikringsfirmaer, IT-virksomheder mv. Dette gælder i forhold til såvel den fysiske sikring af bygninger mv., beskyttelsen af personer samt implementeringen af IT-sikkerhedsløsninger. Når virksomheder anvender eksterne sikkerhedsleverandører, er det vigtigt at sikre, at virksomheden køber de rigtige sikkerhedsydelser til den rigtige pris, at ydelserne leveres i den fornødne og aftalte kvalitet, og at virksomheden i øvrigt kan have tillid til sikkerhedsleverandøren. Med en dynamisk og komplekst trusselsbillede kan det for en virksomhed være vanskeligt selv at opbygge og fastholde den nødvendige indsigt og kompetence med henblik på at sikre, at virksomheden i forhold til eksterne sikkerhedsleverandører anvender sin ressourcer på en effektiv og hensigtsmæssig måde. Samtidig er det for den enkelte virksomhed en utilfredsstillende løsning at lade sig rådgive om disse forhold af netop sikkerhedsleverandører, der har en interesse i at afsætte specifikke sikkerhedsydelser til virksomheden. 21

22 CERTA har derfor specialiseret sig i at yde uafhængig og sagkyndig bistand til virksomheder i forbindelse med virksomhedens indkøb af sikkerhedsydelser og brug af eksterne sikkerhedsleverandører. CERTA kan yde rådgivning og bistand i alle faser af en virksomheds indkøb af sikkerhedsydelser og brug af eksterne sikkerhedsleverandører, herunder i forbindelse med forberedelsen og gennemførelsen af konkrete udbudsprocesser. Rådgivning og den øvrige bistand, der vil blive ydet på grundlag af en konkret vurdering af virksomhedens sikkerheds- og risikosituation, vil bl.a. kunne omfatte: Behovsafklaring og løsningsmodel Støtte til udfærdigelse af udbudsmateriale med hensyn til sikkerhedsmæssige forhold som kvalitet og effektivitet Afdækning af egnede leverandører Indhentning af tilbud Gennemgang og vurdering af tilbud i forhold til sikkerhedsfaglige forhold Forhandling med leverandører Anbefaling af leverandør og tilbud Støtte i implementeringsfasen og kvalitetssikring Gennemgang af de leverede ydelser og klarmelding Kontrol, evaluering og opfølgning. 22

23 Sikkerhedsvurderinger CERTA har specialiseret sig i at yde uafhængig og sagkyndig bistand til virksomheder i forbindelse med håndteringen af sikkerhedsmæssige trusler og risici. Et væsentlig element i CERTA s arbejde er at gennemføre sikkerhedsvurderinger for danske og udenlandske virksomheder. Dette kan ske enten som en særskilt vurdering eller i form af en årlig sikkerhedsvurdering til brug for virksomhedens bestyrelse. En sikkerhedsvurdering indebærer, at CERTA på grundlag af en konkret trusselsvurdering for virksomheden foretager en gennemgang, analyse og vurdering af virksomhedens sikkerhedsniveau og sikkerhedsforanstaltninger. Endvidere gennemføres en nærmere analyse af virksomhedens sikkerhedsrelaterede omkostninger med henblik på at identificere effektiviseringsmuligheder. Arbejdet munder ud i en samlet vurdering og konkrete anbefalinger, som CERTA ligeledes vil kunne bistå virksomhedens ledelse med at gennemføre. Formålet med en sikkerhedsvurdering er sikre, at virksomheden har et klart overblik over de sikkerhedsmæssige trusler og risici, som har betydning for virksomheden, kan træffe de nødvendige foranstaltninger med henblik på at beskytte virksomheden bedst muligt mod disse sikkerhedsmæssige trusler og risici, og er i stand til effektivt at forebygge og håndtere sikkerhedsmæssige hændelser og dermed begrænse eventuelle skadevirkninger i forhold til virksomheden. En sikkerhedsvurdering er i øvrigt særlig relevant i tilfælde, hvor virksomheden ønsker at blive betrygget i, at virksomheden er beskyttet på tilstrækkelig vis, at der ikke udvises forsømmelighed i virksomhedens håndtering af sikkerhedsmæssige trusler og risici, og at virksomheden har en effektiv ressourceanvendelse - også på det sikkerhedsmæssige område. 23

24 Sikkerhedsvurderingen kan omfatte hele virksomheden eller en del af denne, f.eks. en produktionsfacilitet i udlandet, ligesom sikkerhedsvurderingen kan fokusere på ét eller flere sikkerhedsmæssige områder, herunder: Fysisk sikring Personbeskyttelse Cyber- og informationssikkerhed Rejsesikkerhed Sikkerhed i forhold til insider-trusler Beredskab og krisestyring Sikkerhedsorganisation og anden sikkerhedsmæssig understøttelse CERTA tilbyder tre former for sikkerhedsvurderinger: Sikkerhedskortlægning (Security Survey) o Trusselsvurdering o Kortlægning af virksomhedens sikkerhed o Anbefalinger o Bistand til implementering Sikkerhedsgennemgang (Security Review) o Trusselsvurdering o Kortlægning af virksomhedens sikkerhed o Konsekvens- og sårbarhedsanalyse o Risikovurdering o Gennemgang af sikkerhedsniveau og sikkerhedsforanstaltninger o Anbefalinger og handlingsplan o Bistand til implementering Sikkerhedsevaluering (Security Evaluation/Security Audit) o Inspektion o Test og øvelse o Evaluering o (Revision/audit) o Anbefalinger o Bistand til implementering 24

25 Mens et Security Survey eller et Security Review vil omfatte hele eller dele af virksomheden samt alle eller enkelte af virksomhedens sikkerhedsområder, vil en Security Evaluation eller en Security Audit typisk være relevant i de tilfælde, hvor virksomheden målrettet har arbejdet med at opbygge og udvikle virksomhedens sikkerhed, f.eks. som følge af særlige sikkerhedsmæssige trusler, og hvor man ønsker en evaluering af, om virksomheden har nået sine mål, og om de iværksatte tiltag fungerer efter hensigten. En Security Audit indebærer i øvrigt, at der ud over en evaluering tillige gennemføres en sikkerhedsmæssig revision på grundlag af relevante standarder. 25

26 Årlig sikkerhedsvurdering for bestyrelser Som virksomhedsledelse må man i stadig større omfang forholde sig til, at virksomheden kan blive berørt af sikkerhedsmæssige trusler i form af bl.a. terrorisme, politisk ekstremisme, spionage og organiseret kriminalitet, herunder cyberkriminalitet. Udviklingen stiller virksomhedsledelserne over for nye, strategiske udfordringer. I sidste ende er det således et ledelsesmæssigt ansvar at sikre, at virksomheden også på det sikkerhedsmæssige område har en effektiv risikostyring, og at der er truffet de nødvendige foranstaltninger med henblik på beskytte virksomheden samt dens værdier, aktiviteter og omdømme bedst muligt. En ansvarlig virksomhedsledelse må nødvendigvis stille sig selv følgende spørgsmål: Har virksomheden fuldt overblik over de sikkerhedsmæssige trusler og risici, som kan have betydning for virksomheden? Hvad vil konsekvenserne være, og hvor sårbar er virksomheden, i tilfælde af en sikkerhedshændelse, og er virksomhedens sikkerhedsorganisation og beredskab tilstrækkelig og velfungerende? Er virksomhedens sikkerhedsniveau og sikkerhedskultur passende, og er der truffet de sikkerhedsforanstaltninger, der må anses for nødvendige, og som i øvrigt kan forventes af virksomheden? Anvender virksomheden på det sikkerhedsmæssige område sine ressourcer på en effektiv og hensigtsmæssig måde, herunder i forhold til virksomhedens sikkerhedsleverandører? Virksomhedens bestyrelse har ansvaret for den overordnede, strategiske ledelse af virksomheden og for at sikre en forsvarlig organisation samt de fornødne procedurer for risikostyring og interne kontroller. Dette er efter selskabslovgivningen en juridisk forpligtelse, hvor en tilsidesættelse efter omstændighederne kan medføre bl.a. erstatningsansvar. For bestyrelsen kan det være vanskeligt at danne sig et samlet og sammenhængende overblik over virksomhedens sikkerhedsmæssige situation eller at tage stilling, hvad det er for oplysninger, som bestyrelsen har brug for med henblik på at kunne danne sig et sådant overblik. 26

27 Behandlingen af sikkerhedsmæssige spørgsmål i bestyrelsen sker ofte fragmentarisk og uden det nødvendige strategiske fokus, hvilket gør det vanskeligt for bestyrelsen at varetage sine opgaver og forpligtelser i forhold til virksomhedens sikkerhed. Når det gælder virksomhedens sikkerhed, må bestyrelsen regelmæssigt og systematisk sikre sig, at virksomheden er beskyttet på tilstrækkelig vis i lyset af det aktuelle trusselsbillede, at der ikke udvises forsømmelighed i virksomhedens håndtering af sikkerhedsmæssige trusler og risici, og at virksomheden har en effektiv ressourceanvendelse på det sikkerhedsmæssige område. Disse vurderinger kræver typisk indsigt og kompetencer, som virksomheden ikke selv råder over i tilstrækkeligt omfang, og det kan derfor være både nødvendigt og hensigtsmæssigt at søge uafhængig og sagkyndig bistand. Dette gælder særligt, når bestyrelsens stillingtagen forudsætter en evaluering af virksomhedens egen indsats. CERTA har specialiseret sig i at yde uafhængig og sagkyndig bistand med henblik på bestyrelsers håndtering af sikkerhedsmæssige spørgsmål. CERTA tilbyder i den forbindelse at foretage en årlig vurdering af virksomhedens sikkerhed, således at bestyrelsen på grundlag af denne vurdering kan tage stilling til, om virksomheden er tilstrækkelig beskyttet mod de relevante sikkerhedsmæssige trusler og risici. Den årlige sikkerhedsvurdering indebærer, at CERTA på grundlag af en konkret trusselsvurdering for virksomheden foretager en gennemgang, analyse og vurdering af dels virksomhedens sikkerhedsniveau og sikkerhedsforanstaltninger, dels virksomhedens sikkerhedsorganisation, beredskab og krisestyring samt sikkerhedskultur. Der vil som led i vurderingen blive foretaget en evaluering af relevante strategier, politikker og planer. Endvidere vil der blive gennemført en nærmere analyse af virksomhedens sikkerhedsrelaterede omkostninger med henblik på at identificere effektiviseringsmuligheder. Arbejdet munder ud i en samlet vurdering og konkrete anbefalinger, som CERTA eventuelt vil kunne bistå virksomhedens ledelse med at gennemføre. 27

28 Den årlige sikkerhedsvurdering, der udarbejdes i samarbejde med virksomheden, vil kunne tilpasses bestyrelsens konkrete ønsker og behov, ligesom der i forbindelse med sikkerhedsvurderingen vil kunne fokuseres på særlige områder af betydning for virksomhedens sikkerhed. Der vil som led i den årlige sikkerhedsvurdering tillige kunne gennemføres en sikkerhedsmæssig revision (Security Audit) på grundlag af relevante standarder. Endvidere vil der som led i den årlige sikkerhedsvurdering og efter nærmere aftale kunne foretages inspektion, afprøvning, test eller øvelser i forhold til specifikke dele af virksomhedens sikkerhed. Den årlige sikkerhedsvurdering vil efter omstændighederne inddrage og tage højde for øvrige evalueringer mv. af betydning for virksomhedens sikkerhed, herunder f.eks. virksomhedens IT-revision. 28

29 Sikkerhedskultur Hvordan går det med sikkerheden? Virksomheder er i stigende grad udsatte og sårbare over for såvel eksterne som interne sikkerhedstrusler. Truslerne kan være rettet mod mennesker, it-systemer, processer eller informationer og værdier, som har stor betydning for virksomheden, og hvor der er både økonomi og omdømme på spil. Som konsekvens heraf arbejder mange virksomheder allerede med sikkerhed i form af politikker og beredskabsplaner, IT-sikkerhed og fysiske sikringsstiltag. Dette er gode første skridt, men ikke altid tilstrækkeligt. Sikkerhed skal integreres i arbejdsrutiner og kultur. Ellers er effekten begrænset og investeringerne i sikkerhed risikerer at være spildt. Det kræver en målrettet indsats at skabe den nødvendige sikkerhedsbevidsthed blandt medarbejdere og sikre en adfærd, som ikke udsætter virksomheden og de enkelte medarbejder for unødige risici. Men når det lykkes, og det bidrager til en god sikkerhedskultur, øger det robustheden og kommer hele virksomheden til gavn. Hvad er en god sikkerhedskultur? CERTA Intelligence & Security arbejder for at styrke sikkerhedskulturen i virksomheder. En god sikkerhedskultur er defineret ved, at der er en tydelig forståelse af virksomhedens værdier, sårbarheder og risici på alle niveauer og på tværs af virksomheden. Handlinger og holdninger, der understøtter sikkerhed og tryghed, vil være fremtrædende og indgå som en naturlig del af virksomhedens måde at operere på. 29

30 Hvordan udvikler og fastholder man en god sikkerhedskultur? CERTA har udviklet et koncept for arbejdet med sikkerhedskultur, der trækker på redskaber fra organisationsudvikling samt forandrings- og sikkerhedsledelse. Konceptet består af fem elementer: 1. Ledelsesoplæg. 2. Situationsanalyse. 3. Valg af forandringsstrategi. 4. Implementering af strategien via konkrete forandringsredskaber. 5. Dokumentation, evaluering og eventuel justering af virkemidlerne. De enkelte elementer understøtter hinanden, men de kan vægtes forskelligt afhængigt af virksomhedens konkrete behov. CERTA bistår i alle eller udvalgte faser og tilbyder såvel samlede løsninger som specifikke ydelser og rådgivning. Det er erfaringen, at en god sikkerhedskultur ikke blot har betydning for beskyttelsen af virksomheden og trygheden blandt medarbejderne, men også bidrager til øget medarbejdertilfredshed og loyalitet samt organisatorisk fleksibilitet, tilpasningsdygtighed og læring. Målgruppe Konceptet for arbejdet med sikkerhedskultur er relevant for såvel virksomheder som offentlige myndigheder, der ønsker at udvikle eller fastholde en god sikkerhedskultur. Konceptet er et ledelsesredskab, som forudsætter en klar ledelsesmæssig forankring for at opnå den ønskede effekt. 30

31 Sådan arbejder CERTA CERTA arbejder metodisk og analytisk med sikkerhed og lægger i sin tilgang særlig vægt på den forebyggende indsats og opbygningen af en hensigtsmæssig sikkerhedsadfærd, der understøtter virksomhedens strategiske hensigter. I samarbejde med den enkelte virksomhed kan CERTA bidrage til en afbalanceret og helhedsorienteret sikkerhedskultur, som er tilpasset de konkrete behov samt virksomhedens karakter og kultur. CERTA s koncept for arbejdet med sikkerhedskultur er baseret på erfaringer fra såvel Danmark som udlandet, og CERTA s rådgivere på området har alle arbejdet strategisk, operativt og taktisk med sikkerhedskultur og sikkerhedsadfærd i bl.a. politi og efterretningstjenester. 31

32 De enkelte elementer i CERTA s koncept for arbejdet med sikkerhedskultur 1. Ledelsesoplæg En god sikkerhedskultur kræver en stærk ledelsesforankring af sikkerhedsarbejdet. CERTA leverer et oplæg til virksomhedens ledelse med fokus på organisationsudvikling, forandringsledelse og sikkerhedskultur for derved at skabe en fælles forståelse af, hvad sikkerhedskultur og hensigtsmæssig sikkerhedsadfærd er, og hvordan sikkerhed kan tænkes sammen med den bredere strategiske og ledelsesmæssige indsats. Oplægget danner afsæt for en indledende dialog om den pågældende virksomheds sikkerhedsmæssige behov. 2. Situationsanalyse. En situationsanalyse baserer sig på kvalitative interviews med udvalgte medarbejdergrupper og/eller en bredere kvantitativ undersøgelse. CERTA leverer: Kvalitative interviews og kvantitative undersøgelser. Et landkort over ledelses- og medarbejderopfattelser af sikkerhed, der illustrerer styrker og svagheder, sammenfald og diskrepans i opfattelserne. En indplacering af virksomheden og eventuelt særskilte enheder i virksomheden - i forhold til omgivelser og risikobillede. Anbefalinger i forhold til, hvor der med fordel kan fokuseres i indsatsen for at udvikle og fastholde en sikkerhedskultur, der modsvarer virksomhedens behov og udgangspunkt. 32

33 3. Valg af forandringsstrategi. Valget af forandringsmål og -strategi vil basere sig dels på en analyse af virksomhedens evne til at gennemgå forandringer, dels anerkendte organisationsudviklings- og forandringsledelsesteorier. CERTA leverer: Analyse af virksomhedens afsæt for forandringer. Anbefalinger i forhold til, hvilken type sikkerhedskultur, der bedst modsvarer virksomhedens og dens forskellige enheders behov. En skitsering af et ønskeligt mål for indsatsen med henblik på at styrke sikkerhedskulturen. Anbefalinger i forhold til hvilken type sikkerhedsforandringsledelse, der bedst modsvarer virksomhedens mål og udgangspunkt. Et landkort over, hvilke ressourcer der vil kunne trækkes på, og hvilke forhindringer der kan imødeses i forandringsprocessen baseret på kortlægningen af medarbejderopfattelser. 4. Implementering af strategien via konkrete forandringsredskaber. CERTA leverer design og facilitering af en portefølje af konkrete forandringstiltag målrettet virksomheden og eventuelt differentieret i forhold til enheder i virksomheden med forskellige risikoprofiler og behov. Det kan dreje sig om: Kommunikationsplaner. Oplæg til skræddersyede sikkerhedsløsninger. Scenariebaserede spil målrettet bestemte sikkerhedsudfordringer eller medarbejdergrupper. 33

34 5. Dokumentation, evaluering og eventuel justering af virkemidlerne. CERTA anvender en kombination af observation, kvalitative interviews og kvantitative undersøgelser til at hjælpe en virksomhed med at dokumentere og evaluere effekten af de iværksatte tiltag. CERTA indsamler og vurderer data, og der laves en sammenligning med resultaterne af den oprindelige situationsanalyse. CERTA leverer: Indsamling og vurdering af data samt effektmålinger sat i forhold til den oprindelige situationsanalyse. Anbefalinger til eventuelle justeringer i de anvendte virkemidler. En vedligeholdelsesplan for at sikre, at de opnåede effekter fastholdes. 34

35 Cyber-sikkerhed Virksomheder råder i vidt omfang over følsomme oplysninger, der kan misbruges og derved skade virksomheden, og de følsomme oplysninger lagres og behandles i stadig større grad i IT-systemer, der kan tilgås uretmæssigt. Tilsvarende er virksomheder i den daglige drift afhængige af IT-systemer, der imidlertid kan være mål for angreb af indgribende betydning for den enkelte virksomhed. Den øgede sårbarhed og de alvorlige konsekvenser af mulige cyber-angreb bevirker, at cyber-sikkerhed nødvendigvis må være en strategisk prioritet for mange virksomheder. CERTA yder rådgivning og bistand med henblik på opbygning og udvikling af den enkelte virksomheds cyber-sikkerhed. Dette sker typisk i form af et Cyber Review eller bidrag til etablering af Cyber Defence. 35

36 Cyber Review Et Cyber Review indebærer, at CERTA foretager en gennemgang af virksomhedens cyber-sikkerhed med henblik på at identificere områder, hvor sikkerheden bør udbygges og styrkes. CERTA s vurderinger og anbefalinger udarbejdes på grundlag af en konkret trussels- og risikovurdering, en teknisk gennemgang af virksomhedens netværk og en analyse af eksisterende sikkerhedsforanstaltninger. Der vil som led i et Cyber Review kunne gennemføres penetrationstest i forhold til virksomhedens netværk, ligesom der vil kunne foretages en teknisk afdækning af, i hvilken udstrækning virksomhedens netværk er kompromitteret (Compromise Assessment). Formålet med et Cyber Review er bl.a. at besvare følgende spørgsmål: Hvordan ser trusselsbilledet ud, og hvilke cyber-trusler og risici har betydning for virksomheden? Hvad vil konsekvenserne være, og hvor sårbar er virksomheden, i tilfælde af en sikkerhedshændelse, og har virksomheden et tilstrækkeligt og velfungerende beredskab? Er virksomhedens sikkerhedsniveau passende, og er der truffet de sikkerhedsforanstaltninger, der må anses for nødvendige og som i øvrigt kan forventes af virksomheden? Er sikkerhedsforanstaltningerne effektive, og anvender virksomheden på cyberområdet sine ressourcer på en hensigtsmæssig måde, herunder i forhold til virksomhedens eventuelle sikkerhedsleverandører? Som ekstern, uafhængig og sagkyndig part vil CERTA kunne gennemføre et Cyber Review, der dels understøtter virksomhedens egen indsats på cyber-området, dels vil kunne imødekomme virksomhedens behov for at blive betrygget i, at der ikke på cyber-området udvises forsømmelighed i virksomhedens håndtering af sikkerhedsmæssige trusler og risici. 36