Artikel top billede

(Foto: Dan Jensen)

Fuld compliance kan give falsk tryghed - forveksles ofte med højt sikkerhedsniveau

Klumme: Vi står med en alvorlig forståelseskløft i mange virksomheder og organisationer i forhold til it-sikkerhed. Mange bruger store kræfter på at blive compliant, men det sikkerhedsmæssige udbytte slet ikke står mål med den compliancemæssige indsats. Selv fuld compliance er ikke nødvendigvis lig med tilpas sikkerhed, selv om mange tror det.

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

I løbet af mine lidt over 20 år i branchen har jeg set en utrolig udvikling på sikkerhedsområdet.

Da jeg begyndte, var situationen gerne den, at folk blev underligt trætte i ansigtet på et splitsekund, når man svarede, at man beskæftigede sig med it, efter de havde spurgt, hvad man lavede.

Hvis de så, efter at have sundet sig lidt, lod de gode manerer vinde og spurgte, hvilket område, man så beskæftigede sig med, og man sagde "sikkerhed," var de, gode manerer til trods, simpelthen ikke i stand til at udvikle nogen form for følelser for emnet.

Der var næsten ingen såkaldt normale mennesker, der interesserede sig for it-sikkerhed for 20 år siden, men dette har heldigvis ændret sig sidenhen.

Hvis jeg i dag nævner for folk, at jeg arbejder med it-/informationssikkerhed, er de hyppigt interesserede (eller i hvert tilfælde ikke helt og aldeles uinteresserede.)

De udviser en langt højere grad af forståelse, stiller spørgsmål, der viser dette, og lytter tålmodigt til min pitch.

Da folk fik øjnene op for nettets muligheder, strømmede de til forskellige sites - vel nok primært de steder, der havde onlinehandel - og sociale medier.

Mange gjorde sig dog hurtigt den dyrekøbte erfaring, at sikkerhed er vigtig. Hvis ens private data bliver stjålet, kan det have endog særdeles ubehagelige følger.

På grund af blandt andet dette går det efterhånden lidt bedre med folks forståelse for vigtigheden af, og interesse for, sikkerhed. Der er helt sikkert lang vej endnu, før den gennemsnitlige internetbruger holder op med at bruge ringe passwords og klikke på phishing mails, men det går dog i den rigtige retning.

Det går lidt bedre med forståelsen i virksomheder

Med hensyn til firmaer går det også i visse tilfælde i den rigtige retning, skønt de, i mine øjne, ofte fokuserer på det forkerte.

I løbet af de sidste par år har jeg set, hvordan det pludselig er gået op for lande verden over, at det er vigtigt at have styr på sikkerheden.

Derfor bliver firmaer underlagt forskellige krav og standarder, som de skal leve op til. Gøres dette ikke - altså, er firmaerne ikke "compliant" - risikerer de at blive straffet med bøder.

Et glimrende eksempel på dette er GDPR, der for alvor fik de forskellige firmaers ledelse op af stolen, da den potentielle bødes størrelse kunne være milliarder af kroner.

På grund af dette satte man allehånde initiativer, der skulle sikre, at man undgik en sådan bøde, i søen.

Disse initiativer kunne koste mange millioner, sågar flere hundrede millioner, men man mente, at de var det værd, den potentielle straf taget i betragtning.

Før, under og efter GDPR var og er firmaer også underlagt andre compliancekrav. Disse blev, vel primært grundet GDPR-spøgelset, pludseligt taget endnu mere seriøst.

Samtidig begyndte kunder at kræve, at firmaerne besad visse certificeringer - det kunne dreje sig om ISO, ISAE og så videre - for at vise, at de overholdt kravene - altså, at de var compliant.

Dette var altsammen rigtigt godt og er det stadig. Compliancekrav er medvirkende til at øge forståelsen blandt firmaets medarbejdere for, at visse ting skal beskyttes, og denne forståelse er første trin til at opnå et brugbart og holdbart sikkerhedsniveau.

Falsk tryghed

Men compliance er ikke lig med sikkerhed.

Nå ja, vil folk måske sige, men når man nu i et firma sørger for at overholde de forskellige krav til compliance, så medfører det vel også et forhøjet sikkerhedsniveau.

Dette synspunkt er jeg enig i, men der er dog lige den hage ved det, at det rent sikkerhedsmæssige udbytte slet ikke står mål med den compliancemæssige indsats. Selv fuld compliance er ikke nødvendigvis lig med tilpas sikkerhed.

Så compliance kan give en falsk følelse af tryghed.

Problemerne opstår, når man, grundet en stor indsats for at overholde og efterleve de forskellige compliancekrav, tror sig godt rustet til at modstå hackerangreb.

Så vil man i mange firmaer og disses ledelse stå overfor to "gaps": Eet mellem det beviseligt nødvendige sikkerhedsniveau og det sikkerhedsniveau, man tror sig at have, samt eet mellem sidstnævnte og det niveau, man rent faktisk har.

Det første er der, trods ovennævnte tiltag, stadig ikke tilstrækkeligt fokus på - eller vilje til - at lukke, og det andet er der ofte ikke engang forståelse for eksistensen af.

Mange firmaer er altså gået "fra nul til compliance" og tror sig derfor sikre men har til dels glemt sikkerheden undervejs. Og dette er et kolossalt problem!

For firmaer bliver ikke hacket, fordi de ikke er tilstrækkeligt compliant - de bliver hacket, fordi de ikke er tilstrækkeligt sikre.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.