Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 31. marts 2006.
Hvor meget eller hvor lidt skal virksomheden investere for at opnå den bedste it-sikkerhed? Spørgsmålet er svært at besvare, og virksomheder risikerer at bruge
enten for mange eller for få penge på området.
På it-sikkerheds-området vil leverandører ofte spille en dobbeltrolle - på en gang er de fortrolige rådgivere og leverandører af it-systemer. Det skaber en fare for, at leverandørens gode råd kræver større investering hos virksomheden, end der egentlig er brug for. Det skriver Dansk IT og KPMG i rapporten "It-sikkerhed i små og mellemstore virksomheder". Rapporten peger på, at virksomhederne risikerer at investere i løsninger, som enten er bedre end behovet eller ikke er stærke nok.
Ifølge Carsten Heilbuth, KPMG, der er en af forfatterne til rapporten, har markedet for it-sikkerhed været præget af, at nogle leverandører gik ud og råbte "ulven kommer" for at skabe et øget salg.
- Jeg er i anden sammenhæng blevet citeret for at have kaldt dem "skidesprællere". Det mener jeg også, de er, lyder det fra Carsten Heilbuth, der tilføjer, at der også findes mange leverandører med en seriøs tilgang til it-sikkerhed. Og den har ikke fokus på, at der igen er 700 hackere og adskillige nye vira på vej, men på, hvilke trusler virksomhedens forretning står overfor på it-området, og hvad der kan gøres for at reducere dem.
Dyr software er ikke altid bedre
Hos PricewaterhouseCoopers peger it-sikkerheds-specialist Peter Vestergaard på, at mange virksomheder ofte allerede har den hardware og software, der er nødvendig.
- Jeg har set mange eksempler på virksomheder, som har købt meget dyr software, men kun anvender en lille procentdel af den. De har simpelthen ikke haft tid eller ressourcer til at sætte sig ind i, hvad softwaren kan. I stedet for at bruge alle de penge på software, skulle man måske investere noget tid i at finde ud af, hvordan man udnytter den software, man har i forvejen, forklarer Peter Vestergaard og tilføjer, at meget software og hardware i dag har adskillige muligheder for implementering af it-sikkerhed, som virksomhederne ikke har set.
HVad kan der ske?
Det kan være svært at sætte tal på, hvor meget en virksomhed skal investere i it-sikkerhed. Risikoen for at ende med for lidt sikkerhed er altid til stede, og ifølge salgschef hos it-sikkerheds-firmaet FortConsult Kim Schlyter handler det som minimum om at vurdere, hvilke hændelser virksomheden kan forvente vil indtræffe.
- Du kan spørge dig selv om, hvorfor du har en forsikring. Det er jo ikke, fordi du har lavet en trusselanalyse over din hverdag - men fordi du forventer, at noget kan ske, siger Kim Schlyter, der anbefaler virksomhederne at søge hjælp hos et eksternt managementbureau til at analysere virksomhedens værdigrundlag - og sammenholde det med it-sikkerheden. På den måde kan virksomheden opnå et nogenlunde retvisende billede af sit behov.
Hyr uafhængige konsulenter
Også rapporten fra Dansk IT og KPMG peger på, at virksomheder kan hente hjælp hos eksterne konsulenter for at undgå at investere for meget eller for lidt - og måske endda i de forkerte løsninger.
Falder valget på at hente assistance hos eksterne konsulenter, er der visse minimumskrav, man bør stille til dem: De skal være uafhængige af leverandører, og de skal sætte sig ordentligt ind i virksomhedens forhold, forretningsmodel, organisation og interne systemer.
Billedtekst:
It-chefen bør tage sig i agt for leverandører,
der gemmer sig under en rådgiverkasket
og anbefaler alt for dyre løsninger,
mener Carsten Heilbuth, KPMG.
Foto: Torben Klint
Boks:
Mindstekrav til it-sikkerhed
Der findes ikke regler for, hvordan en it-sikkerheds-politik skal udformes, men lovgivningen stiller en række minimumskrav, der skal opfyldes - og som bør overvejes i forbindelse med optimering af it-sikkerheden.
§ Persondataloven: Bestemmelser om behandling af personfølsomme data samt om logning og kontrol af medarbejdernes brug af internettet til søgning og e-post. (Yderligere oplysninger hos Datatilsynet, www.datatilsynet.dk).
§ Markedsføringsloven: Bestemmelser blandt andet om brug af e-post til markedsføring og informationer på en virksomheds hjemmeside. (Yderligere oplysninger hos Forbrugerstyrelsen, www.fs.dk).
§ Bogføringsloven: Bestemmelser om, hvordan erhvervsdrivende skal tilrettelægge og udføre bogføringen. (Yderligere oplysninger hos Erhvervs- og Selskabsstyrelsen, www.eogs.dk)
Kilde: Rapporten "It-sikkerhed i små og mellemstore virksomheder" fra Dansk IT og KPMG.
OriginalModTime: 03-04-2006 14:35:23
