Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 28. oktober 2005.
Økonomi- og Erhvervsministeriets sikkerhed varetages af en central it-funktion, som har outsourcet noget af it-sikkerheden.
I Økonomi- og Erhvervsministeriet har man valgt at centralisere det meste it i en central enhed kaldet Koncern IT. Ud over at levere it-ydelser til Ministeriet selv, leverer Koncern IT også it til en række styrelser under Økonomi- og Erhvervsministeriet som Erhvervs- og Byggestyrelsen, Konkurrencestyrelsen samt Søfartsstyrelsen. Koncern IT er dermed også ansvarlig for it-sikkerheden. Noget af Koncern IT's it-sikkerhed er outsourcet til TDC IT Sikkerhed.
- Man kan sige, at vi internt har outsourcet vores it-sikkerhed til Koncern IT, og Koncern IT har så outsourcet noget af it-sikkerheden til TDC, siger Torkil Munck, specialkonsulent i Økonomiministeriet.
TDC IT Sikkerhed tager sig af netværkssikkerhed og sikkerhed i forbindelse med internettet.
- TDC IT Sikkerhed håndterer netværk og firewalls ud til omverdenen, oplyser Torkil Munck.
Da Koncern IT har en række styrelser som kunder, er det fælles net delt op i forskellige netværkssegmenter. Mellem de enkelte netværkssegmenter står der firewalls, som ministeriets egne it-afdelinger selv håndterer driften af.
Nogle af styrelserne har valgt at lægge al deres it i Koncern IT, mens andre selv har en it-afdeling.
- Der kan være nogle helt specifikke forretningskrav, der gør, at man ikke outsourcer til hverken Koncern IT eller eksterne leverandører. Eksempelvis kan Danmarks Statistik ligge inde med data, som man ønsker at sikre på en bestemt måde, siger Torkil Munck.
Netop forretningskravene er noget, der er vigtigt ved etablering af en it-sikkerhedspolitik.
- Vi er ved at udarbejde en overordnet sikkerhedspolitik og her tager vi udgangspunkt i de forretningsmæssige behov, fortæller Torkil Munck.
Den overordnede sikkerhedspolitik tager blandt andet afsæt i en såkaldt risikovurdering. Risikovurderingen foretages ud fra en forretningsmæssig synsvinkel, hvor man vurderer, hvilken betydning det får, hvis der er problemer med sikkerheden.
- Ved risikovurderingen vurderer forretningen, hvilken betydning det kan have, hvis mailsystemet går ned, eller der forsvinder følsomme data i et givent forretningssystem, siger Torkil
Munck.
- Det er forretningen, der skal prioritere, hvor vi skal sætte ind med sikkerhed. Det er spild af ressourcer at bruge mange penge på at sikre systemer, som ikke har den store betydning for forretningen. Hvis forretningen vurderer, at det vil være katastrofalt at stå uden et bestemt system, gør vi alt for at sikre tilgængeligheden af det pågældende system. Her går vi over til en mere teknisk analyse, en sårbarhedsanalyse af systemet, siger Torkil Munck.
Ved en sårbarhedsanalyse går man mere ned i de systemmæssige detaljer. Her undersøges, hvor godt systemet er sikret og hvad der eventuelt kan gøres bedre, så sikkerheden lever op til forretningens krav.
Udarbejdelsen af sikkerhedspolitikken har ministeriet selv stået for, men eksterne sikkerhedskonsulenter har været med til noget af arbejdet med risikovurdering og sårbarhedsanalyse.
- Der fandtes eksempelvis ikke et risikovurderingsværktøj, vi kunne bruge, så det lavede vi selv i samarbejde med eksterne sikkerhedskonsulenter. De eksterne sikkerhedskonsulenter udviklede værktøjet sammen med en gruppe af it-sikkerhedskoordinatorer fra de forskellige styrelser, siger Torkil Munck.
Den daglige sikkerhedsmæssige overvågning håndteres dels af egne driftsfolk, dels af TDC IT Sikkerhed.
- Driften holder øje med den daglige overvågning og sørger for at patche de forskellige systemer. Samtidig sørger TDC for at opsamle data fra netværk og firewalls og vurdere sikkerheden ud fra de opsamlede data.
- Sikkerhed er, hvad vi kalder et moving target. Det er en løbende proces, siger Torkil Munck og fortsætter:
- Der er en løbende vurdering af, hvad der outsources. Vi er ikke verdensmestre i alting.