Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 29. august 2003.
indbrudsovervågning udefra: Europæiske Rejseforsikring har valgt at outsource overvågningen af indbrudsforsøg i virksomhedens it-systemet. Ellers foretrækker selskabet selv at styre it-driften.
For halvandet år siden kom it-personalet hos Europæiske Rejseforsikring til en erkendelse. I en ellers strømlinet sikkerhedspolitik var der opstået et hul, som it-afdelingen havde svært ved at lukke.
Det enorme arbejde med at scanne logfilerne fra selskabets firewalls, i forsøget på at opdage eventuelle indbrudsforsøg (intrusion detection), blev ganske enkelt ikke foretaget ofte nok. Derfor blev det besluttet at outsource den del af virksomhedens sikkerhedsberedskab til en tredjepart.
- Vi havde ikke tid til at gøre det dagligt, vi fik det knap nok gjort på kvartalsbasis. Med løsningen, vi valgte, fik vi for rimelige penge en daglig rapport, som det tager et minut at læse, hvis der - som oftest - ikke er registreret forsøg på indbrud. Engang imellem har der været et indbrudsforsøg, og så kommer leverandøren med et forslag til en løsning, siger sikkerhedschef Steen Hommelhoff.
Outsourcing er ikke noget, Europæiske Rejseforsikring har stor tillid til, og hos selskabet har man tidligere insourcet blandt andet hosting og udvikling af selskabets hjemmeside, som var lagt ud af huset.
Kan ikke outsource ansvar
- Vi vælger at have størstedelen af vores systemer i huset og har tidligere insourcet. Noget som sikkerhed er så centralt, at det er svært at stole på andre. Rent operationelle ting som vores IDS (intrusion detection-system) går an, men hvis vi bevæger os over og taler ansvar, den centrale planlægning af sikkerhedspolitikken, opfølgning på, at det virker - det lægger vi aldrig ud. Man kan ikke outsource ansvar, siger it-direktør hos Europæiske Rejseforsikring Arne Svejgaard Sørensen.
Gale mennesker
På trods af den generelle modvilje mod outsourcing er sikkerhedschef Steen Hommelhoff godt tilfreds med løsningen for selskabets intrusion detection.
- IDS er et af de områder, hvor det er dyrt og tidskrævende, hvis man skal have kompetencer internt. Det er et område, der konstant ændrer sig. Det er skræmmende at tænke på, men der sidder jo vitterlig tusindvis af gale mennesker derude, som bruger det meste af deres tid på at finde metoder til at bryde ind i andre folks systemer, og det er vel at mærke nogle af de meste begavede it-nørder, der gør det. Det betyder, at det er et område med dag til dag-udvikling, og det vil være for dyrt og tidskrævende at opbygge og vedligeholde kompetencen til at udgøre et effektivt forsvar, siger han.
