Konsulentvirksomheden Ernst & Young gennemførte i starten af året en omfattende, international undersøgelse af IT-sikkerheden i 1.400 virksomheder, fordelt på 66 lande.
Resultatet blev offentliggjort her i sommer under overskriften "2003 Ernst & Young Global Information Security Survey".
Paradoksalt nok viser rundspørgen, at selv om de fleste foretagender fattes penge til IT-sikkerhed, så er det kun de færreste af dem, der ulejliger sig med at beregne ROI (Return on Investment) som argument for øgede budget-bevillinger.
- ROI er åbenbart røget bag om dansen som målemetode for udbyttet af investeringer i IT-sikkerhed, fastslår Mark Doll fra Ernst & Youngs Security Services-division.
- Der lader til at være et behov for et brugbart alternativ til gængs ROI-beregning, når det handler om at skaffe penge til IT-sikkerhedsfunktionen, tilføjer han.
Stor betydning
Ikke overraskende anfører 90 procent af de adspurgte virksomheder i undersøgelsen, at IT-sikkerhed er af stor betydning for dem.
78 procent peger på risiko-forebyggelse som den faktor med størst indflydelse på deres investeringer i sikkerhed.
Ikke desto mindre har de IT-sikkerhedsansvarlige enorme problemer med at overbevise ledelsen om IT-sikkerhedens betydning for den overordnede forretningsdrift.
- Der er et klart modsætningsforhold mellem det, virksomhederne betegner som en vigtig prioritet for dem (at beskytte deres forretnings-ressourcer) og til, hvad de bruger af penge på det, siger Doll.
For eksempel erklærer knap 51 procent, at deres investeringer i IT-sikkerhed er enten "komplet" eller "så godt som" afstemt med virksomhedens overordnede behov.
Over 34 procent ser sig selv som for dårligt rustede til at fastslå, om deres systemer i øjeblikket er under angreb udefra, mens over 33 procent siger, at deres evne til at reagere på kompromittering af systemerne er decideret for ringe.
Tveæggede trusler
Ifølge Mark Doll fokuserer mange topledere på hyppigt omtalte sikkerheds-problemer som virusser og hackere, hvor de i stedet burde koncentrere sig mere om knapt så indlysende trusler som for eksempel utilfredse medarbejdere, eller eks-medarbjedere, netværksforbindelser til samarbejdspartnere med upålidelige systemer, hardware-tyverier eller -tab og usikre trådløse forbindelser, der bruges af de ansatte.
- Den slags er ikke bare en trussel mod IT-sikkerheden, men ligeså vel mod et firmas renommé, understreger Doll.
De fleste virksomheder bruger fortsat de største beløb til IT-sikkerhed på indkøb af teknologi-produkter, mens der næsten ikke lægges vægt på personale-relaterede faktorer som information og uddannelse, viser undersøgelsen.
Kun 29 procent havde uddannelse af personalet som højeste prioritet inden for deres investeringer i IT-sikkerhed.
Konklusionen er, mener Ernst & Young, at erhvervslivet bør formidle sit behov for IT-sikkerhed på en måde, som virker overbevisende på den enkelte virksomheds interessegrupper og skabe bedre balance mellem de overordnede forretningsmål og behovene for sikkerhed.
Som det er nu, diskuteres sikkerhed kun sjældent, hvis nogensinde, på direktionsgangene.
Denne artikel stammer fra avisen Computerworld.