Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 24. februar 2006.
Råb ledelsen op med it-sikkerhed, og hold medarbejderne til ilden, lyder råd fra Dansk IT's formand og Dansk Standards it-chef på baggrund af en rundspørge om it-sikkerhed til Dansk IT's it-chefpanel.
It-sikkerhed fastholder sin mangeårige plads i toppen af it-chefernes dagsorden som et emne der kræver opmærksomhed - både i forhold til topledelsen og medarbejderne.
- Sikkerhed kan være anledning til, at man får taletid hos den øverste ledelse, og den mulighed for dialog skal man gribe, siger Per Buchwaldt, formand for Dansk IT.
Som baggrund peger han eksempelvis på, at mange virksomheder har gennemført en betydelig konsolidering af deres it-organisation som led i den såkaldte "one company" strategi med effektivisering for øje. Det giver en større koncentration, og dermed bliver single point of failure mere markant.
- Det er nødvendigt med globale løsninger - med sammenhæng mellem produktion i Kina og efterspørgsel i Danmark eller hvad det nu er. Men går det galt, bliver det hele lagt ned. Det kunne være anledning til at tale med ledelsen om, at når man gør sådan, bliver man nødt til at revurdere sin it-sikkerhed, påpeger Per Buchwaldt.
I en ny rundspørge til Dansk IT's it-chefpanel svarer kun 28 procent, at it-sikkerhed absolut har den overordnede ledelses bevågenhed. Halvdelen svarer "i nogen grad" på spørgsmålet, mens 19 procent siger, at it-sikkerheden kun i ringe grad har ledelsens bevågenhed.
Dansk IT's formand mener i øvrigt, at omsiggribende krav fra forretningspartnere vil være med til at få it-sikkerheden ind på lystavlen hos ledelsen. Krav der udspringer af den amerikanske virksomhedslovgivning Sarbanes-Oxley, hvor it-sikkerhed er en afgørende faktor, eller den europæiske pendant i EU's 8. direktiv.
Svageste led
I den anden ende af virksomheden optræder medarbejderne igen i den seneste rundspørge som det svageste it-sikkerhedsled.
Her handler det om at påvirke mennesker og holdninger, og det er en meget væsentlig opgave, fastslår Kirsten Sanders. Hun er it-chef hos Dansk Standard, virksomheden, der blandt andet står for it-sikkerhedscertificeringen DS 484.
Bevidsthed om it-sikkerhed skal helt ind under huden på medarbejderne, og derfor er hun hele tiden på vej ud over stepperne med kommunikation om samt regler og politik for området.
- Vi har ansvarlige medarbejdere, der er dygtige til at fastholde it-sikkerheden, og alligevel arbejder vi uophørligt med at holde fokus og højne deres opmærksomhed. Der kommer jo hele tiden noget nyt at forholde sig til, og vi får også hele tiden nye folk, siger Kirsten Sanders.
udfarende it-chef
It-sikkerhedsregler og politikker indgår i den to dage lange introduktion af nye medarbejdere hos Dansk Standard. Derudover er it-chefen udfarende i virksomheden.
- Jeg tager rundt på afdelingsmøder og fortæller om nye tiltag og trusler. Da vi fik en proxy-server, fortalte jeg for eksempel om, hvad den gør, og hvad det betyder for virksomheden. At den kan beskytte os mod spyware, som før var et stort problem.
- Derudover bruger jeg intranettet til at orientere gennem. Om emner som password-sikkerhed - hos os afgiver man det end ikke til it-afdelingen. Om spam og phising - emner som også er relevante for folk på privatfronten. Vi ser holistisk på det - det er vigtigt, at folk tager bevidstheden om it-sikkerhed med hjem og hele tiden tænker over, hvad de gør, siger Kirsten Sanders.
Dansk Standard er selv i gang med at blive certificeret efter DS484. I den forbindelse er en risikoanalyse netop gennemført, og både en revision af sikkerhedspolitikken og en beredskabsplan skal på plads som led i arbejdet.
Selv om virksomheden ikke lever af fortrolige data, er it-sikkerheden et kerneparameter for forretningen.
- Hvis ikke it-sikkerheden fungerede, ville forretningen heller ikke fungere, siger Kirsten Sanders.
Billedtekst:
- Hvis ikke it-sikkerheden fungerede, ville forretningen heller ikke fungere, siger Kirsten Sanders, it-chef i Dansk Standard.
Foto: Torben Klint
Boks:
Uha - mail og medarbejdere
Selv om udviklingen går stærkt på it-sikkerhedsområdet, er det gamle kendinge, der topper listen over største risici og udfordringer: Mail og medarbejdere.
E-mail ses stadig som det mest risikable element, fulgt af mobile enheder på andenpladsen og hjemmearbejdspladser som nummer tre. Først på fjerdepladsen dukker web-applikationerne op - vel at mærke fra 'ukendte' kunder såsom ved internethandel.
Når det gælder it-sikkerhedsmæssige udfordringer, er der stadig intet, der slår den menneskelige faktor. At styre medarbejdernes adfærd er stadig den største hurdle, vurderer Dansk IT's it-chefpanel.
Herefter afspejler svarene den hastige udvikling, der gør det svært at følge med. Således optræder udfordringen ved at nå at agere/patche i tide, når trusler opstår, på andenpladsen. Vanskelighederne ved at have de rette kompetencer i sin organisation sniger sig ind på tredjepladsen et mulehår foran udfordringen ved at holde sig orienteret om det hastigt skiftende trusselbillede.
Boks:
Sikkerhedsfolk får
større indflydelse
procent af de mennesker, der har ansvar for it-sikkerheden i virksomheder, forventer at møde større opmærksomhed fra både direktion og bestyrelse i løbet af 2006.
Det viser en undersøgelse fra december 2005. 4.305 personer, der på fuld tid beskæftiger sig med it-sikkerhed, har svaret, og de repræsenterer 80 lande.
Som årsag til, at de sikkerhedsansvarlige venter at få mere indflydelse, anføres, at it-sikkerhed for alvor har fået topledelsens opmærksomhed. Hvor det før i høj grad blev betragtet som et teknisk spørgsmål, indgår it-sikkerheden i dag som et væsentligt element i firmaernes risikostyring.
Undersøgelsen er foretaget af IDC, og den er sponseret af en nonprofitorganisation for it-sikkerhedsfolk, (ISC)2, der har 40.000 medlemmer. Det er også samme organisation, som står bag den kendte CISSP-sikkerhedscertificeringen.
Blandt de andre resultater kan nævnes følgende:
? 21 procent af de sikkerhedsansvarlige oplyste, at det endelige ansvar for it-sikkerheden ligger hos den administrerende direktør. I 2004 var tallet 12 procent.
? It-chefen rolle som sikkerhedsansvarlig er mindsket. I 2004 svarede 38 procent, at ansvaret lå hos it-chefen.
I 2005 var tallet 30,5 procent.
? Organisationer (virksomheder og myndigheder) bruger gennemsnitligt 43 procent af it-sikkerhedsbudgettet på personale, uddannelse og træning, og der forventes en kraftig stigning netop inden for uddannelse og træning.
? Andelen af sikkerhedsansvarlige, der har en master-grad eller tilsvarende er stigende. I Europa lå andelen på 42 procent, mens tallet for USA er 34 procent.
IDC forventer i øvrigt, at antallet af mennesker, der arbejder med it-sikkerhed, vil stige med gennemnsitligt 8,5 procent årligt frem til 2009.
toft
OriginalModTime: 23-02-2006 15:05:17
