Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 31. marts 2006.
Risikoanalysen skal sætte ord på, hvad der er afgørende for virksomheden - hvilke værdier og trusler er vigtigst? Så derfor: Glem it, og fokuser i stedet på de vigtigste
forretningsprocesser, som er understøttet af it.
Hvad skal virksomheden lægge vægt på i politikken for it-sikkerhed - hvor skal fokus være? Det er netop det spørgsmål, en risikoanalyse hjælper med at finde svaret på. Opgaven går ud på at identificere og prioritere forretningens vigtigste aktiviteter.
I denne proces skal it-chefen indkredse, hvilke forretningsmæssige aktiviteter, som skaber mest værdi for virksomheden - og derefter hvordan de er understøttet af it. Ifølge salgsdirektør hos sikkerhedsfirmaet FortConsult Kim Schlyter skal det herefter brydes ned på de enkelte aktiviteter i virksomheden - og omsættes til retningslinjer for medarbejderne. Det skal ske på basis af informationer, som hentes hos forretningens nøglepersoner.
Modellerne hjælper
Hertil findes forskellige modeller og metoder, som kan guide it-chefen på rette vej. Ligesom flere konsulentvirksomheder udbyder såvel deres assistance på området som kurser, der klæder it-chefen på til it-sikkerheds-politik.
Blandt dem er PricewaterhouseCoopers, hvor it-sikkerheds-specialist Peter Vestergaard fremhæver Dansk Standard som et godt afsæt til at komme i gang med at lave en it-sikkerhedspolitik. Dansk Standards model koster omkring 500 kroner og indeholder blandt andet en metode til risikoanalyse.
Af andre modeller findes blandt andet Porters værdikædeanalyse til at lokalisere, hvor virksomhedens værdi skabes, eller en business impact analyse (BIA), der bruges til at indkredse, hvilke risici der kan true virksomheden.
Positivt afsæt
Når it-chefen tager de første skridt rundt i forretningen, må processen ikke tage form som en gul trekant indrammet i sort - et advarselsskilt. Det kan få såvel ledelse som medarbejdere til at råbe fuldt stop allerede fra begyndelsen.
I stedet bør it-chefen fokusere på at tage et positivt afsæt. Det gør man ifølge Peter Vestergaard bedst ved at tage udgangspunkt i, hvordan it-sikkerheden kan bidrage til, at virksomheden når sine forretningsmål på en sikker facon. Men også hvilke muligheder der er for fornyelse og optimering, hvilket i nogle tilfælde kan resultere i forslag, der sparer penge i stedet for at skabe nye investeringer, som ofte skræmmer ledelsen.
Det stiller dog også krav om, at it-chefen kommer helt ind til benet, når repræsentanter fra såvel ledelsen som resten af virksomheden sættes under den varme interview-lampe. Banker man på døren til direktørkontoret - og beder chefen i stolen give et svar på eksempelvis, hvilke it-systemer der er væsentligst for virksomheden, vil svaret måske være mailprogrammet. Det oplever it-sikkerheds-konsulent fra NNIT Ingrid Colding-Jørgensen ofte, når hun hjælper virksomheder gennem en risikoanalyse. Og så handler det altså om at spørge ind til, hvad der altafgørende for virksomhedens eksistens. Herefter vil svaret formentlig være ERP-systemet og ikke mailprogrammet.
Boks:
Sådan kommer du i gang
Der findes ikke regler for, hvordan en it-sikkerheds-politik skal udformes. Men det er centralt, at politikken udtrykker virksomhedens holdning til og mål med it-sikkerhed. Med det udgangspunkt kan man udarbejde en række operationelle retningslinjer.
Begynd med en enkelt sætning: At formulere virksomhedens holdning til it-sikkerhed er ikke altid en enkel opgave - den kan formentlig give et par grå hår. Et godt råd fra Ingrid Colding-Jørgensen, der er it-sikkerhedskonsulent hos NNIT, lyder på at lægge ud med en enkelt sætning:
- Eksempelvis at vi ønsker høj sikkerhed. Udbyg herefter sætningen med spørgsmål som: Hvorfor skal vi det? Hvad har vi, der skal beskyttes? Kan vi i virkeligheden nøjes med "mellem" sikkerhed? Og fortsæt derfra til den mere detaljerede risikoanalyse.
Konsekvens, sandsynlighed og risiko: Rådgivere, der arbejder med it-sikkerhed råder it-chefer, der skal i gang med at lave en it-sikkerheds-politik, til at lægge ud med en overordnet risikoanalyse. Det kan man gøre ved hjælp af denne formel:
Risiko = Konsekvens x Sandsynlighed
Beskriver hvad konsekvensen er for virksomheden, hvis eksempelvis mailsystemet, økonomisystemet eller hele infrastrukturen udsættes for en hændelse, der krænker enten:
Fortroligheden: Beskyttelse mod, at udenforstående får adgang til fortrolige informationer.
Integriteten: Bekræftelse af, at der ikke er ændret
i sendte, modtagene og gemte data.
Tilgængeligheden: At systemer og data er tilgængelige og fungerer på trods af mulige forstyrrelser.
Vurderes for eksempel ud fra,
hvor sårbare systemet og indholdet af data er, samt hvor interessante de er for andre
at få fingre i.
Hver parameter vurderes på en skala fra 1 til 5. Ved at gange de to får man risikoen.
- Det handler om at vurdere sin risikoappetit. Vi skal ikke alle være Nationalbanken - nogle af os kan derfor have en større risikoappetit end andre, siger Lars Neupart og forklarer, at risikoappetitten er knyttet til den overordnede it-sikkerheds-politik, som ledelsen skal tage stilling til - altså hvorfor.
Vurderingen af risici skaber desuden input til it-sikkerheds-politikkens regelniveau, der sætter ord på retningslinjerne for, hvad de ansatte skal gøre - altså hvad.
Herefter sættes ord på de enkelte procedurer og instrukser - altså hvordan.
Overordnet politik
Hvorfor?
Mål, strategi, definitioner
med mere.
Regler
Hvad?
Hvad gør vi? Hvad gør vi ikke?
Retningslinjer.
Procedurer
Hvordan?
Sådan gør vi. Instrukser. Regelimplementering.
Kilde: Neupart
Inspiration fra Dansk Standard
Flere rådgivere på it-sikkerheds-området råder it-chefer til at hente inspiration i Dansk Standard, når der skal udarbejdes en politik for it-sikkerheden.
DS 484, "Standard for informationssikkerhed", fra 2005 er udviklet af Dansk Standard i samarbejde med en række specialister og lægger op til en styring og daglig håndtering af it-sikkerhed. Yderligere oplysninger findes på Dansk Standards hjemmeside: www.ds.dk
10 afgørende punkter
Når virksomheder skal forholde sig til it-sikkerhed: "Hvad er it-sikkerhed, og hvordan tilpasser jeg den
i netop min virksomhed?" Det spørgsmål bør enhver virksomhed - stor som lille - tage stilling til, inden uheldet er ude. Det skriver Dansk IT og KPMG i rapporten "It-sikkerhed i små og mellemstore virksomheder", der lister en række punkter, enhver virksomhed bør forholde sig til - blandt andet:
1 Ansvarsplacering for it-sikkerhed
og håndtering af dispensationer.
2 Anvendelse og beskyttelse af kodeord
samt anvendelse af e-post og internet.
3 Forholdsregler i tilfælde af virus
på medarbejderens pc.
4 Holdningen til privat brug
af virksomhedens it-udstyr.
5 Styringen af program-licenser
og installation af programmer.
6 Konsekvenser ved (gentagen)
overtrædelse af it-sikkerheds-politikken.
7 Virksomhedens
fysiske sikkerhed.
8 Kontaktpersoner ved brud
på it-sikkerheden eller i nødsituationer.
9 Relationer til tredjeparter - eksempelvis leverandører, kunder og forretningsforbindelsers adgangsforhold,
både fysisk og via fjernopkobling.
10 Nødberedskab
eller katastrofeberedskab.
Lad dig inspirere
Har virksomheden ikke selv oplevet nedbrud, hackerangreb eller virusangreb, kan det være svært at opstille scenarier for det. Men så kan andre virksomheders erfaringer være til stor hjælp. Tag derfor et kig i diverse avisarkiver. Kan det ske for en stor, anerkendt virksomhed - kan det sikkert også ske for dig.
Eksempelvis be-
skrev Computerworld i november, hvordan landets førende tøjkoncern, Bestseller, har oplevet at miste 24 timers data som konsekvens af en fejl opstået i en databases indhold. I juni var det beskrivelsen af Københavns Politi, der mistede data og ikke kunne registrere bødeindbetalinger, indtaste anmeldelser eller andre registreringer i flere dage. Hertil kommer den tidligere nævnte historie om Danske Bank, hvor et nedbrud lukkede pengeoverførelser for bankens it-systemer og netkunder i fem dage.
OriginalModTime: 03-04-2006 14:32:54
