It-chefer kaster om sig med nye firewalls, anti-virus og anti-spyware for at sikre sig mod en eller anden it-fare, der pludselig er dukket op.
Men det er en kortsigtet strategi, mener senior manager i Deloitte Business Consulting Michael Strand, der er certificeret i en række former for it-sikkerhed.
"Jeg ser ofte, at it-ledere og sikkerhedsledere reaktivt investerer i at sikre deres it mod de sikkerhedsfarer, som er øjeblikkets hotte emner i fagpressen, eller at de sikrer sig mod alle de sikkerhedsfarer, de kender og frygter," siger han.
Michael Strand peger på, at moderne sikkerhedsledelse i virkeligheden har til formål at sikre, at ingen ukendte og uaccepterede risici tages i virksomheden.
Det betyder grundlæggende, at it-chefen og sikkerhedslederen systematisk skal sikre, at der gennemføres en risikoanalyse for at skabe overblik over, hvilke aktiver virksomheden har som for eksempel it-systemer, data, personer, prestige med mere.
Derudover skal analysen indeholde en beskrivelse af, hvad der kan true aktiverne, hvilket eksempelvis kan være vira og hackere.
Endelig skal analysen vise, hvor sårbart hvert enkelt aktiv er i forhold til eksempelvis 'web-defacing', datatab, datatyveri og svindel.
Næste skridt i risikoanalysen er at identificere mulige kontrolforanstaltninger som firewall eller anti-virus.
"Samtidig skal man også bestemme prisen, man vil betale for den givne kontrolforanstaltning," siger Michael Strand.
Han forklarer, at it-chefen og sikkerhedslederen må afveje risikoen for, at et aktiv møder en trussel.
"Med ovenstående kan it-chefen og sikkerhedslederen danne sig et komplet billede af alle risici, og han kan træffe prioriterede og velbegrundede beslutninger om investeringer i kontrolforanstaltninger," siger han.
Sikkerhed for alle
Michael Strand anbefaler stærkt, at it-chefen og sikkerhedslederen sørger for at få virksomhedens mest erfarne folk involveret i it-sikkerhedsarbejdet med analysen.
"Analysen bliver kun så god som de folk, der laver den, og den er potentielt bestemmende for, hvordan virksomheden beskytter sig," siger han.
Michael Strand anbefaler samtidig, at risikoanalysen opdateres med jævne mellemrum for at sikre, at sikkerhedsbilledet ikke har ændret sig, og at sikkerhedsforanstaltningerne derfor skal justeres.
Sikkerhedseksperten pointerer, at it-chefen og sikkerhedsledelsen i virksomheden skal gøre sikkerhedspolitikken synlig og forståelig for medarbejderne for at sikre, at de leverer den og aktivt støtter den.
"Det betyder, at sikkerhedslederen skal sørge for, at medarbejderne bliver uddannet korrekt i sikkerhedspolitikken, og at de løbende får genopfrisket deres viden gennem oplysningskampagner som for eksempel indlæg i virksomhedens interne kommunikation, på intranettet, på gå-hjem møder og lignende," siger Michael Strand.
Derudover er det vigtigt, at sikkerhedspolitikkerne er ens for alle, og at de bliver fulgt altid, understreger Michael Stand.
"Sikkerhedspolitikken er til at smide ud, hvis den bliver brudt i et presset udviklingsprojekt, eller hvis en underdirektør omdefinerer politikken for ham selv," siger han.
Fem solide tips om it-sikkerhed
1. Skab overblik over risici.
Skab et komplet billede af virksomhedens it-sikkerheds risici ved at gennemføre en risikoanalyse.
2. Vælg foranstaltninger.
Vælg de rigtige sikkerhedsforanstaltninger og sikkerhedspolitikker i forhold til risikoanalysen.
3. Gør retningslinjerne tydelige.
It-chefen og sikkerhedsledelsen skal sikre, at området er synligt og forståelig for medarbejderne igennem uddannelse og oplysningskampagner.
4. Politik ens for alle.
Man skal desuden sikre, at sikkerhedsforanstaltninger og - politikker aldrig bliver omgået. Reglerne skal være ens for alle.
5. Opdater sikkerhedsanalysen.
Man skal sørge for løbende at vurdere risici, foranstaltning med mere.
