Hov. Du er ikke logget ind.
DU SKAL VÆRE LOGGET IND, FOR AT INTERAGERE PÅ DENNE SIDE
Log Ind
Hvor mange stjerner giver du?
Insend bedømmelse
Amino.dk Blogs Iværksætterblogs MedSikkerhed Risikovurdering betaler sig

Risikovurdering betaler sig

990 Visninger
Hvor mange stjerner giver du? :
19 January 2012

Er du bevidst om den risiko, som din virksomhed løber, når den anvender sine it-systemer? Mange mindre og mellemstore virksomheder har aldrig fået analyseret den risiko, som de påfører sig selv ved deres anvendelse af it. Jeg er af den holdning, at det kan betale sig at kende risikoen. I denne artikel vil jeg forsøge at belyse, hvorfor pengene til risikovurdering er givet godt ud.

It-sikkerhed er en nødvendighed, der er kommet for at blive, hvis man ikke vil løbe ind i øretæver.

Men it-sikkerhedsforanstaltningerne skal doseres korrekt ellers kan de være uvirksomme og give en falsk trykhed – eller, hvis de overdoseres, så kan de hæmme arbejdet i virksomheden.

Det første træk vil være en vurdering af de risici, som virksomheden ved sin anvendelse af it pådrager sig.

Det kunne f.eks. være risikoen ved at have:

    • En offentlig hjemmeside med informationer omkring firmaet
    • Adgang for firmaets ansatte til nettet gennem en udbyder herunder hjemmesider, mail, chat mv.
    • Maskiner på lokalnettet, der kan tilgås direkte fra det offentlige netværk.
    • Samlinger af personfølsomme data.
    • Afhængighed af teknologi (Tegninger til CNC maskiner i fabrikationsvirksomhed, bogholderi og kundedata)
    • Vitale data på bærbare computere, smartphones eller USB lagermedier.

Jeg har nogle rædselseksempler, som jeg plejer at fortælle om:

1. For år tilbage var jeg ude og besøge en læge, og da vi talte backup, så fortalte han, at han selvfølgelig tog backup hver dag. Ved en nærmere undersøgelse, så viste det sig, at båndstationen var defekt, og der ikke havde været taget backup af alle journaler mv. i ½ år. Han havde aldrig kontrolleret, om båndstationen fungerede korrekt.

Eksemplet viser, at selvom truslen om at tabe data er erkendt, så har man ikke erkendt risikoen ved samtidige fejl dvs. nedbrud af en harddisk og en båndstation på samme tid. Det blev ikke kontrolleret om backuppen blev taget korrekt – og om den kunne læses. Båndene lå i øvrigt i boksen ved siden af serveren, og ville givetvis gå tabt i en brand.

2. En virksomhed havde en præsentationsside placeret på et webhotel udenfor deres egen it-installation. Da jeg havde kontrolleret hjemmesiden, så kunne jeg se, at systemerne bag hjemmesiden havde nogle huller. Programmerne var ikke blevet opdateret. At der skulle være en risiko ved det, blev af den it-ansvarlige slået hen som uvæsentligt og noget rent teoretisk, for: ”De var som en lille virksomhed ikke et mål” – lige indtil hackeren lagde deres side ned.

Jeg finder, det et godt eksempel på, hvor svært det kan være, at overbevise en virksomhed om, at de løber en risiko. Selvom risikoen er klarlagt, så ønsker de ikke at handle på den – og bliver ramt med 120 km/t.

3. I den anden grøft har jeg besøgt en virksomhed, hvis leder var meget bange for internettet. Derfor måtte alle ansatte dele én maskine, der var koblet på en ADSL forbindelse udenom virksomhedens interne netværk, når de skulle læse deres post eller søge på internettet.

Her har vi et grelt eksempel på, at overdrevne sikkerhedsforanstaltninger hæmmer den daglige it-anvendelse og trækker fleksibilitet ud af organisationen. De ansatte var dybt irriterede over beslutningen, og de følte, at de hver dag spildte arbejdstimer.

Hvad er det, jeg vil fortælle med det?

Hvis du ikke har analyseret risikoen ved din it-anvendelse så risikerer du at træffe nogle dårlige beslutninger.

Du risikerer, at de beslutninger du træffer, ikke giver nogen praktisk forbedring af sikkerheden - eller at dine beslutninger begrænser effektiviteten af din it-anvendelse - uden at give en tilsvarende beskyttelse.

For de fleste mindre og mellemstore virksomheder, så tager en risikovurdering fra nogle få timer til et par dage.

Vurderingen indledes som et interview, kombineret med en rundvisning i virksomheden. Virksomhedens fingeraftryk udarbejdes, så virksomheden har et indtryk af, hvordan en eventuel hacker vi se virksomheden.

Er virksomhedens it-anvendelse kompleks, så bliver der udarbejdet et tilbud på, hvad der skal til for at afdække risikoen.

Når risikoen er afdækket, så udarbejdes der en prioriteret handleplan for, hvad der bør gøres for at imødegå risikoen på den mest effektive og økonomisk forsvarlige måde.

Når risikoen er afdækket, hvad så?

Når virksomhedens risikoprofil er afdækket, så skal de fundne risici grupperes i risici:

  1. som du kan acceptere at leve med.
  2. som du kan forsikre virksomheden mod
  3. som du bør reducere eller imødegå, ved at du ændrer arbejdsgang, underviser ansatte - eller ved at du indfører tekniske eller logiske modforanstaltninger.

Generelt, så er reglen, at omkostningerne ved en modforanstaltning ikke må overstige tabet ved en sikkerhedshændelse. Undtagelsen er dog, hvis det etableringen er foreskrevet i love, certificeringskrav eller krav udefra (sektorkrav eller andre).

Hvor mange stjerner giver du? :
Få besked når Michael skriver Skriv dig op