Artikel top billede

Derfor skal du bruge dine penge på it-sikkerhed

Klumme: Flere store sikkerhedsbrud i 2011 viser, at der er brug for at investere i it-sikkerhed.

Holder dit nytårsforsæt om at træne mere eller holde op med at ryge?

Formålet med den slags forsætter er at forebygge frem for at helbrede.

Det samme princip gælder, når vi skal beskytte virksomhedens it-aktiver.

Start med at få pungen op af lommen. I disse krisetider er det måske en uventet opfordring.

Men jeg synes, at beslutningstagerne skal indse, at der er brug for øgede ressourcer til it-sikkerhed.

Når konjunkturerne går ned, er det naturligt at kigge efter besparelser.

It-budgetterne får også med sparekniven - og it-sikkerhed slipper ikke for en mere eller mindre brutal barbering. Men det er et farligt sted at skære.

For tyve år siden kunne man forsvare at slække på it-sikkerheden.

De fleste virksomheder var dengang mindre afhængige af deres it, end de er i dag.

Kan ikke klare sig uden it

Men i 2012 kan mange virksomheder og offentlige institutioner slet ikke klare sig uden it.

Det medfører også, at brud på sikkerheden koster dyrt - både i dårlig omtale og i udgifter til oprydning.

Se for eksempel på en virksomhed som Sony. Sidste år tiltvang hackere sig adgang til Sony PlayStation Network.

Det anslås, at de fik fat i brugernavne og ukrypterede passwords på omkring 70 millioner brugere.

Siden fik hackere adgang til 24,6 millioner brugerkonti på Sony Online Entertainment.

Det har været dyrt for Sony. Firmaet måtte tage sine to netværkstjenester offline i flere uger.

På de interne linjer har der været udgifter til at etablere den sikre infrastruktur, som Sony burde have haft på plads i forvejen, så hackere ikke igen får adgang til ukrypterede brugerdata.

Og så er der det massive tab af omdømme.

I bliver angrebet

Sony-sagen viser, at det kan betale sig at investere i it-sikkerhed.

I dag er alle virksomheder på nettet. Derfor kan man lige så godt erkende, at ens it-systemer på et tidspunkt vil blive hacket.

Det er ikke et spørgsmål om, hvorvidt det sker, men hvornår det sker.

Når jeg anbefaler at investere i it-sikkerhed, handler det ikke kun om at købe hardware og software.

Sikkerhed er en kombination af mennesker, processer og teknologi.

Og en investering i mennesker og processer er ofte en forudsætning for, at investeringen i teknologi bliver en succes.

Sådan får du styr på din sikkerhed

På processiden er det en god ide at begynde med beredskabsplanen.

Hvis I ikke har en, er det på tide at udarbejde den.

Har I den, skal den garanteret revideres.

Der skal være en plan for, hvordan I beskytter jeres kritiske forretningsaktiver.

Det kan for eksempel være firmaets webshop, hvis mange ordrer kommer ind ad den vej.

Eller det kan være produktionssystemet eller sælgernes CRM-system (Customer Relationship Management).

For hvert aktiv skal planen angive, hvem der skal gøre hvad, hvornår og hvorfor.

Giver synlighed

En af fordelene ved at udarbejde en beredskabsplan er, at den giver synlighed.

Virksomheden bliver pludselig opmærksom på, hvilke værdier den råder over.

Måske opdager man nogle aktiver, man ikke havde tænkt over før.

Uddan medarbejderne

På menneskesiden anbefaler jeg, at I investerer i uddannelse.

Her kan en af sikkerhedssagerne fra 2011 være nyttig at se på:

Sikkerhedsfirmaet RSA, som burde være blandt de mest sikkerhedsmindede firmaer, blev udsat for et sikkerhedsbrud: Hackere fik fat i data om virksomhedens SecurID-system til sikker login.

Nej, hackerne benyttede ikke en hidtil ukendt sårbarhed i en af RSA's servere til at få adgang til forretningshemmelighederne.

I stedet sendte de en mail med en vedhæftet fil til udvalgte medarbejdere.

En medarbejder klikkede på det vedhæftede Excel-regneark. Det indeholdt et Flash-element, der udnyttede en hidtil ukendt sårbarhed i Flash til at installere en bagdør.

Hvis medarbejderen havde været klar over, at man ikke skal åbne vedhæftede filer, man får tilsendt uopfordret, kunne angrebet måske være afværget.

Så uddannelse er vigtig. Ikke mindst fordi mange medarbejdere i dag ikke kun har adgang til virksomhedens data fra pc'en på arbejdet.

Via smartphones kan de tilgå mail, kundedatabaser og anden fortrolig information.

Derfor skal de lære, hvordan de beskytter data på smartphones, bærbare pc'er og andre mobile enheder.

Helt overordnet bør it-sikkerhed indgå som en naturlig del af organisationens samlede strategi for anvendelse af it.

Og med den betydning, it har i mange virksomheder, betyder det reelt, at den skal skrives ind i forretningsstrategien.

Vi skriver mere om ovenstående emner i DK-Certs Trendrapport 2011, der er lige på trapperne.

Her finder du blandt andet 10 anbefalinger til beslutningstagere om øget it-sikkerhed.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team.

I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

DK-CERT er en tjeneste fra UNI-C, en styrelse under Undervisningsministeriet.

Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Alfapeople Nordic A/S
Rådgivning, implementering, udvikling og support af software og it-løsninger indenfor CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Strategisk IT-sikkerhedsdag 2022 - identificer, beskyt og forsvar

IT-sikkerhedstruslerne mod virksomhederne er i takt med tiden blevet større og værre, fordi virksomhederne er mere end nogensinde før afhængige af data og IT. Det stiller krav til de IT-ansvarlige, der konstant skal tage bestik af det skiftende trusselniveau. Det kræver blandt andet, at it-sikkerhed bliver sat på den strategiske dagsorden i virksomhederne – men hvordan?

25. januar 2022 | Læs mere


Hjemmearbejdets påvirkning på trivsel, helbred og arbejdsmiljø

Fremtidens arbejdsplads er hybrid, det er der ingen tvivl om. Men hvad fører det egentlig med sig? Og hvordan omstiller du og din arbejdsplads sig til det? Det kan du blive klogere på, på denne digitale konference.

02. februar 2022 | Læs mere


GDPR - persondatabeskyttelse i praksis

Håndteringen af persondata og GDPR er for længst blevet hverdag hos de danske organisationer, men derfor er det til stadighed vigtigt og altafgørende, at den løbende overholdelse af GDPR er på plads. Vær med og hør, hvordan du ved hjælp af processuelle greb, værktøjer og systemer kan sikre dette.

08. februar 2022 | Læs mere