Klumme: Hver virksomhed sin sikkerhed

Det er stressende tider at være leder, medarbejder eller aktionær i en virksomhed, som helt eller delvist er baseret på IT og hvilke er ikke det!

Tal fra Handelskammeret viser, at næsten hver tredje virksomhed anser sikkerheden som den største hindring for yderligere brug af IT. IDC anslår i rapporten "Virus i Danmark 2002", at virusangreb de seneste tre år har kostet danske virksomheder omkring fire milliarder kroner fordelt på omkostninger til genetablering af IT-systemer og tabt omsætning. Endvidere at det gennemsnitlige tab for den tredjedel af alle danske virksomheder som er ramt indenfor de seneste tre år var 40.000 kr. Det internationale samarbejde CERT har i en nylig rapport advaret mod at kriminelle med profit eller simpel stolthed for øje i højere grad vil skaffe sig adgang til virksomheders informationssystemer frem for nutidens viruskriminalitet. En trend som allerede nu kan spores i relation til højt profilerede virksomheder.

Virksomheder bliver i dag bombarderet med skrækhistorier fra rapporter og nyhedsmedier på den ene side og på den anden tilbud om at købe alverdens helbredende produkter fra IT-sikkerhedsfirmaer. Men det behøver ikke kun være valget mellem dyrekøbte erfaringer eller dyrekøbt sikkerhed. IT-sikkerhed handler i høj grad om at kortlægge sine svagheder og virksomhedens IT-hjørnesten. Der er ikke meget ved at være i klædt brystning fra hoved til ankel, hvis virksomhedens akileushæl er blottet og livsvigtige data derfor mistes.

Selvom tal fra USA viser, at udgifterne til kaffe på årsbasis ofte er højere end til IT-sikkerhed og at der derfor synes at være meget at rette op på, er det ikke investeringernes omfang, som sikrer en virksomhed. IT-sikkerhed er en svær balancegang mellem effektive og fleksible IT-systemer, økonomi og beskyttelse af virksomhedens værdier. Det er givet, at konsulenter og IT-sikkerhedsfirmaer vil anbefale en række sikkerhedsforanstaltninger og teknologier, men kunsten er at finde den rette balance mellem sikkerhed og et rimeligt omkostningsniveau.

Behovet for en udstrakt IT-sikkerhed afhænger meget af, hvilken profil en virksomhed har. Helt afgørende er selvsagt en vurdering af, hvori virksomhedens værdier består og hvori evnen til at udøve driften består. Hvis hele eller dele af en virksomheds værdigrundlag er bundet op i data på netværket eller produkterne kun afsættes via Internettet vil IT-sikkerhed naturligt have en høj prioritet. Men sikkerhed er jo en flerhovedet størrelse og truslerne mangeartede. Stort alle virksomheder lever af kontakt til omverdenen, men sikkerhedsmæssigt er der eksempelvis forskel på hvordan og til hvem kommunikationen er rettet - direkte til forbrugerne, andre virksomheder eller offentlige myndigheder. Det er derfor som leder vigtigt at have en grundlæggende forståelse af hvilken rolle forskellige dele af virksomhedens IT-systemer spiller, for derigennem at kunne fokusere indsatsen de rette steder og sikre IT-hjørnesten. IT-sikkerhed er ikke en entydigt størrelse, men varierer fra virksomhed til virksomhed.

Oven vande flyder imidlertid medarbejderne som faktor. Det er vigtig for enhver virksomhed, at have en klar fornemmelse for hvilken "sikkerhedskultur" der hersker indenfor murene. Hvis medarbejderne generelt set ikke er tilstrækkelig påpasselige i deres omgang med e-mails, downloads eller følsomme oplysninger er det i sig selv et væsentlig sikkerhedsproblem - efter manges mening det største enkeltstående problem! En udbredt forståelse blandt medarbejderne kan begrænse tab betydeligt og samtidig begrunde sparede omkostninger på nogle områder af IT-sikkerheden. Det kan imidlertid være svært, at fastslå i hvilken grad en sådan kultur består eller aktivt at skabe én. Nogle af de spørgsmål som kræves besvaret er i hvor høj grad medarbejdere, mellemledere, direktion og bestyrelse inddrager sikkerhed i deres arbejde. Om medarbejderne kan identificere risici og håndtere problemer, samt viden om hvortil en mistanke bør rapporteres og i hvilket omfang dette faktisk gøres.

Mange henvendelser til IT-ansvarlige er umiddelbart udtryk for en god kultur. Hertil kommer at det er af betydning, om virksomheden har en høj eller lav udskiftning af medarbejdere. Det kan være svært at bibeholde en udbredt sikkerhedskultur i en organisation, som kun har en lille kerne og i øvrigt stor udskiftning. Teknologiske investeringer kan i disse tilfælde være en del af svaret. Under alle omstændigheder er det altså af høj værdi at have sikkerhedsbevidste medarbejdere og enhver virksomhed bør derfor afsætte tid til udarbejdelse af en sikkerhedspolitik og uddannelse af medarbejderne.

De klassiske råd på virusområdet er velkendte, men kan ikke gentages ofte nok. E-mails med vedhæftede filer fra ukendte personer herunder især på andre sprog end dansk bør ikke åbnes. Tillad altid antivirusprogrammer at opdatere og scan filer ved den mindste mistanke. Vær varsom overfor eller scan gratis-filer som downloades fra Internettet. Vær varsom med blot at videresende kædebreve og jokes da de kan indeholde vira. Henset til at informationstyveri kan ventes at blive en endnu mere fremtrædende risiko, bør virksomheder endvidere formulere krav til omgang med følsomme oplysninger, herunder i hvilken udstrækning kryptering og digital signering skal anvendes.

Den tid hvor anvendelse af IT og Internettet medførte endeløse lyksaligheder og er for længst forbi. Sikkerhed bør derfor indtage sin retmæssige plads på højeste niveau i enhver virksomhed og ikke blot være overladt til en IT-ansvarlig. Men det er ikke ensbetydende med, at udgifterne skal stige til samme høje niveau. Gennem identificering af virksomhedens profil for så vidt angår værdi- og driftsgrundlag, medarbejdere, forhold til omverdenen og fremtidige behov kan IT-sikkerhedsinvesteringerne målrettes og optimeres. IT-sikkerhed er ikke et problem, der løses engang for alle, men mere en slags state of mind, som kræver hele virksomhedens opmærksomhed.

Brian Mertz Pedersen er koncerndirektør i sikkerhedshuset EuroTrust A/S, der er udbyder af produkter såsom digital signatur, krypteringsløsninger, certifikater, virusbeskyttelse, sikkerhedsalarmering, remote backup, secure hosting, samt betalingsløsninger til Internettet.