Der findes mange lister over, hvad man skal gøre for at forbedre sin it-sikkerhed. Men nogle gange kan det være interessant at se tingene fra den modsatte side. How to Suck at Information Security er en liste med alt, du skal gøre, hvis du vil være helt sikker på at få besøg af hackere, skabe frustration hos dine brugere og miste dine data.
Her kan man blandt andet læse gode råd som »betal nogen for at skrive din sikkerhedspolitik uden kendskab til din virksomhed eller dine processer«, »sørg for, at ingen af dine medarbejdere kan finde sikkerhedspolitiken« og »gå ud fra, at sikkerhedsreglerne ikke gælder for direktionen«.
Nu findes der heldigvis sikkerheds-løsninger som kan beskytte mod de fleste trusler, især hvis man følger de mange råd på listen, som »implementer en standardløsning uden at tilpasse den«, »lad din antivirus og IDS køre på automat-pilot« og »køb sikkerheds-produkter uden at tænke på udgifterne til drift og vedligeholdelse«.
Men hvorfor overhovedet bekymre sig om it-sikkerhed? How to Suck at Information Security har flere gode råd på lager. »Stol på, at du ikke behøver bekymre sig om sikkerhed, fordi din virksomhed er for lille eller ubetydelig« og »Stol på, at du er sikker, fordi du ikke er blevet kompromitteret for nylig« vil sikkert udløse glæde hos enhver it-chef.
Og så er den klassiske udfordring med brugernes kodeord og deres sikkerhed eller mangel på samme. »Stil krav om, at dine brugere skal skifte kodeord for ofte«, »Forvent at brugerne kan huske kodeord uden at skrive dem ned« og »Brug det samme kodeord til systemer med forskellige sikkerhedskrav« er nogle af de råd, som med garanti vil gøre din it-sikkerhed hullet som en si.
Listen, der er udarbejdet af Internet Storm Center, skal naturligvis læses med et glimt i øjet, men mon ikke de fleste it-chefer kan genkende mange af punkterne på listen.
