Ude i det danske it-sikkerhedslandskab bliver der brugt for meget energi på de teknologiske sikkerhedsudfordringer, mens der er alt for lidt fokus på, hvordan den enkelte virksomhed strategisk kan beskytte sig selv.
De udfordringer falder lige tilbage på lederne i det danske erhvervsliv, som ofte mangler at tage ansvar for deres virksomheders mere eller mindre tilfældige it-sikkerhedstiltag.
Så skarpt skærer den danske sikkerhedsekspert og partner Mads Nørgaard Madsen fra revisionsselskabet PwC landets største it-problematik ud i bølgepap.
"I Danmark er vi så søde og rare over for andre, så vi kan ikke se, at nogen skulle skade os. Sat lidt på spidsen, så skal der nok en brand til, før folk køber en brandforsikring. På samme måde er det med et hackerangreb. Folk tænker, at det sker nok ikke for mig og min virksomhed," siger Mads Nørgaard Madsen og fortsætter:
"Lige nu løber virksomhederne bare derudaf, men man kan ikke bare blive ved med at løbe uden at tænke på skader og lægens gode råd. Hvis man ikke tænker strategisk på sikkerhed i øverste ledelseslag, så risikerer virksomhederne at blive skadede, og at andre firmaer løber med toppræmierne."
Glad for meldepligten
Mads Nørgaard Madsen mener, at med flere store hackerangreb i USA i den forgangne tid med Target-angrebet som et af de værste/bedste eksempler, har øget sikkerhedsfokus i det store land.
Han er derfor også glad for, at USA og EU til sommer på de helt store linjer vil indføre meldepligt for virksomheder, når de er blevet hackerangrebet.
"En af de bedste forberedelser på trusler er, når man hører, at andre er blevet hacket. Der er begyndt at komme lidt interesse for strategisk it-sikkerhed hos lederne herhjemme, men det har ikke rigtigt rykket noget," siger sikkerhedsmanden.
Mads Nørgaard Madsen pointerer, at hovedparten af al ledelsessnak i virksomheder i stedet handler om regnskaber, vækst og gode salgstal.
"Hele vores vækst-jagt er kortsigtet, for det handler altid om de næste kvartalstal. Det er derfor sjældent, at en it-sikkerhedsmedarbejder får klap på skulderne for initiativer, der koster virksomheden flere millioner i sikkerheds-investeringer," forklarer han.
Stil spørgsmål til dig selv
Sikkerhed handler i Mads Nørgaard Madsens optik langt fra kun om at have nørder med millioner mellem hænderne siddende til at købe anti-virusprogrammer og andet, der kan stoppe truslerne ved firewall'en.
"It-sikkerhed handler i høj grad om ledelsens strategiske beslutninger til den konkrete implementering af teknologien," siger han.
Fremfor den evindlige fokusering på kvartalsregnskaber mener Mads Nørgaard Madsen, at virksomheder skal investere fremadrettet i sig selv - blandt andet ved udarbejdelser af konkrete risikovurderinger.
For et gennemført og virkelig ondskabsfuldt hackerangreb kan sende selv den bedste virksomhed helt tilbage til start.
"Ledelsen skal stille spørgsmål til sig selv: Hvad har virksomheden, som it-kriminelle kun være interesserede i? Hvad er det egentlig for nogle trusler, som vi møder i vores hverdag? Hvad er vores værdi fremadrettet? Og hvad for nogle mennesker kunne tænke sig at stjæle den værdi?"
Sikkerhed er god forretning
Og det behøver ikke kun være en udgift at tænke i sikkerhed, påpeger han.
"Sikkerhed kan faktisk blive en af bundlinjen," hævder Mads Nørgaard Madsen, efter andre sikkerhedsfolk har peget på Identity Management som et stærkt sikkerhedsværktøj.
Eksempelvis fremhæver han, at en traditionel sikkerhedsdisciplin som Identity Management - altså hvilke mennesker har rettigheder til hvilke informationer - sagtens kan bruges til mere end at holde styr på virksomhedens sikkerhed med.
"Rollen er bestemt fra starten af. En sælger får for eksempel kun adgang til virksomhedens sælger-værktøjer og kan ikke lukkes ind i patentmappen med alle projekterne, der bliver udviklet i en kælder i udviklingsafdelingen," siger Mads Nørgaard Madsen og fortsætter:
"Identity Management er således ikke et it-projekt, det er et organisationsprojekt. Når man først har sin organisation på plads, kan man blandt andet bygge målrettede selvbetjeningsløsninger til de ansatte, slanke administrationen og skære store dele af bureaukratiet fra," forklarer Mads Nørgaard Madsen.
At en organisation skulle blive mindre administrationstung med Identity Management, skyldes ifølge PwC-sikkerhedsmanden, at prædefinerede roller skaber mindre tvivl for de ansatte om, hvilke arbejdsredskaber de skal bruge.
Samtidig giver identitetsstyringen mindre arbejde, da projektgodkendelser, budgetplanlægning og andre arbejdsgange kan tilgås digitalt med fuld oversigt over de involverede parter frem for en masse decentralt styrede telefonopkald rundt i firmaet.
Læs også:
It-sikkerhed bliver aldrig det samme igen: Her er de gode råd til dig og din chef
Internet of Things giver kæmpe sikkerhedshovedpine: Kan koste firmaer livet