Det gælder om at fokusere på nogle få enkle regler, når man formulerer en virksomheds it-sikkerhedspolitik.
Samtidig skal man undgå at binde politikken op på specifikke teknologier, der hurtigt kan blive forældet.
Det var nogle af rådene fra en række it-chefer til deres kolleger i forbindelse med Infosec-konferencen i Orlando i denne uge.
Kampe skal vælges med omhu
- Vælg dine kampe med omhu, siger it-sikkerhedschef Anish Bhimani fra JPMorgan Chase til den amerikanske udgave af Computerworld.
Han advarer mod at gøre it-politikken til en lang opremsning af specifikke krav, som det senere kan blive svært at håndhæve.
I stedet skal virksomheden sætte sig klare mål for sikkerhedspolitikken og formulere en politik, der let kan læses og forstås af medarbejderne.
Således har JPMorgan Chase opdelt sikkerhedspolitikken i en kort liste af obligatoriske krav og en lidt længere liste af anbefalinger.
En sikkerhedspolitik bør være adskilt fra sikkerhedsstandarder og -retningslinjer, fordi den hovedsageligt skal bruges til at styre adfærden i virksomheden, påpegede sikkerhedschef Sandy Bacik fra televirksomheden Tekelec i forbindelse med en paneldebat på konferencen.
Det betyder også, at sikkerhedspolitikken ikke bør bindes op på specifikke teknologier, men i stedet formuleres mere langsigtet.
Skal være mulig at håndhæve
Det er dog samtidig vigtigt, at en sikkerhedspolitik er formuleret således, at det er muligt for ledelsen at håndhæve den, påpegede Philip Maier, it-sikkerhedschef i Visa-datterselskabet Inovant ved debatten.
Han anbefaler derfor, at man vender alle regler med dem, der skal håndhæve dem og også med eksperter inden for de enkelte områder, så man er sikker på, at reglerne kan håndhæves i praksis.
