Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Vi har i mange år levet med et højt trusselsniveau, og det ser ikke ud til at ændre sig.
Jeg ved godt, at det mest interessante er at tale om statssponsorerede hackergrupper, som spionerer mod danske virksomheder eller saboterer vores infrastruktur.
Men sandheden er, at it-angreb rammer helt almindelige, danske virksomheder hver eneste dag.
Nogle virksomheder føler sig sikre, fordi de har investeret i dyre firewalls og antivirus.
Det svarer til, at man har samme mindset som middelalderens borgherrer, der skulle beskytte deres ridderborg.
Når ydermurene er stærke og voldgraven dyb, så kan kun dem med den rette nøgle komme ind.
Den mentalitet bør man lægge bag sig, for der er stor risiko for, at medarbejdere mister deres nøgler, at voldgraven ikke er dyb nok, eller ydermurene måske ikke er så tykke og sikre, som man går og tror.
Når først hackerne er inde i borgen, så vinder de hurtigt de kampe, der skal kæmpes for at trænge helt ind i skat-kammeret.
En sikker skal fjerner ofte fokus fra det indre, der derfor ofte ender som en blød og ubeskyttet midte – ligesom en flødebolle.
Meget modigt - men ikke smart
Blandt virksomheder med god skal-sikkerhed har jeg hørt mange dygtige ledere melde ud, at de gerne påtager sig rest-risikoen for virksomhedens sikkerhed. Det er meget modigt - men ikke særlig smart.
Man bør ikke stole blindt på maskiners data eller tro på medarbejderes udmeldinger om tilstanden af sikkerhedsniveauet.
Tillid er en vigtig og positiv del af kulturen på danske arbejdspladser. Men når det kommer til it-sikkerhed, så er tillid godt, men test og kontrol langt bedre.
Når vi laver en hackertest, er netop flødebollestrukturen og borgen et problem, for i det øjeblik vi har et brugernavn og password på en almindelig bruger, så ejer vi alt.
Det giver langt mere mening at sammenligne sin virksomhed med en ubåd med flere sektioner med vandtætte skotter imellem.
I tilfælde af at der kommer vand ind i én sektion, kan skotterne lukkes.
På den måde kan båden stadig sejle, dog for nedsat kraft, indtil den kommer sikkert i havn.
At sikre sin it-infrastruktur og virksomhedens data er desværre ikke en øvelse, der er overstået på en weekend.
Det tager flere år, og jo højere sikkerhedsniveau man når, jo mere er der at vedligeholde, udvikle og overvåge. Lidt en ond cirkel, men en nødvendig ond cirkel.
Du er nødt til at have øjne og øre på alt. Du kan ikke beskytte noget, du ikke kender tilstanden af.
Heldigvis er det sådan, at virksomhederne har en kæmpe hjemmebanefordel.
De kender næsten altid deres eget netværk meget bedre, end hackerne gør. De kender også til normalbilledet.
Samtidig har de magten til at kontrollere, hvem i virksomheden, der skal have små, store eller den helt store administrator-nøgle.
Gennem tiden har jeg hørt mange forklaringer på, hvorfor virksomheder ikke rigtig er kommet i gang med at lave grundig og omfattende it-sikkerhed.
Den klassiske er altid, at sikkerhed er i konkurrence med virksomhedens andre opgaver, eller at der ikke er nok budget eller medarbejdere til at varetage opgaven.
Det er næsten gratis at træne virksomheders kriseberedskab. Det kan gøres meget lavpraktisk.
Det handler om at sætte de rigtige mennesker omkring et bord og stille spørgsmålet: “Hvad vil vi egentligt gøre, hvis vi for eksempel bliver ramt af ransomware? Har vi en plan for, hvem gør hvad og hvornår? Og er vi afhængige af, at nogen kommer og hjælper os?”
Alle virksomheder skal desuden spørge sig selv, hvad de har, som er vigtigt at beskytte, og hvad det er værd?
Svaret på disse spørgsmål bør afspejle det sikkerhedsniveau, virksomheden vælger at lægge sig på.
Det er nemlig meget omfattende at have sikkerhed fra den øverste hylde, for slet ikke at tale om den tid, det kræver at implementere og vedligeholde.
Det vigtige spørgsmål er, om man vil være compliant eller stoppe hackerne?
Det er godt at være compliant, og det sikrer et højt it-sikkerhedsniveau. Men det har også en kæmpe værdi at kunne stoppe hackerne.
Compliance er en stor mundfuld, og mange er tilbøjelige til at give op på forhånd.
Hvis hackerne vil ind, så skal de nok komme det. Vi skal ikke lade, kriminelle og hackere vinde så nemt. Kæmp for din virksomhed dag for dag, bit for bit.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.