Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 15. august 2003.
To Velux-selskaber har som de første i Danmark fået certifikat på it-sikkerhed hos Dansk Standard. Certificeringen er baseret på den internationalt anerkendte britiske standard BS 7799.
Sikkerhedscertifikater
Det stod godt til med it-sikkerheden - men var det godt nok til en certificering?
Det spørgsmål følte A/S BBI Metal- og Plastvarer, der er ejet af og leverandør til Velux, trang til at få besvaret. Bekræftelsen i form af et certifikat fra Dansk Standard på, at BBI er i overensstemmelse med BS 7799 Information Security Management standarden, kom i juli. Forberedelsesarbejdet var omfattende, fortæller Mogens Esbensen, der er økonomidirektør i BBI Metal- og Plastvarer.
- Der er lagt kræfter i. Fem mand fra forskellige afdelinger i virksomheden har arbejdet med det i et års tid. Til gengæld betyder den systematik, vi har fået indarbejdet på it-sikkerhedsområdet, at vi efterfølgende har fået en lettelse i vores arbejde. Foruden brugen af interne ressourcer har BBI betalt 50.000 for Dansk Standards audit.
Information til medarbejdere
Et af kravene for at få certifikatet er, at virksomheden foretager en intern risikoanalyse og en konsekvensanalyse. Et kernepunkt er den menneskelige faktor - medarbejdernes bevidsthed om it-sikkerhed. Samtlige medarbejdere har været på 'awareness-kurser', og der er udarbejdet særlig information til medarbejderne om it-sikkerhed.
Rent praktisk er der ikke gennemført væsentlige ændringer. Procedurerne var der i forvejen. Men samtlige systemer er gennemgået, og der er skabt overblik og målbarhed.
Kvalitetsmedarbejdere, der tidligere har arbejdet med virksomhedens ISO 9002 certificering, deltog i arbejdet. Der var et betydeligt sammenfald; meget kunne bruges i it-sikkerhedsforløbet, så man ikke var på bar bund.
- Vi har nu et brugbart koncept, som skal forankres i organisationen. Det skal ud til samtlige medarbejdere. At få dem alle gjort bevidste om det her - ikke bare funktionærerne men også produktionsfolkene - er den svære del af det og en pokkers vigtig del, siger Mogens Esbensen.
Skal kunne bruges
Han understreger, at der netop i at få det gjort brugbart, ligger et stort arbejde.
- Man kan ikke nøjes med en masse teoretiske floskler, som medarbejderne ikke forstår ret meget af. Det er centralt og vigtigt at omskrive det her til noget, der kan bruges i den virkelige verden. Ellers bliver det bare en meget fin tekst på rigtig mange sider, der er så teknisk, at ingen forstår den, og som så sættes hen på en hylde. Det er farligt, for så bliver den svær at efterleve. Vi kunne stadig sige, at nu er vi certificerede - ih, hvor er vi dygtige. Det duer bare ikke. Det skal være praktisk anvendeligt. Men det er netop her, det svære kommer ind, siger Mogens Esbensen. BBI havde på forhånd taget koncernafdelingen for it-sikkerhed i Velux med på råd for at få bekræftet, at det var realistisk at gå efter certifikatet. Her gælder det, at samtlige 82 forretningsenheder, der er koblet på koncernens WAN-netværk, skal leve op til BS 7799 standarden inden 2006. Det er et led i en ny sikkerhedspolitik, Velux-koncernens centrale it-sikkerhedsafdeling lancerede i 2000. Behov for fleksibilitet fik Velux til at vælge BS 7799 standarden. Den blev valgt, fordi den er risikostyret. Enkelte krav såsom en daglig backup af alle vigtige funktioner er dog koncernkrav - BS-standard eller ej.
Kulturen skal med
Der er intet krav om, at datterselskaber og forretningsenheder lader sig certificere, men de skal være i 'full compliance' med BS 7799, siger sikkerhedsauditør Thomas Wibroe Leth. Han bekræfter Mogens Esbensens betragtninger:
- Det er en lang proces med en fem-seks-årig horisont, hvor det vigtigste og det, der tager længst tid, er at få ændret kulturen i firmaet. Er der en kultur om sikkerhed, og er du vant til at køre efter faste procedurer, har du lettere ved det. Derudover er ledelsens indstilling afgørende. Ikke kun fordi den skal bevilge ressourcerne, men den skal stå bag ved initiativet hele vejen og sørge for at få det ud i hele organisationen.
Endnu er meget få af Velux-selskaberne i overensstemmelse med BS 7799 standarden, selv om mange er tæt på. Thomas Wibroe Leth vil ikke udelukke, at der kan blive dispenseret. For, som han siger, forretningen skal køre. Det er stadig prioritet nummer et.
Boks:
Norm for edb-sikkerhed
Dansk Standard har i samarbejde med en række specialister udviklet standarden 'DS 484 norm for edb-sikkerhed'. Den findes i to udgaver med henholdsvis basale og skærpede krav. Standarderne lægger op til en styring og daglig håndtering af it-sikkerhed, der er forståelig for både it-medarbejdere og medarbejdere med ansvar for strategi og udvikling. Internationalt har British Standard udviklet et tilsvarende produkt, BS 7799 Information Security Management. Ifølge Dansk Standard er den væsentligste forskel på den danske og britiske standard, at den danske dækker flere aspekter af it-sikkerhed. Dermed vil en certificering efter DS 484 - også med basale krav - automatisk betyde, at virksomheden også kan få BS 7799-certifikatet.
Billedtekst:
- Systematikken på sikkerhedsområdet giver en lettelse i vores arbejde, siger økonomidirektør i BBI Metal- og Plastvarer, Mogens Esbensen (t.h.). It-chef Torben Sørensen har været primus motor i arbejdet med at få et it-sikkerhedscertifikat til firmaet. Foto: Torben Klint
