Søg

Den væsentligste hindring for it-sikkerhed: Hverdagens travlhed

Klumme: It-afdelingens behovspyramide placerer informationssikkerhed på toppen - og det er en dårlig placering.

26. september 2014 kl. 14.30
Artikel top billede
Shehzad Ahmad Shehzad Ahmad Head of it security, IF

Har du kigget logfilerne fra firewallen igennem?

Næppe. Men du gør det, så snart du lige har fået printeren på første sal til at fungere igen og oprettet den nye bruger i ERP-systemet.

Ikke?

Hverdagen for mange it-folk består af en nærmest ubrudt række af afbrydelser i det, de egentlig skulle beskæftige sig med.

Jeg tænker på brandslukning af typen "Min mail virker ikke" eller "Vi skal bruge en projektor i det nye mødelokale."

Den slags opgaver tager tid fra dem, vi burde fokusere på.
It-behovspyramiden

Det enkle diagram

Jeg har berørt emnet kort i tidligere klummer. Men for nylig faldt jeg over et diagram, der illustrerer problemet meget enkelt og sigende.

Diagrammet er udarbejdet af en amerikansk analytiker, Wendy Nather fra 451 Research.

Hun har taget udgangspunkt i den gode, gamle Maslows behovspyramide.

Titlen er ganske rammende: "The hierarchy of IT needs. Or, why you can't get your management team to take security seriously."

Ligesom Maslow begynder pyramiden nedefra med de mest basale behov.

Hos Maslow er det menneskets behov for mad, varme og et sted at sove.

Wendy Nathers pyramide handler om kravene til it-funktionen. Pyramiden er opbygget ud fra, hvilke trusler it-folk tager mest alvorligt.

Derfor lyder det nederste krav ganske enkelt: "Få det til at køre."


Den største trussel for en it-ansat er, at systemet ikke virker.
Sikkerheden kan vi altid kigge på senere - den er alligevel irrelevant, hvis systemet ikke er i luften.

Hold det kørende

Næste trin på pyramiden går ud på at sikre, at systemet bliver ved med at køre. Det må ikke løbe tør for diskplads.

En ændring må ikke sætte det ud af drift. Strømmen må ikke blive afbrudt.

Den kender enhver, der har installeret de seneste rettelser fra Microsoft for derefter at se blue screen of death på brugernes skærme.

På pyramidens tredje trin skal vi undgå, at den nye it-løsning smadrer noget i resten af vores it-system.

Det fjerde trin handler om at ændre på vores nye løsning uden at ødelægge den.

Og sådan fortsætter det op ad pyramiden: Trin efter trin med de trusler som vi it-folk prioriterer i hverdagen.

Går det galt på et af trinene, rutsjer vi hele vejen ned til bunden og må begynde forfra med at få det til virke.

Truslen fra revisoren

Jeg er særlig glad for Wendy Nathers næstøverste trin: Beskyt mod auditører og sikkerhedsrevisorer.

Det lyder måske kættersk, men i mange organisationer vejer hensynet til at bestå en auditering tungere end ønsket om at beskytte mod rigtige angreb.

At beskytte mod angribere er placeret allerøverst på Wendy Nathers pyramide. En ganske lille trekant afslutter hendes pyramide, hvor alle de øvrige hensyn fylder langt mere.

Trist, men sandt.

I dagligdagen har de færreste it-organisationer ressourcer til at arbejde aktivt med informationssikkerheden.

Nedskriv procedurer

Som jeg før har skrevet, mangler sikkerhedsarbejdet i de fleste organisationer tre ting: Tid, penge og ressourcer i form af arbejdskraft.

Det får vi kun, hvis ledelsen erkender behovet for informationssikkerhed.

Medarbejdere prioriterer de opgaver, deres ledelse giver dem besked på at prioritere - eller de opgaver, de selv finder mest presserende.

Hvis medarbejderen sidder med næsen nede i logfilerne, og en frustreret bruger kommer ind på kontoret og beder om hjælp til sin pc, er det meget forståeligt, at medarbejderen vælger at hjælpe sin kollega først.

Derfor skal der være styr på forretningsgangene.
Aftalte og nedskrevne processer sikrer, at sikkerhedsmedarbejderen ikke bliver afbrudt med brandslukningsopgaver.

En central servicedesk er første skridt på vejen. Her indsamler it-afdelingen fejlmeldinger og ønsker fra brugerne, så de kan prioriteres og fordeles til medarbejderne.

Ønsker du flere råd om effektivisering af it-arbejdet, kan jeg varmt anbefale ITIL (Information Technology Infrastructure Library).

Hvis it-afdelingerne får bedre styr på dagligdagen, bliver det muligt at rykke sikkerheden længere ned i it-behovspyramiden - og det vil være til gavn for os alle.

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT udsender advarsler og tager imod henvendelser om sikkerhedsrelaterede hændelser på internettet. DKCERT er en organisation i DeIC, DTU.

Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    Digitaliseringsstyrelsen

    Erfaren IT-profil til videreudvikling af MitID

    Københavnsområdet

    Statens IT

    IT-løsningsarkitekter til Statens It – vær med til at forme Danmarks digitale fundament

    Københavnsområdet

    KMD A/S

    Product Owner

    Midtjylland

    TD SYNNEX Denmark ApS

    Business Development Manager Nordics - Circular IT Services

    Uspecificeret arbejdssted

    Se flere it-stillinger
    Få en hurtigere, billigere og mere sikker AI-rejse

    Annonceindlæg fra Conscia

    Få en hurtigere, billigere og mere sikker AI-rejse

    Slip for uforudsigelige omkostninger i skyen og opnå fuld datakontrol med en AI-pod, der samler al nødvendig infrastruktur i dit eget datacenter.

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Netip A/S har pr. 1. november 2025 ansat Nikolaj Vesterbrandt som Datateknikerelev ved netIP's afdeling i Rødekro. Han er uddannet IT-supporter ved Aabenraa Kommune og videreuddanner sig nu til Datatekniker. Nyt job

    Nikolaj Vesterbrandt

    Netip A/S

    EG Danmark A/S har pr. 1. december 2025 ansat Søren Jermiin Olesen som Senior Product Manager. Han skal især beskæftige sig med finans- og debitorstyring i det offentlige med ansvar for økonomistyringssystemet EG ØS Indsigt. Han kommer fra en stilling som Product Manager hos KMD A/S. Han er uddannet Cand. oecon. Han har tidligere beskæftiget sig med økonomi bl.a. i Aarhus Kommune og været med til at udvikle NemØkonom før og efter salget til KMD. Nyt job

    Søren Jermiin Olesen

    EG Danmark A/S

    Norriq Danmark A/S har pr. 1. september 2025 ansat Katrine Køpke Rasmussen som Consultant. Hun skal især beskæftige sig med sikre vækst i NORRIQS kunders forretninger gennem hendes skarpe rapporteringer. Nyt job

    Katrine Køpke Rasmussen

    Norriq Danmark A/S

    Enterprise Rent-A-Car har pr. 1. september 2025 ansat Christian Kamper Garst som Senior Key Account Manager. Han skal især beskæftige sig med at vinde markedsandele i hele Norden som led i en storstilet turnaround-strategi. Han kommer fra en stilling som Salgsdirektør hos Brøchner Hotels. Nyt job

    Christian Kamper Garst

    Enterprise Rent-A-Car

    Se mere fra navnenyt

    Mest læste

    1 Styrelse siger farvel til Microsoft-programmer: 15.000 ansatte skal på open source
    2 Kinesisk skærmproducent er først med skærm-revolution
    3 Overrasker i test: Lille tysk pc-producent leverer en af julens bedste billige laptops
    4 Netcompany vinder kæmpeprojekt til 800 millioner kroner
    5 Tre danske vandværker hacket på én uge: "Der bliver ført hybridkrig mod os"
    6 Stor dansk faglig organisation ramt af databrud: 8.000 medlemmers personlige oplysninger er stjålet af hackere
    7 Stort, globalt it-konsulenthus skal spare 5,5 milliarder kroner: Nu får det konsekvenser for den danske afdeling
    8 Stor europæisk region drosler ned for Microsoft: Køber løsning hos M365-konkurrent til 550.000 brugere

    Se seneste uge