It-sikkerhed er ikke et færdigt produkt, man bare kan gribe på hylden. Det er en proces, der løbende udvikler sig. Et godt værktøj til at holde styr på området er en it-sikkerheds-politik.
Klokken 12.36 den 23. september 2003. Et svensk atomkraftværk rammes af en fejl – og strømmen svigter på Sjælland, Lolland, Falster og Bornholm. Togene standser pludseligt mellem stationerne. Kasseapparater brager ned – og efterlader butikkerne på Strøget i København i sort. Og på Frederiksberg Hospital sætter strømafbrydelsen et pilotprojekt med et elektronisk medicinprogram i stå.
En begivenhed som strømsvigtet tilbage i september 2003 sætter it-sikkerhed på dagsordenen i de danske virksomheder. Det oplever salgsdirektør i sikkerhedsfirmaet FortConsult Kim Schlyter, der påpeger, at advarselsklokkerne ofte ringer lidt højere, når skaden ér sket – enten i egen virksomhed eller hos konkurrenterne.
– Efter det store strømsvigt var der stor fokus på it-sikkerheden, og virksomhederne tjekkede deres it-sikkerheds-politik efter i sømmene. Men den opmærksomhed er ofte knyttet til de store begivenheder, hvorefter interessen daler, når det bliver hverdag igen, forklarer Kim Schlyter og tilføjer, at det samme billede har vist sig efter hackerangrebene på Jyllands-Postens hjemmeside i forbindelse med Muhammed-sagen.
Et spørgsmål for ledelsen
De ansvarlige for virksomhedernes it-sikkerhed venter da også, at deres chefer vil interessere sig mere og mere for området. 73 procent forventer større opmærksomhed fra både direktion og bestyrelse i 2006.
Hos it-sikkerheds-firmaet Neupart mener direktør Lars Neupart ligeledes, at der er sket et skifte fra, at it-sikkerhed blev opfattet som ren teknik til at være et punkt på ledelsens dagsorden.
– I dag er der it-chefer, som oplever at få konkrete opfordringer fra topledelsen, hvor det tidligere var it-folkene, der var nødt til at gøre topledelsen opmærksom på, at der er noget, som hedder it-sikkerhed, vurderer han.
De gode argumenter
Der findes adskillige argumenter for at udarbejde en it-sikkerheds-politik. Det kan være revisionen, der banker på døren og stiller krav om, at virksomheden udarbejder en it-sikkerheds-politik. Det kan være myndighederne – eksempelvis som Finanstilsynet kræver det af bankerne. Det kan også være topledelsen, som har fået øjnene op for, at it-sikkerhed er en del af virksomhedens it-governance.
Carsten Heilbuth, der har ansvaret for KPMG’s rådgivning om it-sikkerhed, nævner den økonomiske faktor som et af de væsentligste argumenter.
– En gennemarbejdet it-sikkerheds-politik kan hjælpe virksomheden til at optimere investeringerne på området, så virksomheden ikke anvender unødigt mange ressourcer på området – eller risikerer at bruge for få og blive ramt af store nedbrud, der virkelige koster mange penge, forklarer Carsten Heilbuth.
