Læs også:
Her er sikkerhedschefens nye rolle
Sikkerhedschefen skal lære at tænke strategisk
"Traditionelt har det været nok for en virksomhed at have en nedskreven sikkerhedspolitik. Men kompleksiteten i it-systemerne gør, at det i dag er nødvendigt at anvende nogle værktøjer, der sikrer at reglerne rent faktisk overholdes," siger Jørgen Sørensen, der er partner i rådgivningsvirksomheden Deloitte Enterprise Risk Services.
Virksomheder oplever i dag et stigende behov for at give kunder og samarbejdspartnere adgang til deres systemer. Samtidig vokser kompleksiteten i systemerne, der i højere grad integreres på kryds og tværs. Dertil kommer, at en række forskellige brancher er underlagt øget regulative krav om den måde, som data håndteres på.
Det skaber behov for at anskue it-sikkerhed på en anden måde, end vi har været vant til. Nemlig på en mere forretningsorienteret måde. Og det betyder ifølge Jørgen Sørensen, at det i stigende grad er nødvendigt at få hjælp af teknologien til at håndhæve virksomhedens sikkerhedspolitikker.
"Det er ikke ualmindeligt i dag, at virksomheder har mere end 25 forretningsvigtige systemer, de arbejder med. Og hvis man skal have folk til at sidde manuelt og for eksempel gennemgå logfiler for at holde øje med, om sikkerhedspolitikken og lovgivningskravene bliver overholdt, så bliver det rigtigt dyrt," forklarer Jørgen Sørensen.
Rådgivning er ikke nok
I erkendelse af, at der er et stigende behov for, at sikkerhed og teknologi går hånd i hånd, har hans egen arbejdsplads netop indgået et partnerskab med softwarevirksomheden CA Technologies, der gør det lettere for Deloitte at tilbyde integrerede sikkerhedsløsninger. Ofte har virksomhederne nemlig brug for mere end ren rådgivning.
"Vi oplever ofte, at vi er ude at rådgive en virksomhed om it-sikkerhed, hvor anbefalingen omfatter implementering af sikkerhedsværktøjer - og så sker der ikke rigtig mere. For mange ligger udfordringen nemlig i lige så høj grad i at få valgt den rigtige løsning og implementeret løsningerne på en effektiv og ordentlig måde," forklarer Jørgen Sørensen.
Omvendt er det heller ikke nok blot at indkøbe teknologien, for der er nemlig ofte flere forskellige forhold, der helst skal være på plads inden. Blandt andet skal man være opmærksom på, hvilke lovkrav der knytter sig til den pågældende type virksomhed, men det er samtidig vigtigt at være klar over, hvor i organisationen behovet for sikkerhed eksisterer, og hvor stort behovet er.
"Det er ikke nok bare at holde et højt sikkerhedsniveau. Det er nødvendigt at holde et sikkerhedsniveau, der er tilstrækkeligt ud fra en risikobetragtning. Bliver sikkerhedsniveauet for højt, så risikerer man, at det kommer til at virke hæmmende for forretningen," fortæller Jørgen Sørensen.