Artikel top billede

Den væsentligste hindring for it-sikkerhed: Hverdagens travlhed

Klumme: It-afdelingens behovspyramide placerer informationssikkerhed på toppen - og det er en dårlig placering.

Har du kigget logfilerne fra firewallen igennem?

Næppe. Men du gør det, så snart du lige har fået printeren på første sal til at fungere igen og oprettet den nye bruger i ERP-systemet.

Ikke?

Hverdagen for mange it-folk består af en nærmest ubrudt række af afbrydelser i det, de egentlig skulle beskæftige sig med.

Jeg tænker på brandslukning af typen "Min mail virker ikke" eller "Vi skal bruge en projektor i det nye mødelokale."

Den slags opgaver tager tid fra dem, vi burde fokusere på.
It-behovspyramiden

Det enkle diagram

Jeg har berørt emnet kort i tidligere klummer. Men for nylig faldt jeg over et diagram, der illustrerer problemet meget enkelt og sigende.

Diagrammet er udarbejdet af en amerikansk analytiker, Wendy Nather fra 451 Research.

Hun har taget udgangspunkt i den gode, gamle Maslows behovspyramide.

Titlen er ganske rammende: "The hierarchy of IT needs. Or, why you can't get your management team to take security seriously."

Ligesom Maslow begynder pyramiden nedefra med de mest basale behov.

Hos Maslow er det menneskets behov for mad, varme og et sted at sove.

Wendy Nathers pyramide handler om kravene til it-funktionen. Pyramiden er opbygget ud fra, hvilke trusler it-folk tager mest alvorligt.

Derfor lyder det nederste krav ganske enkelt: "Få det til at køre."


Den største trussel for en it-ansat er, at systemet ikke virker.
Sikkerheden kan vi altid kigge på senere - den er alligevel irrelevant, hvis systemet ikke er i luften.

Hold det kørende

Næste trin på pyramiden går ud på at sikre, at systemet bliver ved med at køre. Det må ikke løbe tør for diskplads.

En ændring må ikke sætte det ud af drift. Strømmen må ikke blive afbrudt.

Den kender enhver, der har installeret de seneste rettelser fra Microsoft for derefter at se blue screen of death på brugernes skærme.

På pyramidens tredje trin skal vi undgå, at den nye it-løsning smadrer noget i resten af vores it-system.

Det fjerde trin handler om at ændre på vores nye løsning uden at ødelægge den.

Og sådan fortsætter det op ad pyramiden: Trin efter trin med de trusler som vi it-folk prioriterer i hverdagen.

Går det galt på et af trinene, rutsjer vi hele vejen ned til bunden og må begynde forfra med at få det til virke.

Truslen fra revisoren

Jeg er særlig glad for Wendy Nathers næstøverste trin: Beskyt mod auditører og sikkerhedsrevisorer.

Det lyder måske kættersk, men i mange organisationer vejer hensynet til at bestå en auditering tungere end ønsket om at beskytte mod rigtige angreb.

At beskytte mod angribere er placeret allerøverst på Wendy Nathers pyramide. En ganske lille trekant afslutter hendes pyramide, hvor alle de øvrige hensyn fylder langt mere.

Trist, men sandt.

I dagligdagen har de færreste it-organisationer ressourcer til at arbejde aktivt med informationssikkerheden.

Nedskriv procedurer

Som jeg før har skrevet, mangler sikkerhedsarbejdet i de fleste organisationer tre ting: Tid, penge og ressourcer i form af arbejdskraft.

Det får vi kun, hvis ledelsen erkender behovet for informationssikkerhed.

Medarbejdere prioriterer de opgaver, deres ledelse giver dem besked på at prioritere - eller de opgaver, de selv finder mest presserende.

Hvis medarbejderen sidder med næsen nede i logfilerne, og en frustreret bruger kommer ind på kontoret og beder om hjælp til sin pc, er det meget forståeligt, at medarbejderen vælger at hjælpe sin kollega først.

Derfor skal der være styr på forretningsgangene.
Aftalte og nedskrevne processer sikrer, at sikkerhedsmedarbejderen ikke bliver afbrudt med brandslukningsopgaver.

En central servicedesk er første skridt på vejen. Her indsamler it-afdelingen fejlmeldinger og ønsker fra brugerne, så de kan prioriteres og fordeles til medarbejderne.

Ønsker du flere råd om effektivisering af it-arbejdet, kan jeg varmt anbefale ITIL (Information Technology Infrastructure Library).

Hvis it-afdelingerne får bedre styr på dagligdagen, bliver det muligt at rykke sikkerheden længere ned i it-behovspyramiden - og det vil være til gavn for os alle.

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT udsender advarsler og tager imod henvendelser om sikkerhedsrelaterede hændelser på internettet. DKCERT er en organisation i DeIC, DTU.

Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Keybalance A/S
Udvikling og salg af økonomisystemer samt CRM og MPS. Systemer til blandt andet maskinhandlere, vvs-branchen, vognmænd, låsesmede,handelsvirksomheder

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Strategisk it-sikkerhedsdag – Identificer, beskyt og forsvar

Trusselsbilledet er rødglødende og it-sikkerhedslandskabet har aldrig været mere anspændt end nu. Flere organisationer end nogensinde før bliver som følge udsat for cyber-angreb, der er udført af professionelle og målrettede hackere Vi tager temperaturen på trusselslandskabet lige nu og giver dig overblikket over de nyeste trusler, de mest aktuelle tendenser og de bedste løsninger og værktøjer til at sikre effektiv drift og høj compliance.

23. august 2022 | Læs mere


Strategisk it-sikkerhedsdag – Identificer, beskyt og forsvar

Trusselsbilledet er rødglødende og it-sikkerhedslandskabet har aldrig været mere anspændt end nu. Flere organisationer end nogensinde før bliver som følge udsat for cyber-angreb, der er udført af professionelle og målrettede hackere Vi tager temperaturen på trusselslandskabet lige nu og giver dig overblikket over de nyeste trusler, de mest aktuelle tendenser og de bedste løsninger og værktøjer til at sikre effektiv drift og høj compliance.

25. august 2022 | Læs mere


CIO Trends 2022: Sådan arbejder de dygtigste CIOs med ledelse, organisation og strategi

Sparringspartner, forretningsudvikler, projektleder, evangelist, strateg og ikke mindst chef. CIO-rollen er under voldsom forandring – hvor især ledelses- og strategidelen får stadig større plads i de komplekse it-organisationer.

30. august 2022 | Læs mere






CIO
Stort CIO-interview: Lemvigh-Müllers milliard-omsætning er blevet digital
Job & Karriere
Her er Netcompanys nye hovedkvarter: Flytter til ikonisk adresse i hjertet af København - kommer til at betale million-leje