Artikel top billede

Begår du også denne sikkerhedsbrøler?

Mange sikkerhedsfolk elsker at vise tal og statistikker frem, der skal dokumentere sikkerhedsniveauet i virksomheden. Ofte er alle andre end dem selv bedøvende ligeglade.

Der er ikke ret mange andre end dig selv, der går op i dine sikkerhedsmålinger.

Sådan skriver Gartner-rådgiver Paul Proctor i et blogindlæg, hvor han forklarer, at han som leder af risikovurderinger og sikkerhed hos Gartner ser mange eksempler på måle-metoder og dashboards, som meget få ledere i organisationen går op i.

"Grunden til, at ingen går op i det, er, fordi du ikke ved noget om dem og om, hvad der betyder noget for dem. De (beslutningstagerne) beder dig om disse målinger, fordi de har pligt til at gøre det. Ikke fordi de går op i det eller ønsker at høre fra dig. De ønsker, at dette problem forsvinder (sikkerhed distraherer dem fra deres daglige job)." 

Sådan bør du IKKE gribe det an

Paul Procor anbefaler, at man skal sørge for, at de informationer, man giver lederne, rent faktisk har en betydning for deres beslutninger.

Han lister en række eksempler på traditionelle måder at måle sikkerhed på - men som ikke giver den store mening, når det kommer til stykket:

"Måling: Antallet af gange, vi blev "angrebet" sidste måned - Meget almindeligt, fuldstændig værdiløst," lyder et eksempel fra Paul Proctor.

Eller hvad med dette eksempel:

"Måling: Antallet af ikke-patchede sårbarheder - Meget almindeligt. Har potentiale, men det er ikke specifikt nok til at guide i operationelle beslutninger. Hvis du rapporterer en forbedring af dette, har du kun bevist, at du passer dit arbejde."

Gartner-rådgiverens pointe er, at man som minimum bør sammenholde antallet af alvorlige sårbarheder, der ikke er blevet lukket, med antallet af kritiske systemer.

"Har potentiale for brugbar beslutningstagning, når antallet stiger eller falder, men "antallet" af kritiske patches og selv kritiske systemer svinger frem og tilbage, så et "antal" kan være meningsløst," lyder indsparket fra Paul Proctor.

Sådan BØR du gøre

Hans konkrete anbefalinger lyder derfor, at man skal se på eksempelvis antallet af dage, det tager at lappe kritiske huller i kritiske systemer. Eller endnu mere konkret:

Antallet af dage, det tager at lappe systemer, der understøtter produktionen i Kuala Lumpur - med udgangspunkt i en viden om, at Kuala Lumpur har tre gange så meget nedetid, som man har regnet med, og at denne lokation står for 40 procent af virksomhedens omsætning.

"Som du kan se, er de målinger, der betyder noget, dem med en forretningskontekst for dine chefer. Det er ikke muligt at samle en liste op fra en kilde, der vil være andet end et udgangspunkt for, at du kan udvikle et godt og unikt sæt målinger for din organisation."

"Du er nødt til at rulle ærmerne op, sætte dig ned med dine beslutningstagere og finde ud af, hvad der betyder noget for dem," lyder det fra Gartner-rådgiveren.

Følg @kimstensdal på Twitter

Læs også:

13 sandheder om it-sikkerhed som ikke holder vand

Unge blæser på virksomhedens sikkerhed: Så farlige er de




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
JN Data A/S
Driver og udvikler it-systemer for finanssektoren.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
AI i praksis: Fokus på teknologi og best practice

Tag med os på en rejse ind i AI’s verden, hvor vi udforsker anvendelsesmulighederne og belyser, hvordan AI kan gøre en positiv forskel. Vi kigger nærmere på de teknologier og platforme, som det kan give mening for din virksomhed at satse på, og eksperterne giver dig gode råd til, hvordan man kan arbejde innovativt og agilt med kunstig intelligens-løsninger.

19. august 2021 | Læs mere


MS Power Platform - hvad kan det for dig?

Med Microsoft Power Platform kan virksomhederne både visualisere og dele deres data helt uden kendskab til at kunne kode og digitalisere arbejdsgange. Hør hvordan en række danske virksomheder anvender platformen i store dele af virksomheden – og med succes.

24. august 2021 | Læs mere


Opgøret med legacy-systemer: Få styr på mulighederne, planen og businesscasen

I en verden hvor alt forandres konstant, og hvor kravene til virksomhedernes digitale formåen vokser, er der stadig mange organisationer og virksomheder, der bliver hæmmet af deres legacy-systemer. Det kan være en lang og hård rejse at afskaffe disse systemer, men på sigt kan virksomhederne høste frugt af deres arbejde.

25. august 2021 | Læs mere






Premium
Efter kæmpeinvestering: Danske Dixa skal firdoble antallet af udviklere
På halvandet år skal det unge it-selskab Dixa firdoble holdet af produktudviklere fra 75 til 300. Sådan lyder ambitionen hos det danske selskab, der netop har modtaget en kapitalindsprøjtning på 660 millioner kroner.
Computerworld
Gigantisk kollektivt nedbrud rammer flere internationale hjemmesider
Igen var flere internationale hjemmesider ude af drift. En fejl ramte over 50 af de største internationale websites tordag aften. Se alle detaljer on nedbruddet her.
CIO
Årets CIO 2021: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?
Det er den mest eftertragtede titel for danske it-chefer og CIO'er, der er på spil, når Årets CIO kåres 16. september 2021. Søg selv eller prik til en, som du kender - og læs mere om prisen her.
Job & Karriere
Så meget kan du tjene: Disse stillinger giver den højeste løn i den danske it-branche lige nu
Du skal have ledelsesansvar, hvis du vil helt tops i lønhierakiet i den danske it-branche, viser nye tal. Se hvor meget du kan tjene i de stillinger i it-branchen, der giver den højeste månedsløn lige nu.
White paper
Servere til finans, avanceret dataanalyse eller forskning? Få hurtigt overblik her
Få viden om nyeste muligheder for at vælge servere til understøttelse af både stabile workloads og særdeles krævende opgaver med behov for eksempelvis AI og ML og tungt træk på GPU.