Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 31. marts 2006.
It-sikkerheds-politikken kan sammenlignes med piskefløde. Den har en udløbsdato. Men bliver det tordenvejr, kan den blive sur før dato. Derfor holder Kim Guldberg, it-chef på Hærens Officersskole, et vågent øje med it-sikkerhedens vejrudsigt.
En soldat er udstationeret i Irak. Pludselig modtager han en e-mail med et billede af sine to børn i skolegården - omgivet af to smilende arabiske mænd, der har Ekstra Bladet i hånden, så det ses, at billedet er taget samme dag. Araberne stiller nu krav om, at soldaten skal gøre, som de siger.
Scenarier som dette skal it-chef Kim Guldberg forsøge at forudse, for at han kan sikre sin organisation optimalt. Han arbejder nemlig på Hærens Officersskole på Frederiksberg.
- Det er vi nødt til at forholde os til, fordi vi har 500 mand i Irak lige nu. Vi skal vide, hvad vi gør i sådan en situation, forklarer Kim Guldberg. Og det samme er tilfældet, når der generelt er tale om at udarbejde eller revidere en eksisterende it-sikkerheds-politik. I forsvaret skal scenarierne tænkes ud i de mindste detaljer, netop fordi det er mennesker - soldaterne og deres familier og venner - der kan stå for skud.
Tidligt i gang
På området it-sikkerheds-politik adskiller Hærens Officersskole sig formentlig fra de fleste andre danske organisationer. Allerede da de første tanker om internet og sammenkobling af netværk blev født i Danmark, gjorde man sig sine første overvejelser. Midt i 1990'erne krævede forsvaret for første gang, at alle dele af den store organisation skulle udarbejde it-sikkerheds-politikker.
Efter grundigt forarbejde blev de mange ideer og tanker omsat til ord - og til en it-sikkerheds-politik tilpasset Hærens Officersskole. Siden da er it-sikkerheds-politikken løbende blev opdateret og tilpasset nye teknologier og trusler. Ifølge Kim Guldberg er det et must, hvis politikken skal være et værktøj, som indgår naturligt i hverdagen.
- Det er med it-sikkerheds-politikken, ligesom det er med piskefløde. Den har en udløbsdato. Men bliver det tordenvejr, kan den godt blive sur inden da, lyder det fra it-chefen. (Den er god nok - tjek selv på Google under "piskefløde" og "tordenvejr".)
Kim Guldberg tilføjer hvert år flere nye punkter i skolens it-sikkerheds-politik - eksempelvis fordi passwordene skal være længere, eller der dukker nye teknologier op som USB-nøgler, PDA'er og andre trådløse ting. Omkring hvert femte år gennemgår politikken derudover et omfattende eftersyn.
Kroner og konkrete eksempler
Når Kim Guldberg skal vurdere risici og konsekvenser ved forskellige scenarier, benytter han to forskellige fremgangsmåder, en kvantitativ og en kvalitativ - og så kombinerer han de to.
Med den kvantitative analyserer han, hvilke værdier organisationens systemer rummer - og hvilke risici der er forbundet med dem. Dem lister han i forhold til sandsynligheden for, at en given hændelse vil indtræde, og hvad det i så fald vil koste Hærens Officersskole.
- Det kan stilles op i et regneskema, hvori værdier tilføjes. Dermed får du en "kroner og øre-beregning" for, hvor meget din sikkerhed bør koste om året. Så det er rent matematisk.
Netop denne model tager ikke meget højde for medarbejderne og eleverne. Derfor kombineres den med den kvalitative model, hvor Kim Guldberg beder repræsentanter fra forskellige dele af organisationen forholde sig til forskellige problemstillinger, før den endelige it-sikkerheds-politik kan skrives med ord.
Den præsenterer han så for ledelsen. Og da det ikke handler om bundlinje for Hærens Officersskole, skal politikken ifølge Kim Guldberg præsenteres med konkrete eksempler på, hvad der kan ske, hvis it-sikkerheden ikke er i orden.
- Det handler eksempelvis om at spørge dem, hvor lidt de ønsker at stå midt i slotsgården og forklare over for formiddagspressen, hvorfor der ligger børneporno på vores hjemmeside. Den situation vil de formentlig meget gerne undgå, konstaterer it-chefen.
To separate netværk
Omkring 100 stabslærere og 350 elever har deres gang på Frederiksberg Slot. Og i øjeblikket er Kim Guldberg og hans to medarbejdere i gang med at kable hele slottet fra 1704 om. Der skal skabes to separate netværk - et til intranettet og et til internettet. Hidtil har medarbejderne skullet forlade deres kontorer og benytte stand alone-maskiner for at komme på internettet. Fremover får hver medarbejder en computer til hvert netværk, så officersskolens interne netværk fortsat holdes helt adskilt fra internettet.
I den forbindelse får skolens it-sikkerheds-politik flere tilføjelser. Der skal tages stilling til, hvad man vil acceptere, når lærere og elever bruger skolens internetforbindelse. Derfor har Kim Guldberg samlet et udvalg med repræsentanter fra hele organisationen, der skal vurdere, hvad der er nødvendigt - og hvad der ikke er. Skal folk kunne benytte netbank, hvad må de downloade, og hvor store mængder data skal de kunne modtage via e-mail?
- Det diskuterer vi frem og tilbage, hvorefter jeg fremlægger risici. Og i løbet af en måned eller halvanden, så tegner der sig et billede af, hvordan jeg skal formulere tilføjelserne i it-sikkerheds-politikken, siger Kim Guldberg.
Boks:
Gode råd fra Hærens
Officersskole
Målret it-sikkerheds-politikken: Når virksomheder skal lave en it-sikkerheds-politik, handler det om at skrive den, så brugerne kan forstå den. Derfor skal den være målrettet til modtageren.
Hos Hærens Officersskole er it-sikkerheds-
politikken udarbejdet i tre forskellige udgaver:
1 En meget detaljeret it-instruktion til slutbrugeren, hvor alle detaljer er nøje beskrevet - den findes på alle kontorer samt online.
2 En mindre folder, hvor de vigtigste ting er listet i kort form - den bliver alle medarbejdere og elever præsenteret for, når de træder ind på slottet for første gang.
3 En instruktion til organisationens net - den er primært målrettet it-afdelingen samt eksterne leverandører.
Informer brugerne: Hvis man vil sikre, at brugerne forholder sig til it-sikkerheds-politikken, handler det ifølge it-chefen på Hærens Officersskole om at informere dem godt nok. På Hærens Officersskole holdes årlige sikkerhedsbriefinger. Her giver it-chefen et oplæg, der relaterer sig til
it-sikkerheds-politikken.
Desuden kommer Hærens Operative Kommando en gang årligt forbi for at tjekke, at sikkerheden generelt er i orden - og herunder også it-sikkerheden. Derudover er der normalt it-revision med forsvarets interne revision hvert tredje til femte år.
Brug kontrol: Hvert år begynder 100 nye kadetter på Hærens Officersskole. Det er unge mennesker - alle omkring 21-22 år, som bliver iført uniform. Det betyder, at det kan være svært at genkende dem den første tid. Derfor laver Hærens Officersskole klasselister, hvor alle elever bliver opført med navn og foto, så de er til at genkende.
- Hvis en ung mand omkring de 22 år, rimelig sportstrænet og iført uniform begiver sig ind på skolen og sætter sig ved en computer, kan det være svært at adskille ham fra de nye elever på skolen. Derfor forsøger vi at komme det i forkøbet ved at tage billeder af dem alle, forklarer it-chef Kim Guldberg.
OriginalModTime: 03-04-2006 14:33:59
