Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 10. oktober 2003.
Hvis ikke en virksomhed ved, hvilken risikoprofil der er den rigtige, ender virksomheden måske med at investere sig selv ihjel.
Sikkerhedsvurdering
Mange analyse- og rådgivningsvirksomheder tilbyder at gennemgå en virksomhed for at fastslå, hvordan det ser ud med it-sikkerheden. Faktisk er der rigtig mange af den slags rådgivningsvirksomheder.
En af dem er KPMG, der har en specialafdeling for risikostyring inden for it, KPMG IT
Risc Management. Lederen af afdelingen Carsten Heilbuth forklarer, at KPMG har en holistisk tilgang til problematikken.
- Vi starter med at gennemgå alle områder inden for it-sikkerhed. Områderne omfatter logisk og fysisk sikkerhed og dokumentation. Ledelsen og andre nøglemedarbejdere interviewes for at fastslå, om sikkerhedspolitikken svarer til den pågældende virksomhed og den risikoprofil, virksomheden ønsker at have, siger han.
Investere ihjel
Heilbuth tilføjer, at en virksomhed nemt kan investere sig selv ihjel, hvis ikke den ved, hvad den vil have inden for it-sikkerhed. En typisk case findes ifølge KPMG ikke, men mange virksomheder mister rigtig mange penge indadtil, det vil sige på personale, der bevidst eller ubevidst jokker i spinaten.
- Gang på gang viser det sig, at der tabes langt flere penge internt i virksomheden end mod omverdenen, fastslår Carsten Heilbuth.
Der skal blandt andet ses på den logiske adgangskontrol, det vil sige password, og hvad medarbejderne må og ikke mindst ikke må på internettet.
Et andet område er change management, som blandt andet handler om kontrolprocedurer, når den bestående virkelighed skal ændres for at sikre en høj driftssikkerhed. Her kan det komme på tale at ændre på både software, hardware, interne og eksterne procedurer og få lukket eventuelle huller.
Sober sikkerhed
Generelt hober mere og mere it-udstyr sig op i virksomhederne, og det kræver en ordentlig og sober it-sikkerhed at holde styr på det, som Heilbuth udtrykker det.
- Alle disse ting taget i betragtning er det klart min vurdering, at markedet for it-sikkerhed er stigende, siger Heilbuth, der ud over at være afdelingsleder også er partner i KPMG, medlem i bestyrelsen for Dansk IT og medlem af Statens IT-sikkerhedsråd.
Omsætningen i KPMG's IT Risc Management-afdeling har også været i konstant vækst i en del år, og den udvikling ser ikke ud til at vende lige med det første.
Konkurrenterne er dels de andre store revisions- og konsulenthuse som Deloitte &
Touche og PricewaterhouseCoopers, dels møder KPMG stigende konkurrence fra egentlige it-leverandører som HP og IBM.
- Og den konkurrence byder vi velkommen, siger Carsten Heilbuth.
- Nogle gange møder vi dem i reel konkurrence, andre gange ender vi som samarbejdspartnere.
Når snakken falder på konkurrence i markedet, så udtrykker Heilbuth stor utilfredshed med "de mange skidesprællere, der slår sig op på ekspertise på it-sikkerhed". Dem har Carsten Heilbuth ikke meget tilovers for.
For at vende tilbage til det holistiske så er it-sikkerhed utroligt dyrt at komme i nærkontakt med.
- Derfor er det nødvendigt at tænke sig godt om, og det er vigtigt, at it-sikkerheden er gearet til den virksomhed, du er i, og at sikkerhedsniveauet svarer til virksomhedens behov. Måske er det ikke realistisk at nå målet på et år, men så lav en femårsplan og husk at revurdere planen hvert år. En ting er sikkert, og det er, at it-sikkerhed er en dynamisk størrelse, der hele tiden skal holdes øje med.
Billedtekst:
- It-sikkerheden skal være gearet til den virksomhed, du er i, og sikkerhedsniveauet skal svare til virksomhedens behov. Måske er det ikke realistisk at nå målet på et år, men så lav en femårsplan og husk at revurdere planen hvert år, siger Carsten Heilbuth, leder af KPMG's specialafdeling for risikostyring inden for it.
Foto: Torben Klint