Hvorfor er it-sikkerhed underprioriteret i de danske virksomheder?

Klumme: It-sikkerhed er et 'hot topoc med masser af medie-bevågenhed, men er alligevel et nedprioriteret område hos den gennemsnitlige beslutningstager i små og mellemstore danske virksomheder (SMV’er). I dette indlæg kommer jeg med et bud på årsagerne til dette paradoks.

Det er et par år siden, at jeg for alvor begyndte at interessere mig for it-sikkerhed. Jeg kendte naturligvis til emnet, men jeg havde vitterligt aldrig forholdt mig til det til trods for, at jeg arbejdede i en branche, hvor it-sikkerhed er vital for forretningens overlevelse.

Jeg gjorde it-sikkerhed til en del af min forretning, da jeg var med til at stifte CyberPilot for godt et år siden. Og det seneste års erfaring med dette område har fået mig til at spekulere over, hvorfor it-sikkerhed ikke nyder større interesse eller højere prioritet hos de danske ledere. 

Jeg er stor modstander af at "smøre blod på væggene" - altså komme med en masse dommedagslignende udtalelser om, hvor store apokalyptiske konsekvenser både it-kriminalitet og den kommende persondataforordning vil få (denne kommer jeg til at skrive mere om på et senere tidspunkt).

Denne overdramatisering har efter min mening kun et formål: NEmlig mere salg.

Men faktum er bare, at it-sikkerhed er underprioriteret i langt de fleste virksomheder i SMV-segmentet.

Fællesnævner: Ansvaret bliver ikke placeret
Næsten dagligt taler jeg med ledere og beslutningstagere i danske små og mellemstore virksomheder, som er præcist lige så uinteresserede i emnet, som jeg selv var for et par år siden.

De er vant til at have fokus på deres forretning og optimeringen heraf. De er vant til at tænke salg, omkostninger, udvikling og håndtering af risici.

Men det fremgår tydeligt, at langt de færreste har gjort sig væsentlige overvejelser om og prioriteringer i forhold til it-sikkerhed trods af, at diverse medier det seneste års tid har været plastret til med historier om emnet. 

Bevares. Alle udtrykker, at de har en klar interesse i, at deres forretning ikke bliver ramt af angreb med skade til følge - men der slutter interessen som oftest også…

De ”klassiske” svar fra ledere, når man spørger dem om it-sikkerhed, er:

It-sikkerhed = teknik = den it-ansvarliges ansvar.
  • Ansvaret for it-sikkerhed er outsourcet som en del af vores samlede it-leverance.
  • It-sikkerhed er kun relevant for de store virksomheder - ikke for os.
  • Det er uklart, hvad den reelle risiko er, og hvordan det vil påvirke os.
Hvis nogen havde spurgt mig for to år siden, så havde mit svar med garanti også været blandt de ovenstående.

Men det er da paradoksalt, at virksomhederne har fokus på placering af ansvar inden for økonomi, marketing, forretningsudvikling, produktion og så videre. – men meget sjældent en placering af ansvar for risikoen og vurdering af risikoniveauet for virksomhedens it-sikkerhed.

Ledelsen sender sorteper videre
It-sikkerhed handler efter min bedste overbevisning helt basalt om ansvar for risiko og selve håndteringen heraf.

Risiko er en naturlig del af at drive en profitabel forretning.

Det er noget, som alle virksomheder forholder sig til dagligt. It-sikkerhed drejer sig derfor om at forholde sig aktivt til det niveau af risiko, som man vil acceptere - og ikke nødvendigvis forsøge at undgå risiko for en hver pris.

It-sikkerhed = forretningsrisiko = ledelsens ansvar!
Ansvaret for denne risiko kan ikke uddelegeres til it-afdelingen eller en ekstern leverandør. Det vil altid være ledelsens.

Det betyder ikke, at man ikke kan få medarbejdere eller leverandør til at håndtere denne rent taktisk og operationelt, men det kræver en bevidsthed og klart definerede ansvarsområder.

Virkeligheden er bare den, at det oftest ikke er tilfældeti de danske SMV’er. Dette ses igennem manglende it-sikkerhedspolitikker, hvori ansvar og målsætninger i forhold til it-sikkerhed er defineret og afstemt på ledelsesniveau.

HVORFOR er it-sikkerhed ikke en prioritet?
Mine samtaler med lederne har lært mig, at der er to primære årsager til, at it-sikkerheden ikke prioriteres.

Årsag #1
Som jeg skrev tidligere, så er en af årsagerne til den lave prioritering hos de danske SMV’er, at det simpelthen er vanskeligt for dem at vurdere, hvad den reelle risiko er.

Det er kompliceret at svare på spørgsmålet: ”Hvad er den faktiske risiko, og hvad er de faktiske omkostninger for et sikkerhedsbrud for min virksomhed?"

Svaret på dette spørgsmål er naturligvis vidt forskelligt fra virksomhed til virksomhed. Og for at finde svaret kræver det, at man arbejder aktivt med risikovurderinger. Virkeligheden er, at dette ofte ikke er en integreret del af virksomhedens processer.

Årsag #2
En anden del af forklaringen skyldes formentligt, at antallet af historier om danske virksomheder, der har mistet betydelig omsætning eller haft andre betydelige tab i forbindelse med angreb, stadig er relativt begrænset. Til trods for mediedækningen.

Derfor er it-sikkerhed uden tvivl et vanskeligt emne at forholde sig til som for lederne og beslutningstagerne derude.

Jamen, hvad så med fremtiden?
Når først ledelsen indser, at it-sikkerhed = forretningsrisiko, så bliver it-sikkerhed en helt ”almindelig” del af at drive virksomhed. Men det bliver interessant at se hvornår dette sker - og hvor mange succesfulde angreb, der skal til, før ledelserne derude vågner op?

Jeg hører meget gerne dit indspark til mit indlæg. Har du den samme oplevelse? Eller sidder du måske i en virksomhed, som er first-mover på dette område? Byd ind.


Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling. 

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt? 

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Computerworld
Presset sikkerhedsfirma sender gratis antivirus-program i topklassen på gaden globalt
Kaspersky har annonceret en gratis-version af selskabets roste antivirus-løsning, som vil være nok til de fleste.
CIO
Hackede dansk virksomhed gennem receptionisten: ”Hun var venlig og forsøgte at underholde os. Det udnyttede vi”
Et hold frustrerede sikkerhedseksperter kunne ikke hacke en dansk virksomhed. Men så fandt de ud af, at receptionistens datter kunne lide mobilspil…
Comon
Skræmmende dokumentarfilm fremstiller berømt it-sikkerhedsekspert som skingrende sindsyg og farlig
En amerikansk dokumentarfilm der i øjeblikket kan ses på Netflix tegner et uhyggeligt billede af den mand, som millioner af computerbrugere over hele verden har lagt deres cybersikkerhed i hænderne på.
Job & Karriere
Se listen: Disse it-folk bliver ansat på stedet - cheferne skriger efter helt bestemte it-kompetencer
Der er en markant mangel på it-folk med helt bestemte kompetencer samtidig med, at it-cheferne er i gang med at øge bemandingen i it-organisationerne. Se listen med de mest efterspurgte it-kompetencer netop nu.
White paper
Sådan får mindre virksomheder ny it-infrastruktur i topklasse til lavpris
Digitaliseringen buldrer frem i erhvervslivet, og store virksomheder har travlt med at investere i nye it-løsninger for at placerer sig bedst muligt i en konkurrencesituation, der bliver stadig mere skarp. Det mærker man også i de mindre virksomheder, men for dem er indkøb og vedligeholdelse af et it-system ofte en uoverskuelig og kostbar opgave, der tilmed kræver særlige kvalifikationer, som virksomheden måske ikke selv besidder. Her kan ny, moderne hyperkonvergeret it-teknologi være løsningen. Læs i dette whitepaper om fordelene og detaljerne i en komplet, nøglefærdig it-infrastruktur fra Lenovo, Intel og Nutanix, som tilmed er prismæssigt meget gunstig.