Verklig säkerhet i första hand, ISO 27001 i andra hand

Skriven av Agnes Onne
Startup-team som arbetar sent i ett modernt öppet kontorslandskap med bästa praxis för cybersäkerhet och förberedelser för ISO 27001-överensstämmelse

Panikfällan för certifiering

Det händer hela tiden i nystartade B2B-företag i tidiga skeden. Ett stort prospekt ställer en säkerhetsfråga, och plötsligt måste hela teamet rusa in i en ISO-certifiering som de aldrig planerat för. Och det är logiskt. När du jagar den första stora affären känns allt brådskande. En fråga dyker upp: Är du ISO 27001-certifierad? Det är ni inte. Du säger att du "jobbar på det" och kör iväg.

Men vänta lite.

De flesta kunder vill helt enkelt känna sig trygga

Det är lätt att blanda ihop de två. Certifieringar som ISO, SOC 2 eller NIST kan vara ett sätt att bygga förtroende, men de är sällan det enda sättet. Enligt vår erfarenhet dyker dessa frågor oftare upp på checklistor än i faktiska krav. "Har ni X?" betyder inte alltid "Vi kan inte gå vidare utan X". I själva verket säger en ISO-certifiering inte mer än tydliga, verifierbara bevis på att ditt företag är säkert där det är som viktigast, till exempel bevis på tillämpad multifaktorautentisering, starka åtkomstkontroller och aktiv hotövervakning.

Verklig säkerhet börjar med människor och processer

Säkerhet börjar inte med dokumentation, revisioner eller ramverk för efterlevnad. Det börjar med hur ditt företag hanterar åtkomst, skyddar konton, tillämpar tvåfaktorsautentisering samt upptäcker och reagerar på hot. Det här är grunder som du kan införa från dag ett, och de skyddar dig mycket mer än att kryssa i rutor för att få en logotyp på din webbplats.

Var ärlig och självsäker

Det är helt rätt att säga det:

"Vår prioritet är att skydda dina uppgifter. Vi har redan verkliga och effektiva skyddsåtgärder på plats och vi visar gärna hur vi arbetar. Certifiering är något vi kommer att sträva efter när det är affärsmässigt motiverat, inte som ett första steg."

Den typen av svar kan vara mer kraftfullt än att lova något som du inte har påbörjat, särskilt när det visar att du är fokuserad, eftertänksam och inte fejkar dig igenom ett säkerhetstest.

Certifieringar är viktiga, men de bör inte vara det allra första steget.

Vi säger inte att ISO 27001 och liknande inte spelar någon roll. Det gör de, särskilt senare när du går in på mer reglerade marknader, hanterar upphandlingsteam eller samarbetar med företag och kunder inom den offentliga sektorn. Men de bästa certifieringarna bygger på en solid grund. De ska återspegla det arbete du redan gör, inte ersätta det. Och absolut inte distrahera dig från det.

Skydda först. Certifiera senare.

Agnes Onne
Nästa

Varför lösenord inte räcker längre