1-linde 1-linde

ISO 27001-virksomheder høster effektiviseringsgevinster

November 2017
Af Flemming Kjærsdam

Selvom ISO 27001 standarden bliver købt med det formål at beskytte data, viser en undersøgelse Dansk Standard har gennemført blandt disse virksomheder, der arbejder med ISO 27001, at de efter noget tid, høster mærkbare effektiviseringsgevinster som en sideeffekt af dette. 

Dansk Standard har gennemført en analyse blandt 115 danske virksomheder, som har indkøbt og arbejder med ISO 27001 standarden til informationssikkerhed. Resultatet af analysen er, at 75 pct. melder positivt tilbage vedrørende sikkerhed. Det bemærkelsesværdige er, når de har været i gang i noget tid med at anvende standarden i driften, opnår disse virksomheder mærkbare sidegevinster inden for effektivisering – 31 pct. - og bedre konkurrenceevne – 25 pct. Der er tale om sidegevinster.

”Når vi taler om organisationer, der er begyndt arbejdet med ISO 27001, er det som regel udefrakommende krav, der har startet det. Det kan være krav fra samarbejdspartnere og myndigheder. Når vi siden interviewer de organisationer, der har været i gang i et stykke tid, opnår de andre fordele. De lykkes altovervejende med at beskytte data, og det kommer først. Men efter det følger effektiviseringsgevinster og konkurrencefordele,” siger chefkonsulent Anders Linde, Dansk Standard, som var keynote på itSMF´s konference med et indlæg om EU´s Databeskyttelsesforordning og ISO 27001.

”I vores analyse blandt 115 danske virksomheder angives effektiviseringer, som en af de tre vigtigste årsager til at tage standarden i brug. Pointen er, at effektiviseringerne var ikke udgangspunktet for at gå i gang med ISO 27001. Effektiviseringsgevinsterne er kommet siden hen,” siger chefkonsulent Anders Linde, Dansk Standard, 

Der er i alt 450 danske virksomheder som har købt ISO 27001. Ud af disse har 115 besvaret Dansk Standards undersøgelse.

Løft i sikkerheden
Anders Linde som holdt indlæg på itSMF konferencen fortalte om de fordele virksomhederne kunne opnå på sikkerhed med ISO 27001 i forbindelse med EU´s databeskyttelsesforordning, som træder i kraft den 25. maj 2018.

”Der er indikationer på, at ISO 27001 i høj grad indfrier forventningerne og giver brugerne det væsentlige løft i deres informationssikkerhed, og som de også forventede forud for anskaffelsen. Tre ud af fire angiver informationssikkerhed som den væsentligste årsag til at gå i gang. Standarden ser ligeledes ud til direkte at påvirke tilfredsheden i positiv retning hos kunderne til de virksomheder, der anvender standarden.  Anvendelse af standarden fører for mange brugere til en effektiviseringsgevinst – også selv om deres motiv for at tage standarden i brug, var et helt andet end effektivisering,” siger Anders Linde.
 
Han vurderer, at omkring 40 danske virksomheder i dag er certificeret efter 27001. Der er mange vejledninger uden om standarden.
 
”Risikostyringen er tandhjulet i arbejdet med ledelsesstandarder. Virksomhederne er nødt til tage stilling til, hvordan de med begrænsede midler kan beskytte deres informationer mest effektivt. Når organisationer løbende arbejder med risikostyring i forhold til deres kritiske og følsomme informationer træffes beslutninger om tilførsel af ressourcer på et oplyst grundlag. Derfor kommer effektiviseringen ind som en gevinst efter noget tid. Organisationen har analyseret sine processer og taget stilling til risici. Det gør, at de bedre kan tilpasse deres sikkerhedsindsats til nye trusler, lovgivning eller ændringer i forretningen,” siger Anders Linde.
 
Konkurrencefordele opstår ved, at virksomheder kan dokumentere deres efterlevelse af standardens principper eller gennem en certificering, hvor der kommer kontrolbesøg og gennemgår processerne grundigt. Det kan virksomhederne bruge over for omverdenen og dermed øge tilliden til deres forretning.

 

.