Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 7. marts 2003.
Deloitte & Touche har spurgt 242 danske virksomheder om it-sikkerhed. Undersøgelsen viser, at ledelsen i danske virksomheder ikke har forstået begrebet it-sikkerhed. Revisionsfirmaet mener, at sikkerhedsdebatten fejlagtigt fokuserer på sikkerhedsteknologi.
Tema:
sikkerhedsløsninger
Ifølge Deloitte & Touches sikkerhedsundersøgelse mener hver fjerde virksomhed, at de ikke har styr på deres it-sikkerhed, og fire procent af de adspurgte kunne eller ville ikke besvare spørgsmålet.
- Vores undersøgelse viser, at it-sikkerhed stadigvæk kun er for it-folk, og tilsyneladende ikke er blevet en ledelsesdisciplin. Vi ser, at interessen for sikkerhed er stigende, men ikke nok, og slet ikke på de rigtige område, siger partner i Deloitte & Touche, Jørgen Sørensen, der er ansvarlig for revisionsvirksomhedens it-revisionsafdeling på 55 personer.
- Det er stadigvæk internet, der er det helt store sikkerhedsspøgelse. Men de reelle trusler, som mere er de indre trusler, er der godt nok interesse for, men ikke mange realiteter bag ved. Tilsyneladende tror man, at it-sikkerhed kan købes for penge. Men i virkeligheden er det medarbejdernes holdninger og uddannelse, der i sidste ende giver den reelle it-sikkerhed.
Uddannelse og bevidsthed
Jørgen Sørensen efterlyser uddannelse og reel oplysning om it-sikkerhed i en virksomheds forretningsmodel. Og det gælder specielt på ledelsesplan.
- Kommunikation og uddannelse kan forbedre sikkerhedsbevidstheden hos medarbejderne og skabe en sikkerhedskultur, der giver virksomheden en garanti for et tilfredsstillende it-sikkerhedsniveau i fremtiden. Generelt set er der ikke en tilstrækkelig grad af bevidsthed om sikkerhed hos medarbejderne i danske virksomheder i dag, hvilket kan skyldes, at it-sikkerhed ikke har være på programmet i it-uddannelserne. Det ville være oplagt med en officiel sikkerhedsuddannelse, for eksempel på IT-højskolen, mener Jørgen Sørensen.
Nye regler
Det er specielt den manglende forståelse for sikkerhed i danske virksomheders ledelse, der bekymrer ham.
- Mange ledelser har sovet i timen. I dag er det vigtigste sikkerhedsredskab en riskoanalyse, der gennemgår de reelle it-trusler og sætter værdi på dem. Ikke kun en firewall eller en forbedret antivirus. Sikkerhed er netop ikke kun teknologi, påpeger han.
Kommende ændringer i den danske revisionspraksis betyder efter Jørgens Sørensens mening, at der dog i fremtiden vil komme ekstra ledelsesmæssigt fokus på it-sikkerhed.
I dag er der to revisionsvejledninger (nummer 14 og nummer 17) fra Foreningen af Statsautoriserede Revisorer, der ligger til grund for revisorernes arbejde med it-sikkerhed. Men de to vejledninger er ved at blive erstattet af internationale revisionsvejledninger fra organisationen International Auditing and Assurance Standards Board (IAASB). Disse nye vejledninger integrerer it-sikkerhed som en naturlig del af den almindelige revision.
Dertil har Finanstilsynet den 19. februar udsendt en vejledning om finansvirksomheder og deres it-kontrol- og sikringsforanstaltninger. Heri stilles der ganske enkelt krav om, at bestyrelsen i en finansvirksomhed skal opstille en it-strategi med it-sikkerhedspolitik og en risikovurdering.
Alle disse tiltag opfatter Jørgen Sørensen som positive.
- Øget fokusering og bevisthed om risikovurderingen som grundlag for it-sikkerhed, der kommer via lovgivning og de internationale regler kan medvirke til at bringe it-sikkerheden på dagorden hos topledelsen. Det burde kunne få debatten om og fokus på it-sikkerhed flyttet over på andre væsentlige områder end hacker-problematikken.
En sikkerhedspolitik er essentiel
Jørgens Sørensen er enig med de fleste sikkerhedsanalytikere i, at den største trussel for en virksomhed netop ligger internt i virksomheden, idet han siger:
- Og det er kun gennem en officiel sikkerhedspolitik, at virksomhederne kan styrkes. Men medarbejderne skal naturligvis også uddannes i sikkerhedspolitikken, ellers nytter det ikke. Der er jo ingen der ville slippe nogen ud i trafikken, uden at de kender færdselsreglerne.
Hvorfor tror man så, at man kan droppe en sikkerhedsuddannelse af medarbejderne i virksomhedens regler for it-sikkerhed? Den misforståelse kan komme til at koste virksomheden dyrt.
Billedtekst:
Partner i Deloitte & Touche Jørgen Sørensen mener, at virksomhedens undersøgelse af sikkerhedsopfattelsen i 242 danske virksomheder giver grund til uro. Hver fjerde virksomhed erkender, at de ikke har styr på sikkerheden. Foto: Torben Klint
Boks:
Sikkerhedsundersøgelsens resultater
Deloitte & Touche har udtaget 900 tilfældigt valgte danske virksomheder og spurgt virksomhedernes it-ansvarlige om it-sikkerhed.
Af de udvalgte var der 242 virksomheder, der ville svare. Undersøgelsen giver sig ikke ud for at dække en repræsentativ del af dansk erhvervsliv, men skulle ifølge Deloitte & Touche indikere holdninger til sikkerhed. Undersøgelsen omfatter også andre aspekter: It-sikkerhedsområder nu og om to år, dækning af it-sikkerhed, beslutningstagere om it-sikkerhed og vigtige sikkerhedsområder.
Om it-sikkerhedsområder mente 51 procent i dag, at internet var det vigtigste sikkerhedsområde, faldene til 43 procent om to år. Nummer to var fysisk sikkerhed med 11 procent i dag og otte procent om to år. Resten af sikkerhedsområderne som kryptering, datasikkerhed, digital signatur, trådløst netværk og sikkerhedspolitikker lå under fem procent.
Og 20 procent af de adspurgte mente ikke, at deres virksomhed var sikkerhedmæssigt dækket ind, hvor fire procent ikke kunne eller ville svare på spørgsmålet.
I de adspurgte virksomheder var det for 71 procents vedkommende it-funktionen, der var beslutningstager for sikkerhed. Samtidig var mere end 70 procent af de adspurgte enige om, at bløde ydelser som it-risikoanalyser, it-sikkerhedspolitik, beredskabsplaner, applikationsikkerhed og platformssikkerhed var vigtige emner. Vinderen var igen internet-sikkerhed. Undersøgelsen kan rekvireres på www.deloitte.dk JOSS
