Få vil have papir på IT-sikkerhed Trods stor interesse for IT-sikkerhedsstandarder er salget af certifikater på, at man også overholder dem, gået uventet trægt. Nedturen i IT-branchen får skylden.
Da Dansk Standard for halvandet år siden begyndte at arbejde med certifikater for IT-sikkerhed, herskede store forventninger om, at IT-branchen ville trække markedet for dem i gang.
Sådan er det ikke gået. Kun seks kunder har meldt sig, og heraf er bare to ? meget små ? IT-virksomheder. Den første kunde, to Velux-selskaber i parløb, er netop certificeret.
? Da ordningen med salg af DS 484 og BS 7799-certifikater blev etableret, havde vi en idé om, at IT-branchen måtte tage deres egen medicin og være i stand til at dokumentere, at de havde styr på sikkerheden. Men så gik bunden ud af markedet, og udgiftskrævende poster uden en klar ROI ? afkast af investeringen ? blev sparet væk, konstaterer Peter Nygaard, der er certificeringsdirektør i Dansk Standard.
Han undrer sig trods alt. For et certifikat har markedsføringsværdi ? for eksempel i facility management-selskaber, hvor der i særlig grad er behov for at forsikre omverdenen om, at man har styr på sin IT-sikkerhed.
? Jeg havde forestillet mig, at et certifikat ville blive nødvendigt for overhovedet at byde på den slags opgaver. Men sådan er det altså ikke gået, konstaterer Peter Nygaard.
Udviklingen vender
Han er ikke desto mindre ved at lave en aftale med netop et selskab, der servicerer og hoster andres data, og har en fornemmelse af, at udviklingen trods alt er ved at vende til det bedre.
? Min tro på det er usvækket. Selv om det også mangler at blive præsenteret, så virksomhedsledelserne forstår det og ikke bare ser certifikatet som udtryk for, at den sure IT-afdeling kræver ind igen.
Et af hans salgsargumenter er, at man ikke bare får lukket sikkerhedshuller i sit system, men også åbnet mulighed for tættere integration med f.eks. kunder og leverandører i IT-processer.
Et eksempel fra hans egen fortid som IT-direktør i et forsikringsselskab var et ønske om at få forsikringsmæglerne koblet på selskabets system. Det kunne imidlertid ikke indfries, fordi de ikke kunne dokumentere, at deres IT-sikkerhed var i orden.
Grundig certificering
En certificering omfatter en audit, hvor Dansk Standard tjekker, at systemets design er certificerbart og søger vidnesbyrd på, at standarderne er implementeret. De to følgende år gennemføres opfølgende audits, og der afsluttes med en recertificering det tredje år.
Prisen afhænger fremdeles af størrelsen på virksomheden og kan være fra 30-40.000 til 200-250.000 kroner for den første audit. Hertil skal lægges en tredjedel af beløbet de to følgende år og omtrent det samme beløb oveni til recertificeringen. Gennemsnittet ligger på 60-70.000 kroner for den første audit, altså ca. 175.000 kroner i alt.
Peter Nygaard regner med, at Dansk Standard, der er en privat, selvejende virksomhed med et almennyttigt formål, i løbet af to til tre år vil have omkring 10 procent, af sin 45 millioner kroner store omsætning på IT-sikkerhed. De store forretningsområder er kvalitet og miljø med henholdsvis cirka 40 og 30 procent.
Denne artikel stammer fra avisen Computerworld.
