Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 20. januar 2006.
A.P. Møller - Mærsk og Danmarks Nationalbank præsenterede to meget forskellige tilgange til it-sikkerhed.
Ekstrem løsningsorienteret med sikkerhed som drivkraft i stedet for en barriere for forretningens ønsker. Sådan beskriver it-sikkerhedschefen hos A.P. Møller - Mærsk, Kim Aarenstrup den måde, hans enhed håndterer it-sikkerheden i landets største virksomhed. Et arbejde, der er forankret helt oppe hos de skibsredere, som udgør selskabets topledelse.
- Skibsrederne har, udover generel høj commitment til it-sikkerhed, udtrykt nul-tolerance over for tre væsentlige tekniske områder: perimeter sikkerhed, antivirus opdatering og patch management. Der er scorecard-baserede KPI-målinger på alle tre områder, der så indgår i de ansvarliges personalebedømmelse, forklarede Kim Aarenstrup i sit indlæg på konferencen IT-sikkerhed 2006.
Den skarpe håndtering er helt nødvendig i en koncern med mere end 600 lokationer overalt på kloden og udstrakt frihed for koncernens selskaber i forbindelse med opkøb og lignende. A.P Møller - Mærsk Gruppens firewall foretager mellem 25 og 30 millioner afvisninger pr. måned, heraf er cirka to millioner direkte rettet mod selskabets firewallservice-protokoller.
It-sikkerhedsarbejdet i A.P Møller - Mærsk er et resultat af et langt sejt træk. For allerede i 1980-erne fik Mærsk Mc-Kinney Møller sat fokus på området og i det små startet arbejdet.
Hos en anden af det danske samfundsstøtter, har man valgt en helt anden vej i arbejdet med it-sikkerhed. Nationalbanken har da også kun en lokation og har valgt at gøre it-sikkerhed til en del af den generelle risikohåndtering, som går under navnet operationel risikostyring.
- It-sikkerhed er ikke et mål, men et middel til at drive forretningen. Ved at gøre it-sikkerhedspolitikkerne til en del af de operationelle risici, som forretningsenhederne selv skal vurdere betydningen af, er der meget større forståelse for, at it-sikkerhed er en del af det samlede arbejde, der beskytter deres mulighed for drive forretningen.
Det fortalte Ole Hvidkjær, som arbejder med operationel risikostyring i Danmarks Nationalbank. Her blev den selvstændige it-sikkerhedsfunktion nedlagt i 2003.
boks: Internet under-
støtter terrorister
Forretningsunderstøttelse og internet er en cocktail it-professionelle godt kan lide at servere. Men hvis forretningen er terrorisme bliver smagen bitter.
Terroreksperten, lektor Lars Erslev Andersen fra Center for Mellemøststudier ved Syddansk Universitet fortalte på IT-sikkerhed 2006 om, hvordan internettet blandt mange forskere ses som et væsentligt operationel værktøj i forbindelse med terrorangrebene i London og Madrid.
Han fortalte, at Al-Qaida blev smadret og gjort uoperationel ved angrebene på Afghanistan efter angrebet på World Trade Center i 2001. Men siden har islamistiske netværk udviklet sig ved at anvende internettet som fundament for communities.
- Det er udviklingen, set fra et forskersynspunkt. Om der kan og skal gøres noget ved det, er op til jer, sluttede Lars Erslev Andersen.
