Hov. Du er ikke logget ind.
DU SKAL VÆRE LOGGET IND, FOR AT INTERAGERE PÅ DENNE SIDE
Log Ind
Hvor mange stjerner giver du?
Insend bedømmelse
Amino.dk Blogs Iværksætterblogs MedSikkerhed It-sikkerhed - ansvar...

It-sikkerhed - ansvar...

1.150 Visninger
Hvor mange stjerner giver du? :
17 January 2012

Mange mindre og mellemstore virksomheder har måske ikke en særligt kompleks it-installation, men de fleste af virksomhederne er alligevel dybt afhængige af, at deres it-systemer fungerer korrekt for at kunne få dagligdagen til at fungere.

På trods af, at det kan være fatalt for virksomheden, hvis dens evne til at betale regninger eller udstede fakturaer er væk i en periode, så kan det være svært at overbevise virksomhedernes ledelse om, at de bør investere i planlægning, der sikrer systemernes fortsatte tilgængelighed, integritet og fortrolighed.

Hvis der ikke er foretaget en risiko analyse, så ved de ansvarlige ikke hvilken risiko, virksomheden løber, og det kan blive fatalt.

Jeg talte med en bogholder (it-ansvarlig), der blev meget irriteret over at jeg forstyrrede hende med et spørgeskema omkring it-sikkerhed. Grunden til hendes irritation var, at de havde så mange problemer med deres it-installation, at hun ikke havde tid eller lyst til at tale med mig. Hun mente heller ikke, at der var behov for nogle planer. De kunne sagtens leve uden.

En virksomhed uden planer og politikker løber en risiko, som ingen i virksomheden har taget aktivt stilling til. De kan blot håbe på, at tingene går godt. Sådanne virksomheder er som oftest dybt afhængige af deres it-leverandører, og det er leverandøren, der sætter sikkerhedsniveauet.

De virksomheder, der har udarbejdet en it-sikkerhedspolitik, har som oftest fastlagt ansvars- og opgavefordelingen for it-sikkerhedsarbejdet. Bestyrelsen vil normalt have det overordnede ansvar. Opgaverne delegeres ud i organisationen til direktion, it, administration, ejendomsafdeling og andre i organisationen. Bestyrelsen anvender revisionen til at kontrollere, om de enkelte forretningsenheder overholder politikken og forvalter den på en hensigtsmæssig måde.

På trods af denne ansvarsfordeling og delegering af opgaverne, så møder jeg alligevel holdningen blandt nogle fagchefer (it-chef, bogholder, økonomichef etc.), at de ikke ønsker at anvende ressourcer på sikkerhed, når de skal introducere nye tiltag på deres it-system, men at de ønsker at overlade den delopgave til leverandøren.

Her mener jeg, at de bryder med et af nøgle-principperne i sikkerhed - nemlig, at virksomheden skal kende de risici, man løber ved dens anvendelse af it-systemerne. Hvis der ikke er foretaget en risiko analyse, så ved de ansvarlige ikke hvilken risiko, virksomheden løber.

Derfor er det umuligt for virksomheden at træffe forholdsregler, der imødegår risikoen; forholdsregler baseret på objektive vurderinger. Med andre ord, så famler de rundt i blinde, hvis de undlader analysen.

Et hvert nyt tiltag, der foretages på virksomhedens it-systemer bør i bund og grund gennemgå en risikoanalyse. Ansvaret for analysen har virksomheden selv, da de har ansvaret for sikkerheden. Leverandøren kan medvirke med data til analysen, men leverandøren bør ikke have ansvaret for den.

Det er min erfaring, at hvis virksomheden overlader arbejdet med risikoanalysen til leverandøren, så indsnævres analysen til at omfatte leverandørens produkt og dets umiddelbare snitflader. Det vil være svært for en leverandør at anlægge en holistisk tilgang til virksomhedens it-sikkerhed, da leverandøren næppe selv råder over sikkerhedsekspertise, der strækker sig udover deres egne produkter.

Leverandøren kan givetvis sikre sit produkt efter best practice, men han har som oftest ikke et overblik, der rækker ud over deres eget system.

Billedligt talt, så opstår der et antal sikkerhedsøer i virksomhedens sikkerhedshav, hver for sig er sikret så godt som muligt. Problemet er, at virksomheden ikke råder over et kort, der viser havet med øer, grunde og skær. Det giver virksomheden gode muligheder for at gå på grund.

Min anbefaling er

En virksomhed bør ikke lade en leverandør tage ansvaret for sikkerheden og undlade at stille krav til leverandøren. Ligeledes bør virksomheden sørge for at teste, at nye løsninger ikke undergraver det sikkerhedsniveau, som virksomheden ønsker at opretholde.

I øvrigt vil det være lærerigt for de fleste ledere, at tage sig tiden til at læse om ’God it-skik’. Denne publikation kan findes på www.isaca.dk.

(Denne artikel er sakset fra fra min blog på inHouse Security's)

Hvor mange stjerner giver du? :
Få besked når Michael skriver Skriv dig op