Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 20. oktober 2006.
Knap halvdelen af danske virksomheder har sammenkædet it-sikkerhed med forretningen, viser undersøgelse fra Pricew aterHouseCoopers. Det bør vække stof til eftertanke, mener nyt it-sikkerhedsråd.
Af Anders Rostgaard
Rigtige mængder naturgas til de rette lave priser.
Så kort og præcist kan det strategiske fundament for de to samarbejdende forsyningsselskaber HNG og Naturgas Midt-Nord beskrives. Når HNG og Naturgas Midt-Nord forsyner henholdsvis kunder i hovedstaden og i Midt- og Nordjylland, er det selskabernes fornemste opgave at indkøbe lige præcis de gasmængder, som kunderne har brug for. Og der skal helst slås til på det rigtige tidspunkt, når priserne i markedet er i bund.
Derfor er it-systemerne til prognosticering og registrering af forbruget nogle af det mest vitale.
- Det handler om at få det rette flow af gas. Der skal kun bestilles, hvad der er brug for, og rammer man forkert, bliver man straffet, forklarer de to selskabers fælles it-chef, Finn Morsing.
Alligevel var det ikke de mest vitale it-systemer, der var mest fokus på.
I dag er der rettet op på misforholdet hos Naturgas Midt-Nord og HNG. Det skete efter en risikoanalyse, der involverede hele forretningen, og som i dag ifølge it-chef Finn Morsing har resulteret i flere gevinster - også ud over de rent sikkerhedsmæssige.
Til gengæld er en forankring af it-sikkerhed i forretningen langt fra billedet i alle danske virksomheder, viser en undersøgelse foretaget af PricewaterhouseCoopers. Revisionsfirmaet har spurgt 180 it-sikkerhedsansvarlige fra top 1000-virksomheder i Danmark. Og resultatet er markant langt fra alle råd og vejledninger på området.
Over halvdelen fortæller, at de er helt eller delvist uenige i, at it-sikkerhedspolitikken og virksomhedens strategi er kædet sammen.
To tredjedele mener ikke, at risikoanalysen tager højde for virksomheden strategi og forretningsmæssige mål.
Knap to ud af tre virksomheder mener ikke, at it-beredskabsplanen tager højde for virksomhedens strategi og forretningsmæssige mål.
Tallet overrasker en af folkene bag undersøgelsen, senior manager Daniel de Visme fra PricewaterhouseCoopers sikkerhedsdivision.
- Undersøgelsen tyder på, at it-sikkerhedscheferne stadig mangler en klar forretningsmæssig forståelse. Drivkraften i denne sammenhæng bør være det forretningsmæssige, og undersøgelsen tyder på, at forretningen stadig ser it som noget teknisk. Men tænk på, hvor meget intellektuel kapital, der i dag gemmer sig i it-systemerne, siger Daniel de Visme.
Undersøgelsen overrasker også Kim Aarenstrup, der er formand for Dansk IT's nystiftede "Råd for It og Persondatasikkerhed". Han mener, konklusionen bør skabe stof til eftertanke hos virksomhedslederne.
- Det er vigtigt, at it-sikkerhedsledere i et eller andet omfang er forankret i forretningsstrategierne. Det er eksempelvis afgørende, at en skotøjskæde ikke anlægger et sikkerhedsniveau som en efterretningstjeneste - og omvendt. It-sikkerhedsfunktionen bør forankres i forretningen, siger Kim Aarenstrup.
Stikpiller i revisionsrapporten
Tendensen var den samme hos HNG og Naturgas Midt-Nord. Hos forsyningsselskaberne var det små stikpiller i revisionsrapporten, der satte gang i analysearbejdet.
- It-revisionen pegede på, at der var nogle svagheder i vores it-sikkerhed - at vi var lidt for slaskede. Vi manglede et opdateret firewall-regelsæt, større passwordkompleksitet, automatisk låsning af arbejdsstationerne og dokumentation for blandt andet backup-rutinerne, fortæller it-chef Finn Morsing.
Der var dog ingen kommentarer om it-sikkerhedspolitikkens sammenhæng med den overordnede strategi - eller mangel på samme.
Finn Morsing tog kontakt til it-sikkerhedsfirmaet Protego, som siden er opkøbt af revisionsgiganten PricewaterhouseCoopers. Sammen satte de fokus på forretningens behov for it-sikkerhed. Finn Morsing og kollegerne gennemførte en stribe interviews med udvalgte nøglepersoner fra forretningen for at klarlægge processer, som var vigtige for deres arbejde.
Herefter blev der prioriteret hårdt. Naturgas Midt-Nord og HNG rangordnede systemerne.
- Vigtige systemer som billingssystemer, overvågningsystemer og systemer til udveksling af data mellem os og markedet blev prioriteret højt. Til gengæld blev for eksempel intranetsystemer prioriteret lavere, da vi godt kan undvære dem i en periode, hvis systemerne bryder sammen, siger Finn Morsing.
Ligeledes blev der set på backuppolitikker og redundante systemer, der kan tage over, hvis der sker et nedbrud. Her udnytter HNG og Naturgas Midt-Nord, at virksomhederne ligger placeret i henholdsvis Søborg og Viborg og således er forbundet med en 1.000 Mbit-forbindelse.
Topledelsens manglende fokus
En af forklaringerne på den generelle kløft mellem forretning og it i danske virksomheder kan hænge sammen med topledelsens manglende fokus på netop it. Undersøgelsen fra PricewaterhouseCoopers tyder nemlig på, at it-sikkerhedsfunktionen set fra direktionsgangen sjældent ses som et strategisk område. For eksempel er det kun 50 procent af de adspurgte it-sikkerhedsansvarlige, der refererer til it-chefen og ikke topledelsen. 27 procent af de adspurgte kender slet ikke til budgettet for it-sikkerhed.
- For mig at se er det nogle tydelige tegn på, at topledelsen ikke anser it-sikkerhed som et strategisk område, fastslår Daniel de Visme.
Og det er et problem, vurderer Kim Aarenstrup, formand for Råd for it- og persondatasikkerhed.
- Organisationerne bliver mere og mere afhængige af it, og dermed bliver it-sikkerhed også et mere kritisk område, siger Kim Aarenstrup.
Både Daniel de Visme og Kim Aarenstrup har bud på, hvilke midler der skal fyldes i kløften for at gøre den mindre.
Daniel de Visme peger på opkvalificering af de it-sikkerhedsansvarlige, så de bliver bedre i stand til at søge dialogen med topledelsen.
- Topledelsen har en agenda. Jeg tror, at en overbevisende it-sikkerhedsledelse, der er taler i forretningssprog, og som kan beregne en ROI på sikkerhedsinvesteringerne, og som derved bevæger sig i forretningsmæssigt sprog, vil få taletid hos topledelsen, siger Daniel de Visme.
Kim Aarenstrup ser også problemstillingen som yderst relevant for topledelsen, der bør søge at forankre it-sikkerheden tæt på toppen.
- Jeg mener ikke, at it-sikkerhedschefen bør holde ugentlige møder med den administrerende direktør om it-sikkerheden, han kan naturligvis delegere ansvaret til en af sine underdirektører. Men ret meget længere nede bør emnet heller ikke forankres, siger Kim Aarenstrup.
Han mener endda, at det er en idé at oprette en styringskomité.
- Det kan være hensigtsmæssigt at tilrettelægge it-sikkerhedsarbejdet i en højt forankret styrekomité eller lignende, så man sikrer en dialog med forretningen. Og så kan man vel sige, at en it-sikkerhedschef, der arbejder alene i en organisation, nærmest er en trussel i sig selv, siger Kim Aarenstrup, formand for Råd for it- og persondatasikkerhed.
Vi passer på
Hos HNG og Naturgas Midt-Nord lykkedes det også at få topledelsen og resten af virksomhedens ansatte involveret.
- Medarbejderne har en betydning, når det handler om it-sikkerhed, og dette fokus på it-sikkerhed har øget ansvarligheden hos den enkelte. Tidligere blev vi måske opfattet som en afdeling, der gjorde tingene besværlige. Nu er vi blevet en afdeling, der "passer på" virksomheden, forklarer Finn Morsing, der som eksempel henviser til, at der nu er en forståelse for, hvorfor password skal være komplekse og udskiftes ofte.
Faktisk har hele it-sikkerhedsprocessen haft den positive effekt, at forretningen generelt har større interesse for it.
- Vi har blandt andet introduceret forretningskonsulenter i de enkelte funktionsområder, der sammen med it ser nærmere på brugen af it. Før var det ofte it-afdelingen, der præsenterede et nyt it-system. Nu er det mest forretningen, der kommer med ønsker, forklarer it-chef Finn Morsing.
Faktaboks:
HNG og Naturgas Midt-Nord
Siden begyndelsen af 1990'erne har HNG (Hovedstadregionens Naturgas) og Naturgas Midt-Nord - to af de oprindeligt fem regionale naturgasselskaber i Danmark - haft et strategisk samarbejde, som siden er udbygget, men egentlig fusioneret er selskaberne ikke. I 2003 kom samarbejdet også til at omfatte it-funktionen.
HNG har 250 ansatte på kontorerne i Søborg, Naturgas Midt-Nord har 170 ansatte i Viborg.
De to selskaber står for 60 procent af den samlede naturgasforsyning i Danmark. På vegne af kunderne, der repræsenteres ved et repræsentantskab, er det selskabernes opgave at indkøbe naturgas fra DONG og andre leverandører og distribuere det videre til kunderne.
OriginalModTime: 19-10-2006 13:41:03
