Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 28. oktober 2005.
Markedet for outsourcing af it-sikkerhed er stadig i sin vorden, men analytikere og leverandører forventer tocifrede vækstrater de kommende år.
Komplekse, integrerede it-systemer. Lovmæssige krav om sporbarhed af data. Voksende bevidsthed om it-sikkerhed. Det er altsammen med til at skabe vækst i markedet for outsourcing af it-sikkerhed, lyder meldingen fra analytikere, revisorer og sikkerhedskonsulenter.
- Antallet af kunder er ikke så stort i dag, men det vil ændre sig, mener Nils Molin, analytiker hos IDC.
Ifølge analysefirmaet har det nordiske marked for outsourcing af it-sikkerhed i dag en værdi på omkring 312 millioner kroner, og der forventes en vækst på hele 22 procent det kommende år.
Analysebureauet Gartner er enig med IDC om forventningerne til markedet for outsourcing af it-sikkerhed.
- Markedet for outsourcing af it-sikkerhed er voksende. I Europa forventer vi en årlig gennemsnitlig vækst på 14,9 procent i tidsrummet 2004 til 2009, siger Khalda Parveen, analytiker hos Gartner.
Det er vurderinger som falder i tråd med it-leverandørernes forventninger.
I IBM Danmark, hvor cirka 150 medarbejdere arbejder fuldtid med it-sikkerhed, er Martin Grundtvig leder af it-sikkerhedsgruppen. Han siger:
- Jeg kan ikke oplyse vores vækstmål, men analytikernes forventninger er da ikke helt urimelige.
Hos HP, der for nylig annoncerede en samarbejdsaftale på sikkerhedsområdet med Symantec, er man i gang med at lancere sikkerhedskonceptet Enterprise Security Partnership. Konceptet går ud på, at HP i samarbejde med virksomhederne overtager håndteringen af virksomhedernes it-sikkerhed. Forventningerne er store. John Piatt, EMEA-chef for HP's Security Services, siger:
- Sikkerhedsservices for HP i Europa er endnu ikke en stor forretning, men det er et strategisk område med en forventet høj vækst.
John Piatt vil ikke oplyse detaljer om HP's forventninger til vækstrater, men siger, at analytikernes forudsigelser stemmer godt overens med HP's egne.
Årsagen til det voksende marked skyldes flere ting. Dels er folk blevet mere bevidste om sikkerhed, dels vokser kompleksiteten af it-systemerne, og samtidig er der udefrakommende krav om overholdelse af sikkerhedsstandarder som den engelske BS 7799 og den danske standard DS 484 samt lovgivning som Sarbanes-Oxley.
- Der er flere, der erkender, at sikkerhedsproblematikkerne er blevet mere komplekse, så de ikke vil eller kan håndtere det selv, siger Nils Molin fra IDC.
Hans analytiker-kollega hos Gartner, Khalda Parveen supplerer:
- Der er hele spørgsmålet om compliance (opfyldelse af krav om dokumentation og mulighed for at revidere posteringer samt transaktioner i it-systemer og forretningsprocesser), som også kommer til at spille ind på sikkerhedsområdet. Der kan være tale om lovgivning eller branchestandarder; både internationale og nationale. Standarderne er ikke nødvendigvis obligatoriske, men overholdelse af standarderne kan være med til at gøre et firma mere troværdigt, siger Khalda Parveen.
Hos Dansk IT-Sikkerhedsforum (DISIF), der har 20-års jubilæum den 3. november i år, mærker man også den stigende interesse for it-sikkerhed.
Bestyrelsesformand Dorthe Tolborg forklarer den stigende anvendelse af eksterne sikkerhedskonsulenter og -revisorer:
- Ledelsen i danske virksomheder har jo ansvaret for at styre deres forretning. Med virksomhedernes stadig større afhængighed af it til at drive forretningen, er det afgørende, at sikkerheden er i orden. Ledelsen ønsker, at nogen udefra kan certificere, at sikkerheden er i orden. Her kan it-revisorer eksempelvis foretage en uvildig undersøgelse, da revisorer per definition er uvildige.
Dorthe Tolborg, der er statsautoriseret revisor og partner i PricewaterhouseCoopers, nævner også udefrakommende faktorer som lovgivning, der øger fokus på it-sikkerheden.
- Den amerikanske virksomhedslov Sarbanes-Oxley har betydning for mange danske.
Især de store virksomheder outsourcer noget eller al deres it-sikkerhed.
- Den typiske virksomhed, der outsourcer, har som regel mere end 500 ansatte, vurderer Khalda Parveen fra Gartner.
De større virksomheder har ofte et mere komplekst it-miljø end de mindre virksomheder og har derfor større behov for tekniske spidskompetencer og revisionsmæssig assistance.
- Den lille købmand henne om hjørnet er ikke så afhængig af it som Føtex eksempelvis er, forklarer Dorthe Tolborg.
Leverandørerne synes da også at koncentrere sig mest om de større virksomheder.
- Vi har lidt kunder blandt de små og mellemstore virksomheder, men hovedområdet for os er de store kunder, oplyser Martin Grundtvig fra IBM.
Hos HP er det heller ikke de mindre virksomheder, der er interessante.
- Vores kunder i det nordiske område er først og fremmest det øvre marked af SMV (små og mellemstore virksomheder), siger Poul Martin Kjeldgaard, produktchef for Technology Services hos HP Danmark. Han understreger dog, at det ikke alene er størrelsen i antal ansatte, der er interessant.
- Det behøver ikke at være et spørgsmål om antal personer, men det er mere et spørgsmål om sikkerhedsbehov. Eksempelvis har små banker stadig behov for god sikkerhed, siger Poul Martin Kjeldgaard. Indtil videre vil HP i Danmark dog koncentrere sig om at introducere Enterprise Security Partnership til de større danske virksomheder og derefter se på behovet hos de mindre virksomheder.
Billedtekst:
Komplekse problemer - Flere erkender, at sikkerhedsproblematikkerne er blevet mere komplekse, så de ikke vil eller kan håndtere det selv, siger Nils
Molin fra IDC.
Boks:
Vi har talt med:
• John Piatt, Technology Services EMEA, HP.
• Poul Martin Kjeldgaard, Technology Services Danmark, HP.
• Martin Grundtvig, leder af IT-sikkerhedsgruppen i IBM Danmark.
• Henrik Lund Kramshøj, sikkerhedskonsulent, Security6net.
• Nils Molin, analytiker, IDC.
• Khalda Parveen, analytiker, Gartner.
• Torkil Munck, specialkonsulent, Økonomiministeriet.
• Dorthe Tolborg, bestyrelsesformand DISIF.
• Erhvervs- og Selskabsstyrelsen.
Boks:
Aktieselskabsloven og it-sikkerhed
Aktieselskabsloven nævner ikke direkte it-sikkerhed, men i paragraf 54 står der blandt andet:
"Bestyrelsen skal sørge for en forsvarlig organisation af selskabets virksomhed ", hvilket vil sige at blandt andet it-sikkerhedsorganisationen skal være forsvarlig.
I stk. 3 står der:"Bestyrelsen skal påse, at bogføringen og formueforvaltningen kontrolleres på en efter selskabets forhold tilfredsstillende måde ". Når bogføringen sker elektronisk, indebærer det altså, at kontroller på it-sikkerhedsområdet skal være på plads på en tilfredsstillende måde.
