Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 12. september 2003.
Ansvaret for virksomhedens it-sikkerhed skal ikke være it-chefens. For når sikkerhed koster penge og sætter barrierer for udviklingen, vil it-chefen være tilbøjelig til at vægte drift og økonomi højest.
SIKKERHED
De færreste, der sætter cyklen fra sig ulåst, forventer at finde den igen, når de skal bruge den. Der er grimme folk overalt, og mens vi kalder dem, der hugger cykler for cykeltyve, har vi navngivet it-verdens onde ånder hackere og virusmagere. Den seneste tids ormeangreb har vist virksomhederne, at hvis de ikke låser it-cyklen, skal de heller forvente at have noget at køre på, når de møder på jobbet om morgenen. Det har taget lang tid at erkende, at it-systemer kan kompromitteres så voldsomt, at det kan have betydning for, om virksomheden overlever eller ej. Heldigvis har vi en ny sherif i byen, og det er it-sikkerhedschefen. Han kan finde hullerne i fortet og pege på sårbare flanker, hvor fjenden kan finde på at angribe.
Støder mod hinanden
- It-sikkerhed har altid været præget af at være pionerarbejde. Vi har fortalt om truslerne, men det har været for fiktivt for virksomhederne. Situationen er anderledes i dag oven på de mange orme-angreb, siger Henrik Rask Mortensen, it-sikkerhedskonsulent hos KMD.
Det er vigtigt, at it-sikkerhedschefen og it-chefen ikke er samme person. It-chefen har typisk ansvaret for drift, udvikling og økonomi, og i den sammenhæng er it-sikkerhed en fordyrende faktor og tit en benspænder for gode ideer.
- Posten som it-sikkerhedschef skal ikke være kædet sammen med it-chefen. Drift og sikkerhed er to ting, der støder mod hinanden. Uanset hvor lidt sikkerhed, man vælger at indføre, vil det konflikte med driften. Og er du både it-chef og sikkerhedschef vil de fleste vælge driften, ikke mindst på grund af pres oppefra. Derfor skal it-sikkerhedschefen have en selvstændig funktion. Vi må erkende, at det er de færreste virksomheder, der ansætter en it-sikkerhedschef, der ikke skal lave andet end sikkerhed. I det segment vi dækker, nemlig kommunerne, er sikkerheden lagt under it-chefen. Vi fortæller dem, at it-sikkerhedschefen bør have en stabsfunktion under kommunaldirektøren, siger Henrik Rask Mortensen.
Ingen vetoret
Sådan ser verden også ud fra Post Danmarks hovedsæde i København, hvor en dansk datasikkerheds pionerer, Jan Carlsen, i dag arbejder som it-sikkerhedschef.- Vi måler jo it-chefen på fleksibilitet og performance, så han skal ikke også være sikkerhedschef. Sikkerhed trækker af og til i den anden retning. Så ideen med to modpoler er god nok: En it-sikkerhedschef og en it-chef, men de skal selvfølgelig arbejde sammen, understreger han.I Post Danmark ligger it-sikkerheden i den informationstjeneste, der omfatter hele staben under direktionen.- It-chefen er normalt en liniefunktion, og en it-sikkerhedschef skal netop ikke have fingrene i suppen. Jeg mener ikke, at it-sikkerhedschefen skal have vetoret over for it-beslutninger, men der skal altid være en indstilling fra sikkerhedsfunktionen. Den skal rådgive om risici, men løsninger er det ikke sikkerhedschefens ansvar at vælge, det er it-chefens.
Sikkerhedschef og idedræber
Hos teleselskabet Sonofon er it-driften outsourcet, og Sonofons udviklingsafdeling arbejder op mod it-leverandørens driftsorganisation og Sonofons udviklingsafdeling. Sonofon har derfor ikke en dedikeret it-sikkerhedschef, men sikkerhedschef Tommy Jensen varetager alle sikkerhedsopgaver og leder en afdeling på tre personer, der udelukkende arbejder på it- og GSM-sikkerhed. - Jeg ved ikke om, it-chefen ikke også kan have ansvaret for sikkerheden, da områderne ofte vil have modstridende mål Men han bør under alle omstændigheder have en god og sund sikkerhedsindstilling. Ellers går han på kompromis med de kotumer, der let opstår i en it-afdeling, mener Tommy Jensen. Han kan godt engang imellem blive opfattet som en konservativ ide-dræber af sine kolleger i udviklingsafdelingen.- Sikkerhed er en udfordring, som desværre har vist sig at være nødvendig. Hos os i Sonofon er der ingen nye produkter, der ikke gennemgår en it-risikoanalyse i udviklingsforløbet og inden idriftssættelse. Risikoanalysen er sikkerhedsmæssigt et meget stort fremskridt, for sådan har det ikke altid været. I gamle dage kunne udviklere godt finde på at liste noget igennem, men det sker ikke i dag. Som sikkerhedsperson kan man i udviklingsafdelingen godt blive betragtet som en kedelig type. Som sikkerhedschef ser jeg jo blokeringerne. Udviklerne er kreative mennesker, som ser tingene i store, runde bevægelser, og så kommer jeg med mine firkantede sikkerhedskasser. Jeg bliver af og til opfattet som en konservativ person, der kommer med alle mine regler. Men it-sikkerhed kræver regler. Det gælder bare om at have så få og fornuftige regler som muligt. Og så sørge for, at folk kan forstå, hvorfor de er der, siger Tommy Jensen.
Ikke politifolk
I Danmark er it-sikkerhedschefer et relativt nyt fænomen. Mens man i årevis i USA har opereret med CSO, Chief Security Officer, har danske virksomheder skullet bruge lidt længere tid på at tage den funktion til sig.
- Jeg har været i branchen i mange år, og forståelsen er vokset meget inden for de seneste fem-syv år, siger Jan Carlsen fra Post Danmark. Han fortsætter:- En it-sikkerhedschef er typisk en person med stor erfaring inden for it og sikkerhed. Der er faktisk vigtigere end at kende virksomheden. Og så skal det være en myndig person. It-sikkerhedschefer er ikke politifolk, men vi skal fortælle det, hvis virksomheden ikke lever op til de sikkerhedskrav, ledelsen selv har opstillet. Flere it-sikkerhedschefer har en fortid som revisorer, der har tager en CISA-overbygning, vurderer Henrik Rask Mortensen, KMD.- Andre er, som jeg, eksaminerede edb-sikkerhedsledere. Endelig er der teknikere, som har fået rollen som sikkerhedschef. Men det er forholdsvis nyt, at man har erkendt, at funktionen er vigtig, siger Henrik Rask Mortensen, KMD.Han mener, at kun de meget store virksomheder vil etablere en dedikeret it-sikkerhedsfunktion.- Men jeg tror, der vil komme flere med tiden - også i kommunalt regi. I mindre virksomheder vil man måske vælge at deles om en sikkerhedschef eller købe konsulenthjælp ude i byen, siger Henrik Mortensen.Jan Carlsen fra Post Danmark opfordrer de små virksomheder til at tjekke disse konsulentfirmaers referencer.- Der dukker formentlig en masse små konsulentfirmaer op, og her skal de små virksomheder være opmærksomme på, om konsulentfirmaerne ved, hvad det handler om, siger han.
CISA - eksamen i it-sikkerhed
CISA, Certified Information Systems Auditor, er en global, professionel anerkendelse og en beskyttet titel inden for fagområderne it-revision og it-sikkerhed. Målgruppen er personer med erfaring inden for revision, it-
revision, it-sikkerhed, kontrol og tilsvarende. Titlen opnås ved at bestå
CISA-eksamen. Herudover skal kandidaten have mindst fem års relevant faglig erfaring inden for it-revision og it-sikkerhed.
Kilde: Dansk IT-Sikkerhedsforum
Billedtekst:
- Det gælder i private såvel som i
offentlige virksomheder, at it-sikkerhedschefen skal være en funktion
under direktøren, siger Henrik
Rask Mortensen, der er
it-sikkerhedskonsulent i KMD.
Foto: Michael Bo Rasmussen/Baghuset
Billedtekst:
Posten som it-sikkerhedschef skal ikke være kædet sammen med it-chefen. Drift og sikkerhed er to ting, der støder mod hinanden. Uanset hvor lidt sikkerhed, man vælger at indføre, vil det konflikte med driften. Og er du både it-chef og sikkerhedschef vil de fleste vælge driften,
ikke mindst på grund af pres oppefra.
Henrik Rask Mortensen, KMD
