Log ind
Publiceret d. 5. januar 2009 kl. 13.30
ANNONCE:
Indholdsfortegnelse:
Men det er en kortsigtet strategi, mener senior manager i Deloitte Business Consulting Michael Strand, der er certificeret i en række former for it-sikkerhed.
"Jeg ser ofte, at it-ledere og sikkerhedsledere reaktivt investerer i at sikre deres it mod de sikkerhedsfarer, som er øjeblikkets hotte emner i fagpressen, eller at de sikrer sig mod alle de sikkerhedsfarer, de kender og frygter," siger han.
Michael Strand peger på, at moderne sikkerhedsledelse i virkeligheden har til formål at sikre, at ingen ukendte og uaccepterede risici tages i virksomheden.
Det betyder grundlæggende, at it-chefen og sikkerhedslederen systematisk skal sikre, at der gennemføres en risikoanalyse for at skabe overblik over, hvilke aktiver virksomheden har som for eksempel it-systemer, data, personer, prestige med mere.
Derudover skal analysen indeholde en beskrivelse af, hvad der kan true aktiverne, hvilket eksempelvis kan være vira og hackere.
Endelig skal analysen vise, hvor sårbart hvert enkelt aktiv er i forhold til eksempelvis 'web-defacing', datatab, datatyveri og svindel.
Næste skridt i risikoanalysen er at identificere mulige kontrolforanstaltninger som firewall eller anti-virus.
"Samtidig skal man også bestemme prisen, man vil betale for den givne kontrolforanstaltning," siger Michael Strand.
Han forklarer, at it-chefen og sikkerhedslederen må afveje risikoen for, at et aktiv møder en trussel.
"Med ovenstående kan it-chefen og sikkerhedslederen danne sig et komplet billede af alle risici, og han kan træffe prioriterede og velbegrundede beslutninger om investeringer i kontrolforanstaltninger," siger han.
Fortsættes ...
|
