Svært ved at trænge igennem? Sådan får du din chef til at fokusere (mere) på it-sikkerhed



Klumme: Sikkerhedsfolk skal droppe fokus på teknik og produkter, når de taler med ledelsen. Ellers er der ikke hul igennem. Men cheferne er ved at få øjnene op for risikoen for forretningen, så nu er chancen for et paradigmeskift inden for it-sikkerhed tilstede.

Henrik Larsen
Computer World


Våbenkapløbet fortsætter.

Der er ikke udsigt til, at virksomhederne kan sænke paraderne. Det er mit korte svar på spørgsmålet om et muligt paradigmeskift inden for it-sikkerhed.

Alligevel kan et paradigmeskift være på vej.

Men det bygger snarere på, at virksomhedsledelserne er ved at få øjnene op for den risiko for forretningen, som manglende fokus på sikkerheden udgør.

Angreb på sikkerheden udgør en voksende trussel mod virksomhedens indtjening, vækst og i sidste ende overlevelse.

Virksomheden bliver mere og mere afhængig af sin elektroniske kommunikation og tilstedeværelse på internettet.

Dermed bliver afbrydelser, nedetid og tab af data et stadigt større problem for driften.

Det gælder både, når det skyldes tekniske nedbrud, menneskelige fejl samt ondsindede handlinger som industrispionage, bedrageri og afpresning.

Vi har en udfordring

Den afhængighed giver os sikkerhedsfolk en udfordring, når det gælder kommunikation.

Vi får ikke virksomhedsledelserne i tale - endsige involverede - hvis vi fortsat taler om it-sikkerhed. De opfatter det som en rent teknisk disciplin.

Firewalls, spamfiltrering, antivirus, IDS- og IPS-systemer, SecureDNS og så videre er begreber, som virksomhedsledelserne hverken forstår eller interesserer sig for.

Det bliver med god grund betragtet som noget, it-afdelingen tager sig af. Og så længe den overholder sit budget, ønsker direktionen og bestyrelsen ikke at vide mere.

I stedet kunne vi tale om informationssikkerhed og udvide scopet med politikker og beredskabsplaner. Men det er næppe heller nok.

Ligesom de tekniske foranstaltninger i it-sikkerhed er de organisatoriske nødvendige og uundgåelige led i forsvaret af virksomhedens værdier.

Men yderligere administration og bureaukrati er ikke vejen til chefens øre.

Tal om værdier og risici

Det er min overbevisning, at vi skal tale om forretningsrisiko.

Vi skal tale med ledelserne om, hvilke værdier i form af data, informationer og systemer, som virksomheden er afhængig af.

Vi skal afgøre, hvilket niveau af risiko ledelsen har appetit på.

Det er topledelsens opgave at prioritere, hvilke aktiver der er vigtigst for forretningen - og hvilke risici man kan leve med.

Her taler vi nemlig et sprog, der giver mening for topledelsen. Den er vant til at tænke i begreber som risiko - især hvis risikoen kan udtrykkes i form af kroner og øre.

Det betyder ikke, at de traditionelle funktioner og værktøjer inden for it-sikkerhed er overflødige. Tværtimod.

Vi skal bare ikke besvære ledelsen med detaljerne.

Bøder er på vej

To tendenser i tiden er med til at fremme paradigmeskiftet.

Den ene er interessen for frameworks som ISO 27000-serien.

Her er en international standard for informationssikkerhed, der netop lægger vægt på ledelsens aktive involvering.

Den anden tendens udgør den persondataforordning, som EU netop har vedtaget.

Den medfører kontante bøder, hvis en virksomhed mister persondata, fordi den ikke har taget de nødvendige sikkerhedsmæssige forholdsregler.

Det indebærer en forretningsrisiko, der er lige til at formulere for ledelsen:

"Hvis vi ikke indfører kryptering af de data, vi lagrer om kunderne, risikerer vi en bøde på så og så mange euro, hvis der sker et angreb. Vi vurderer sandsynligheden for et vellykket angreb til at være så og så stor, men den kan nedbringes, hvis vi investerer i disse tekniske kontrolforanstaltninger."

Den type dialog mellem sikkerhedsansvarlige og ledelser giver mening for begge parter.

Altid et spørgsmål om prioritering

Sikkerhed er altid et spørgsmål om prioritering.

Vi må leve med risikoen for sikkerhedshændelser. Men vi må foretage en grundig risikovurdering.

Det indebærer, at vi først identificerer vores aktiver. Derefter afgør vi, hvilke af dem der er vigtigst.

Vi analyserer sårbarheder og trusler og indfører tekniske og organisatoriske modforanstaltninger. Dermed tilpasser vi risikoen til det niveau, ledelsen har fastlagt som acceptabelt.

Endelig lægger vi en plan for, hvordan vi vil reagere, når en sikkerhedshændelse alligevel opstår.

Bevægelsen fra fokus på teknisk it-sikkerhed til forretningssikkerhed er det paradigmeskift, jeg ser komme.

Den er nødvendig i en tid, hvor angrebene bliver voldsommere og hyppigere, mens virksomhederne er stadigt mere afhængige af deres it.

Publiceret 2016-07-25


Seneste artikler

Sennheiser er Danmarks bedste hardware-virksomhed
Sennheiser er Danmarks bedste hardware-virksomhed: "Der er masser af muligheder for en lille spiller som os"
Top 100: De seneste mange år har Sennheiser Communications været vant til vilde vækstrater. Sådan skal det også være i fremtiden, lyder det fra direktøren. Men markedsandelene skal måske erobres fra dansk nabo.
Indrykket 16. oktober på Informationsteknologi
Her er Danmarks bedste it-virksomhed Zitcom
Her er Danmarks bedste it-virksomhed: Hosting-firmaet Zitcom vinder Computerworlds Top 100
Voldsom ekspansion driver Skanderborg-virksomheden Zitcom mod guld og grønne skove. I spidsen for Danmarks bedste it-virksomhed sidder den blot 35-årige Stefan Rosenlund, der stiftede selskabet, da han var gymnasieelev. “Det er gået rigtigt stærkt,” siger han.
Indrykket 9. oktober på Informationsteknologi
Her er Danmarks bedste it-virksomheder inden for outsourcing, hosting og drift
Se listen: Her er Danmarks bedste it-virksomheder inden for outsourcing, hosting og drift
De fleste danske it-virksomheder, der arbejder med outsourcing, hosting og drift, leverer flotte resultater i regnskaberne. Det er dog ikke de største spillere, der imponerer mest.
Indrykket 2. oktober på Informationsteknologi
De bedste af de største it-virksomheder i Danmark er grundlagt i Danmark: Se listen her
Top 100: Kigger vi på de største sværvægtere i den danske it-branche, er der stolte danskfødte navne i toppen viser Computerworlds store Top 100-analyse
Indrykket 25. september på Informationsteknologi
It-startup er Danmarks bedste software-selskab
It-startup tjener millioner af kroner og er Danmarks bedste software-selskab: "Vi har ingen exit-strategi"
Top 100: Festina Finance lever en anonym tilværelse på en villavej nord for København, men i år stormer virksomheden frem på Computerworlds Top 100-liste.
Indrykket 18. september på Informationsteknologi
Annonce:
Cookies på Jobindex

Vi bruger cookies til trafikmåling og til optimering af hjemmesidens indhold. Der gemmes cookies fra Jobindex og fra vores samarbejdspartnere. Ved at klikke videre på hjemmesiden accepterer du vores brug af cookies. Læs mere om vores cookies.