Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 28. oktober 2005.
Som ekstern sikkerhedskonsulent skal der opbygges tillid og troværdighed hos kunderne.
Ville du give en fremmed lov til at bryde ind i dit hus og lade ham gennemrode alt for at finde frem til det mest værdifulde, du har? Nej, vel? Men hvis det nu var for at finde ud af, hvor sikkert dit hus egentligt er? Ja, måske, men kun hvis man kan stole på den fremmede.
Den slags overvejelser gør virksomheder sig, når de står over for at skulle anvende en ekstern sikkerhedskonsulent for første gang.
Sikkerhedskonsulent Henrik Lund Kramshøj har arbejdet med it-sikkerhed siden 1990'erne, og han kender situationen med at komme ud til en ny kunde første gang.
- Det kræver da en stor grad af integritet og troværdighed. Jeg plejer gerne at sige, at jeg skal være den mest troværdige i kongeriget, siger Henrik Lund Kramshøj, der siden starten af 2003 har haft sit eget firma security6.net.
Hvor sikkerhedskonsulenter fra store virksomheder som IBM og HP kan læne sig op ad virksomhedernes renommé, må Henrik Lund Kramshøj selv sørge for at opbygge tilliden og troværdigheden hos kunden. En baggrund i firmaer som IBM, PricewaterhouseCoopers og Neupart samt en sikkerhedscertificering som certified information systems security professional (CISSP) hjælper Henrik Lund Kramshøj i den indledende kundekontakt.
Netop certificeringer er noget, som virksomhederne viser en stigende interesse for.
- Det er utroligt nyttigt at være certificeret, når man er et enkeltmandsfirma. Certificeringer er blevet populære, siger Henrik Lund Kramshøj.
Bestyrelsesformand for Dansk IT-Sikkerhedsforum, Dorthe Tolborg, supplerer:
- Certificeringer er meget i fokus. Hvis man ser stillingsannoncer for sikkerhedskonsulenter, vil man se, at certificeringer ofte nævnes. Vi ser da også en stor stigning i CISA- og CISM-certificeringer (sikkerhedscertificeringer til henholdsvis it-revisorer og it-sikkerhedsledere).
Ud over certificering betyder et godt omdømme samt et godt netværk også meget, hvis man skal gøre sig i sikkerhedsbranchen. Henrik Lund Kramshøj indgår i et neværkssamarbejde med sikkerhedsfirmaer som Fortconsult, Neupart og Catpipe Systems. Her trækker man på hinandens ekspertiser, når der skal laves sikkerhedsanalyser og -vurderinger i danske virksomheder
Når sikkerhedsarbejdet skal udføres, er der stor forskel på hvordan de enkelte kunder griber processen an.
- Nogle kunder kræver, at man laver en formel, skriftlig NDA (Non-Disclosure Agreement: Aftale om at man ikke fortæller udenforstående om sit arbejde), andre siger det blot mundtligt, mens atter andre blot tager det for givet, at jeg ikke fortæller uvedkommende om deres sikkerhedssetup, siger Henrik Lund Kramshøj.
Henrik Lund Kramshøjs kunder består mest af virksomheder med egen it-afdeling. I starten kan it-afdelingen godt føle det som om, at det er dem personligt, der bliver efterset.
- It-afdelingen hos nye kunder kan da godt være lidt nervøse. Hvad finder han mon? De fleste er dog professionelle og ved, at det blot er et spørgsmål om at sikre virksomheden bedst muligt. De vil meget gerne samarbejde og er interesseret i at se den endelige sikkerhedsrapport, siger Henrik Lund Kramshøj.
Billedtekst:
Diskretion - Jeg fortæller ikke nogen, hvad jeg oplever ude hos kunderne, siger sikkerhedsekspert Henrik Lund Kramshøj.
Foto: Palle Skramsø, Prosa
Boks:
Sikkerhedscertificeringer
CISA: Certified Information Systems Auditor. Beskyttet titel inden for it-revision og Iit-sikkerhed. Målgruppen er personer med erfaring inden for revision, edb-revision, edb-sikkerhed og tilsvarende.
CISM: Certified Information Security Manager. Rettet mod it-sikkerhedsledere, der har ansvaret for sikkerheden i en virksomhed.
CISSP: Certified Information Systems Security Professional. Teknisk orienteret sikkerhedscertificering som udstedes af International Information Systems Security Certification Consortium. Som CISSP-certificeret bliver man forpligtet til et moralkodeks, der blandt andet lyder: "Beskyt samfundet, det fælles bedste og infrastrukturen. Optræd værdigt, ærligt, retfærdigt, ansvarligt og i overensstemmelse med loven."
Læs mere om sikkerhedscertificeringer på www.disif.dk og https://www.isc2.org
