Akademin hem
Bloggar
Cyberday goes Cyber Security Nordic 2024!
En del av ISO 27001-samlingen
En del av NIS2-samlingen

Cyberday goes Cyber Security Nordic 2024!

ISO 27001 insamling
Cyberday goes Cyber Security Nordic 2024!
NIS2 samling
Cyberday goes Cyber Security Nordic 2024!
Cyberday blogg
Cyberday goes Cyber Security Nordic 2024!

Vårt Cyberday gick in i hösten med full fart, och vi deltog i Cyber Security Nordic-evenemanget den 29-30 oktober som strategisk partner med hela vårt team. I den här bloggen kan du följa med oss på eventets eftersnack, höra höjdpunkterna och få insikter i eventets ämnen.

Evenemanget Cyber Security Nordic 2024 ägde rum på Helsingfors utställnings- och kongresscenter. Den årliga konferensen fokuserar på viktiga cybersäkerhetsämnen, inklusive politik, ekonomi, aktuella hot och framtida utveckling inom området. Evenemanget sammanför yrkesverksamma inom IT- och cybersäkerhet, ledare inom den offentliga och privata sektorn samt regeringstjänstemän.

Årets program innehöll keynotes, tal och diskussioner om olika frågor som cyberresiliens, digitaliseringssäkerhet, strategier för att förebygga cyberbrott och skärningspunkten mellan geopolitik och cybersäkerhet. NIS2 var återigen på tapeten, t.ex. när det gäller säkerhet i leveranskedjan, hantering av säkerhetsställningar och NIS2 i allmänhet på europeisk nivå. Evenemanget var en plattform för kunskapsutbyte och för att hålla sig uppdaterad om de senaste trenderna och utmaningarna inom cybersäkerhet. Låt oss titta närmare på några av de ämnen som lyftes fram under evenemanget och fördjupa oss i dem. Vi har skapat det här inlägget för att ge en inblick i aktuella teman, även för dem som inte kunde delta i evenemanget.

Heta ämnen på CSN 2024 🔥

Säkerhet i leveranskedjan

Attacker mot leverantörskedjan har ökat markant under de senaste åren och utgör en betydande risk för organisationer över hela världen. Det är viktigt att komma ihåg att en organisation är lika säker som dess svagaste länk.

Leverantörskedjeattacker är en form av cyberattack där angripare infiltrerar en organisation genom att utnyttja mindre säkra delar i leverantörskedjan. Det kan handla om att kompromissa med programvaruuppdateringar, injicera skadlig kod i tredjepartsprodukter eller göra intrång hos tjänsteleverantörer som har betrodd åtkomst till kritiska system. Attacker mot leverantörskedjan kan leda till långtgående konsekvenser, som inte bara påverkar den utsatta organisationen utan även dess kunder och partners.

Att skydda leveranskedjan är en komplex men viktig del av modern cybersäkerhet. Genom att förstå hoten och implementera solida säkerhetsprotokoll kan företag bättre skydda sig mot sådana indirekta men mycket effektiva angreppsvägar. Organisationer som proaktivt arbetar med sin leveranskedja för att förbättra säkerheten minskar inte bara risken för attacker, utan främjar också en säkerhetskultur som gynnar alla medlemmar i ekosystemet.

På Cyber Security Nordic diskuterades ämnet också i termer av kravramverk: Nya krav på supply chain management kommer för närvarande in från ramverk som DORA, CRA och NIS2, så låt oss titta lite närmare på vad du kan behöva veta.

NIS2

NIS2 föreskriver att organisationer ska implementera effektiva riskhanteringsåtgärder som tar hänsyn till cybersäkerheten i hela leveranskedjan. Detta inkluderar att säkerställa att tredjepartsleverantörer och partners uppfyller vissa säkerhetsstandarder för att skydda organisationen och minska den totala risken i leveranskedjan.

NIS2 främjar delat ansvar och transparens genom att kräva att organisationer upprättar tydlig kommunikation och samarbete inom sina nätverk i leveranskedjan. Detta innebär att man definierar roller och ansvar inom säkerhetsprotokoll för att säkerställa att varje enhet förstår sin roll i att upprätthålla säkerheten. Genom att främja en kultur av kollektivt ansvarstagande syftar NIS2 till att stärka den övergripande säkerheten i leveranskedjorna.

Vi berättar mer om hur NIS2 uppmuntrar till ett starkare samarbete i leveranskedjan i vårt andra blogginlägg här.

DORA

Digital Operational Resilience Act (DORA) är inriktad på att stärka den digitala motståndskraften hos finansiella enheter och lägger stor vikt vid att hantera säkerheten i leveranskedjan. DORA erkänner att finansinstitut förlitar sig på ett komplext nätverk av tredjepartsleverantörer och att dessa relationer medför unika cybersäkerhetsrisker. DORA kräver att finansiella enheter utvärderar och hanterar de risker som är kopplade till tredjepartsleverantörer av ICT, såsom molntjänster, programvaruleverantörer och andra teknikleverantörer. Detta innefattar att göra noggranna bedömningar av dessa leverantörer och se till att de uppfyller cybersäkerhetsstandarder.

DORA:s krav syftar till att bygga en säker och motståndskraftig finanssektor genom att hantera risker som är förknippade med tredjepartsleverantörer av ICT. Genom att säkerställa ansvarsskyldighet för både finansinstitut och deras viktigaste tredjepartsleverantörer strävar DORA efter att skapa ett ekosystem där säkerhet i leveranskedjan är avgörande för den operativa motståndskraften hos EU:s finansiella system.

Cyberday omvandlar policyer till tydliga uppgifter för enklare hantering.

AI + cybersäkerhet = ? 

Det talas mycket om AI i samband med informationssäkerhet och detta återspeglades också tydligt i många aspekter och presentationer på evenemanget, inklusive den AI-drivna NDR, framtidsutsikterna och riskerna och möjligheterna med AI. I takt med att AI mer eller mindre gradvis tar plats i yrkes- och vardagslivet kommer dess betydelse för informationssäkerheten också att bli allt viktigare. AI innebär möjligheter, men också farhågor. AI förändrar cybersäkerheten och skapar både nya möjligheter att stärka försvaret och nya risker som organisationer måste ta itu med.

AI har många möjligheter när vi talar om cybersäkerhet. AI kan t.ex. identifiera och analysera stora mängder data i hastigheter som ligger långt över människans förmåga, vilket gör det mycket snabbare att upptäcka hot, skadlig kod och nätfiske. AI kan också vara användbart för att förbättra organisationens incidenthantering, minska svarstiden och minimera den totala effekten. Möjligheterna med AI är otaliga, och det ska bli intressant att se vad framtiden har att erbjuda.

Men när vi talar om möjligheterna med AI måste vi också diskutera riskerna och hoten. AI kan användas för att förstärka olika cyberattacker, och utan tvekan kan cyberbrottslingar "lura" AI med manipulation. AI är inte heller idiotsäkert - det kan ge falsk information och vilseleda. Sist men inte minst av de hot som nämns här ökar AI problemen med dataskydd, särskilt när det gäller känslig information. Organisationer måste säkerställa att data hanteras i enlighet med sekretessbestämmelserna.

I slutändan är nyckeln till framgång medvetenhet. En möjlig väg att gå är att lära sig att utnyttja fördelarna med AI inom cybersäkerhet och samtidigt hantera riskerna. I bästa fall kan AI inte användas som en ersättning, utan som ett stöd för den mänskliga faktorn inom informationssäkerhet.

Motståndskraft mot cyberattacker

Cyber Security Nordic tog också upp cyberresiliens, diskussioner som särskilt fokuserade på Finland och de nordiska länderna. Cyberresiliens är viktigt eftersom ingen organisation kan vara helt immun mot cyberhot. En motståndskraftig organisation kan undvika omfattande skador från incidenter, fortsätta att betjäna kunder med minimala avbrott, skydda sitt rykte och minska de ekonomiska förlusterna. Eftersom cyberhoten fortsätter att utvecklas, särskilt med den ökande komplexiteten i leveranskedjor och distansarbetsmiljöer, prioriterar organisationer motståndskraft för att säkerställa långsiktig säkerhet och stabilitet.

  • Riskhantering: En stor del av cyberresiliensen är att identifiera potentiella hot och sårbarheter, utvärdera deras inverkan och genomföra åtgärder för att minska riskerna. Detta inkluderar kontinuerlig riskbedömning för att ligga steget före nya hot och säkerställa att alla tillgångar, särskilt kritiska sådana, är väl skyddade.
  • Svar på incidenter: Förberedelser för ett snabbt och effektivt svar när en incident inträffar. Incidenthanteringsplaner bör innehålla specifika protokoll, fördela roller och ansvarsområden samt säkerställa att insatsgrupperna är utbildade och redo att agera. Målet är att begränsa och mildra eventuella skador så snart som möjligt.
  • Kontinuitet i verksamheten: Denna aspekt fokuserar på att upprätthålla verksamheten under en attack och snabbt återhämta sig efteråt. Kontinuitetsplaner håller viktiga funktioner igång, medan katastrofåterställningsplaner återställer data, system och verksamhet efter en incident.
  • Kontinuerlig övervakning: Genom att kontinuerligt övervaka systemen för att upptäcka avvikelser kan man upptäcka och reagera på incidenter i ett tidigt skede. Hotinformation gör det möjligt för organisationer att hålla sig informerade om nya och framväxande hot, så att de kan anpassa försvaret i realtid.
  • Regelbunden testning: Att simulera attacker, till exempel genom penetrationstester eller incidentresponsövningar, hjälper till att utvärdera en organisations beredskap och motståndskraft samt att identifiera svagheter i responsplanen och ge möjlighet att förfina och stärka den.
  • Säkerhet i leveranskedjan: Ja, det ämne vi tidigare diskuterat är också en viktig del av cyberresiliensen - det är avgörande att se till att tredjepartsleverantörer och partners också upprätthåller starka cybersäkerhetsrutiner.

Tack för många trevliga möten i vår monter!

Vi vill rikta ett stort tack till alla som kom och träffade vårt team i vår monter. 👏 Vi har 2 riktigt aktiva dagar fulla av bra kunddiskussioner.

Några av de mest uppmärksammade ämnena som våra kunder var intresserade av inkluderade:

  • Automation & AI: Särskilt hur man använder dem när man börjar arbeta med efterlevnad för att nå några första resultat, svara på säkerhetsfrågor som skickas från egna kunder och senare hur man finjusterar underhåll och förbättring av ett ISMS.
  • Säkerhetsbedömningar av leverantörer: Vi lanserade nyligen dessa funktioner som uppenbarligen har väckt intresse hos många informationssäkerhetsansvariga. Vi fick många idéer om hur vi kan finjustera leverantörsbedömningar och arbetar redan med ytterligare förbättringar. 👍
  • Integrationer: Många av våra användare som redan har kommit längre i sin ISMS-resa önskade sig möjligheter att hämta mer innehåll från olika system till ISMS för att effektivisera övervakning, mätvärden, insamling av bevis och kontinuerlig förbättring.

Andra hedersomnämnanden går till CRA (EU:s Cyber Resilience Act som ställer krav på cybersäkerhet för produkter med digitala element) och hantering av informationssäkerhet i större företagsgrupper, där den centrala enheten gör något och dotterbolagen måste göra resten. För det sistnämnda har vi också nyligen publicerat de första funktionerna för.

Alla ovanstående kommer säkert att vara teman som vårt team kommer att fortsätta med. Delta i diskussionerna, t.ex. i Cyberday Communitys forum för utvecklingsidéer eller följ vårt teams utvecklingsfrågor i våra veckovisa nyhetsbrev! 

Vårt budskap: ISO 27001 på steroider - att överleva den regulatoriska stormvågen

Som strategisk partner till Cyber Security Nordic fick vi också möjlighet att gå upp på scenen och hålla en keynote. Vår VD och medgrundare Ismo Paananen intog scenen med ämnet: ISO 27001 på steroider - att överleva den regulatoriska stormvågen.

Europeiska organisationer står inför en våg av nya regler för cybersäkerhet. NIS2, DORA, CRA och många andra skapar nya krav på organisationer att följa lagen och kundernas ständigt ökande krav. Regleringen påverkar inte bara de direkt nämnda branscherna, utan även ett stort antal företag som spelar en roll i leveranskedjan. ISO 27001 är den beprövade metoden för att hantera dessa utmaningar, men implementeringen behöver förbättras för att täcka alla nödvändiga aspekter. Ismo presenterade hur man kan uppfylla alla nödvändiga krav och till och med skapa affärsvärde med hjälp av ett Lean-tillvägagångssätt för ISO 27001 med tillägg av regelverk.

Att bevisa informationssäkerhet kan vara en utmaning i vissa situationer, utan en bra och omfattande översikt. Oändliga Excel-kalkylblad, implicit lagstiftning och otaliga sidor fulla av juridisk text. För att inte tala om utmaningarna med löpande övervakning, upprätthållande av efterlevnad samt medvetenhet och utbildning av personalen. Cyberday har bestämt sig för att hitta ett bättre sätt att göra detta.

Ismos tal var en hel cirkel; han talade om sin passion för säkerhet och de utmaningar som organisationer kan ställas inför när det gäller efterlevnadsfrågor, och Cyberday sätt, hur organisationer kan skapa en enhetlig plan baserad på utvalda ramverk. Med lösningar som Cyberday kan organisationer bättre förbereda sig för det okända, hålla koll på sina efterlevnads- och säkerhetsåtgärder och dela medvetenheten bland de anställda. Det var fantastiskt att se Cyberday presenteras på huvudscenen, och Ismos insiktsfulla keynote mottogs mycket väl av publiken. Tack till alla som var där och lyssnade!

Vi har också publicerat ett blogginlägg: Navigera i cybersäkerhetslabyrinten: Behärska NIS2 med hjälp av ISO 27001 för evenemanget, där vi täcker några av samma teman som diskuterats. Direktiv som NIS2 kan kräva rutiner för specifika områden av informationssäkerhet, men kan inte/vill inte specificera vilka dessa rutiner ska vara. Frivilliga standarder som ISO 27001 kan gå längre och ange vad dessa tillräckliga åtgärder kan vara.

Cyber Security Nordic, i samarbete med FISC och FiBAN, arrangerade Pitch Finland Cyber Security, en pitchingtävling som söker banbrytande lösningar med potential för internationell tillväxt. Tävlingen är öppen för företag, team och organisationer som arbetar med cybersäkerhet. Vi var hedrade över att vara bland de fem finalisterna. Vi fick mycket bra feedback på vår pitch, och det kunde inte ha gått bättre. Grattis också till Siren Anti-Cheat för den intressanta lösningen och bra jobbat för det vinnande laget!

Avslutande tankar

Överlag var Cyberday deltagande en stor framgång och vårt team fick ett utmärkt tillfälle att träffa bekanta och samarbetspartners, men också nya kontakter. Under de två dagarna fick vi lyssna till otaliga intressanta tal, träffa andra representanter för branschen och även lära känna och samarbeta med vår egen personal. Kanske ses vi igen nästa år! Om du inte fick chansen att träffa oss på evenemanget eller om du vill ha mer information finns vi här! Vårt team hjälper dig gärna i chatten i bubblan i högra hörnet, via e-postcyberday eller så kan du boka ett kort samtal med oss när det passar dig bäst här.

Vi ses på Cyber Security Nordic 2025! ⭐️

Skrivet av
Cyberday
31.10.2024
@
LinkedIn

Artikelns innehåll

Andra artiklar i samma ämne

Se hela ISO 27001-samlingen
Se hela NIS2-samlingen

Andra relaterade bloggartiklar

Dela artikel

Annat liknande innehåll från Akademin

Bloggar

De 10 vanligaste avvikelserna vid revisioner av ISO 27001

Revisioner och avvikelser driver organisationer mot ständiga förbättringar. Men innan din första ISO 27001-certifiering är det bra att känna till några av de vanligaste avvikelserna, så att du kan undvika dem vid din certifieringsrevision.
18.2.2025

Har fått en förfrågan om intervju för ISO 27001-revision - vad kan jag förvänta mig?

I den här bloggen kommer vi att tala om vikten av att medarbetarna deltar i revisionsintervjun, varför revisorerna värdesätter medarbetarnas insikter och titta närmare på möjliga frågor som ställs i en ISO 27001-intervju.
13.2.2025

Checklista för efterlevnad och certifiering av ISO 27001

Vill du säkerställa att du uppfyller kraven i ISO 27001? Den här checklistan innehåller tydligt ordnade viktiga steg som hjälper din organisation att bygga upp ett ISMS och uppfylla kraven i ISO 27001-standarden.
6.2.2025

Kom igång idag

Börja gratis, i din bekanta Teams-miljö.
Om du har några frågor kan du boka ett möte med oss.

Starta en gratis 14-dagars provperiod
Boka ett möte
Hur fungerar det?
SammanfattningSäkerhetsuppgifter och säkerhetArbetsflöden för dokumentationRiktlinjer för anställdaMallar för rapportering
Användningsområden
Efter ramverkAlla ramverkISO 27001NIS2-direktivNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Efter metodHantering av cyberriskerMedvetenhet hos anställdaRapportering om efterlevnadKontrollhanteringHantering av tillgångarDynamiska policydokumentHantering av sekretess
Resurser
AkademinWebbinarierBloggHjälpartiklarVideokurserInnehållsbibliotekVeckovisa nyhetsöversikterPrenumerera på AkademinLämna en recensionPartnerprogramTeamAnvändarvillkorIntegritetspolicy
Kontakta oss
+358 10 231 6010
team@cyberday.ai
Appen fungerar i:
I Finland känd som Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tammerfors, Finland
Cyberday.ai - Förbättra och certifiera din cybersäkerhet