Over en million kunder i hovedstaden får gas, fjernvarme, vand eller spildevandsafledning fra HOFOR. Denne kritiske infrastruktur er godt beskyttet i hverdagen, hvor HOFOR bygger på en sammenhængende informationssikkerhedspolitik baseret på ISO27001. Konsulentvirksomheden LinkGRC bidrog med ekspertviden og rådgivning, da HOFOR definerede politikkens underliggende procedurer, retningslinjer og vejledninger.

En voksende trussel fra cyberkriminalitet præger hele samfundet, og virksomhederne må hele tiden forbedre deres forsvar mod malware og phising og hele paletten af mere eller mindre udspekuleret cyberkriminalitet. Områdets kompleksitet stiger samtidig, fordi stadig større dele af produktionen af kerneydelserne bliver digitaliseret i denne IoT-tid, hvor sensorer skaber nye datastrømme. Dertil kommer voksende politisk bevågenhed i forhold til persondata og privatlivsbeskyttelse. Alt sammen er med til at sætte informationssikkerhed højt på dagsordenen hos en virksomhed som HOFOR. Udover det daglige operationelle fokus i hverdagen har virksomheden sat en ambitiøs samlet plan i søen for at optimere sin informationssikkerhed.

ISO-INSPIRERET FRAMEWORK

”Vi læner os rigtig meget op af ISO27001, som er en international standard til etablering af et ledelsessystem for informationssikkerhed,” siger chefkonsulent Finn Asmussen, som til dagligt arbejder med informationssikkerhed i HOFOR sammen med HOFORs it-sikkerhedsansvarlige.

Ansvaret for informationssikkerheden i HOFOR ligger i et centralt it-sikkerhedsudvalg, som er sammensat af en repræsentant fra topledelsen, samt relevante topledere og HOFORs it-sikkerhedansvarlige. Dertil kommer fire sikkerhedsfora inden for områderne applikationer, netværk, it-platform og SCADA-systemer, som er styringssystemer tæt på den daglige drift. Denne governancestruktur giver en god vidensdeling, som spænder fra tekniske detaljer til ledelsesmæssige udfordringer. På det helt konkrete plan har HOFOR eksempelvis gennemført en awareness-kampagne, kaldet ”Er du en sikker klikker?”, for at løfte de over 1100 medarbejderes bevidsthed om at beskytte data og undgå sikkerhedsproblemer.

HURTIGE PROCEDURER

”Kernen i vores samlede indsats er en omfattende informationssikkerhedspolitik, som følger hele opbygningen og logikken i ISO27001. Den understøtter vi med en lang række procedurer, retningslinjer og vejledninger på forskellige områder. Her har LinkGRC med deres indgående kendskab til ISO27001 været en kæmpe hjælp i nogle korte og effektive workshops, som hurtigt har ført frem til de relevante procedure-beskrivelser,” siger Finn Asmussen.

GDPR-implementeringen i 2018 satte også fokus på, at en række nødvendige procedurer skulle på plads inden forordningen trådte i kraft. Eksempler er områder som adgangsstyring, back-up, patchning, logning, håndtering af informationssikkerhedsbrud og meget mere.

”ISO27001 sikrer, at vi kommer hele vejen rundt og ikke overser nogle vigtige aspekter. LinkGRC har været en stor hjælp til at konkretisere og skabe fremdrift, så vi både holder os til standarden og får opbygget en tilgang, der kan fungere i vores hverdag.” siger Finn Asmussen.

KNOW-HOW GIVER GODE MØDER

LinkGRC har gennemført interviews og udarbejdet første udkast på en række af HOFORs cirka 80 forskellige procedurer.

”Når en konsulent fra LinkGRC har prøvet det før, så skinner det klart igennem i hele måden at stille spørgsmål på og organisere vidensindsamlingen på. Den systematik og erfaring har været guld værd for os. Det giver respekt i organisationen, så vi får gode og produktive møder. Det er vigtigt, for man kan nemt fortabe sig i detaljer,” forklarer Finn Asmussen, som har været hos HOFOR i tolv år, hvoraf de sidste tre år har drejet sig om informationssikkerhed.

VOKSENDE MODENHED

HOFOR har anlægsaktiver for 29 mia. kr i form af eksempelvis Amagerværket, vandværker, pumpestationer og hele den underjordiske infrastruktur. Selskabet er opstået gennem fusioner gennem årene, og hele systemsiden er i en rivende udvikling. Her skal informationssikkerheden følge med bl.a. på alle de styresystemer, som får vand, varme og spildevand til at fungere som byens infrastruktur.

”Vores modenhed vokser hele tiden i takt med at principperne i ISO27001 implementeres og i takt med at vores systemer udvikler sig,” slutter Finn Asmussen.