Artikel top billede

Den væsentligste hindring for it-sikkerhed: Hverdagens travlhed

Klumme: It-afdelingens behovspyramide placerer informationssikkerhed på toppen - og det er en dårlig placering.

Har du kigget logfilerne fra firewallen igennem?

Næppe. Men du gør det, så snart du lige har fået printeren på første sal til at fungere igen og oprettet den nye bruger i ERP-systemet.

Ikke?

Hverdagen for mange it-folk består af en nærmest ubrudt række af afbrydelser i det, de egentlig skulle beskæftige sig med.

Jeg tænker på brandslukning af typen "Min mail virker ikke" eller "Vi skal bruge en projektor i det nye mødelokale."

Den slags opgaver tager tid fra dem, vi burde fokusere på.
It-behovspyramiden

Det enkle diagram

Jeg har berørt emnet kort i tidligere klummer. Men for nylig faldt jeg over et diagram, der illustrerer problemet meget enkelt og sigende.

Diagrammet er udarbejdet af en amerikansk analytiker, Wendy Nather fra 451 Research.

Hun har taget udgangspunkt i den gode, gamle Maslows behovspyramide.

Titlen er ganske rammende: "The hierarchy of IT needs. Or, why you can't get your management team to take security seriously."

Ligesom Maslow begynder pyramiden nedefra med de mest basale behov.

Hos Maslow er det menneskets behov for mad, varme og et sted at sove.

Wendy Nathers pyramide handler om kravene til it-funktionen. Pyramiden er opbygget ud fra, hvilke trusler it-folk tager mest alvorligt.

Derfor lyder det nederste krav ganske enkelt: "Få det til at køre."


Den største trussel for en it-ansat er, at systemet ikke virker.
Sikkerheden kan vi altid kigge på senere - den er alligevel irrelevant, hvis systemet ikke er i luften.

Hold det kørende

Næste trin på pyramiden går ud på at sikre, at systemet bliver ved med at køre. Det må ikke løbe tør for diskplads.

En ændring må ikke sætte det ud af drift. Strømmen må ikke blive afbrudt.

Den kender enhver, der har installeret de seneste rettelser fra Microsoft for derefter at se blue screen of death på brugernes skærme.

På pyramidens tredje trin skal vi undgå, at den nye it-løsning smadrer noget i resten af vores it-system.

Det fjerde trin handler om at ændre på vores nye løsning uden at ødelægge den.

Og sådan fortsætter det op ad pyramiden: Trin efter trin med de trusler som vi it-folk prioriterer i hverdagen.

Går det galt på et af trinene, rutsjer vi hele vejen ned til bunden og må begynde forfra med at få det til virke.

Truslen fra revisoren

Jeg er særlig glad for Wendy Nathers næstøverste trin: Beskyt mod auditører og sikkerhedsrevisorer.

Det lyder måske kættersk, men i mange organisationer vejer hensynet til at bestå en auditering tungere end ønsket om at beskytte mod rigtige angreb.

At beskytte mod angribere er placeret allerøverst på Wendy Nathers pyramide. En ganske lille trekant afslutter hendes pyramide, hvor alle de øvrige hensyn fylder langt mere.

Trist, men sandt.

I dagligdagen har de færreste it-organisationer ressourcer til at arbejde aktivt med informationssikkerheden.

Nedskriv procedurer

Som jeg før har skrevet, mangler sikkerhedsarbejdet i de fleste organisationer tre ting: Tid, penge og ressourcer i form af arbejdskraft.

Det får vi kun, hvis ledelsen erkender behovet for informationssikkerhed.

Medarbejdere prioriterer de opgaver, deres ledelse giver dem besked på at prioritere - eller de opgaver, de selv finder mest presserende.

Hvis medarbejderen sidder med næsen nede i logfilerne, og en frustreret bruger kommer ind på kontoret og beder om hjælp til sin pc, er det meget forståeligt, at medarbejderen vælger at hjælpe sin kollega først.

Derfor skal der være styr på forretningsgangene.
Aftalte og nedskrevne processer sikrer, at sikkerhedsmedarbejderen ikke bliver afbrudt med brandslukningsopgaver.

En central servicedesk er første skridt på vejen. Her indsamler it-afdelingen fejlmeldinger og ønsker fra brugerne, så de kan prioriteres og fordeles til medarbejderne.

Ønsker du flere råd om effektivisering af it-arbejdet, kan jeg varmt anbefale ITIL (Information Technology Infrastructure Library).

Hvis it-afdelingerne får bedre styr på dagligdagen, bliver det muligt at rykke sikkerheden længere ned i it-behovspyramiden - og det vil være til gavn for os alle.

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT udsender advarsler og tager imod henvendelser om sikkerhedsrelaterede hændelser på internettet. DKCERT er en organisation i DeIC, DTU.

Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Targit A/S
Udvikling og salg af software til business intelligence.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere