Virksomhedsdrift beror stadig mere på informationsteknologien, og samtidig vokser antallet af mulige sikkerhedshuller som følge af øget kompleksitet.
Begge faktorer burde ifølge eksperter føre til direktionens bekymring om it-sikkerheden. Alligevel tøver mange stadig med at hive it-sikkerhedsspørgsmål op på direktionsgangen.
Den manglende interesse fra direktionen dokumenteres i flere undersøgelser – senest i en ny af slagsen fra revisionsfirmaet Ernst & Young.
Den viser blandt andet, at en fjerdedel af it-sikkerhedsfolkene i virksomheder verden over ikke rapporterer it-sikkerhedsspørgsmål videre til virksomhedsledelsen.
Kun 50 ud af de 100 største virksomheder
Og det ser ikke meget bedre ud i Danmark, vurderer leder af Security & Technology hos PricewaterhouseCoopers, Martin M. Povelsen:
"Hvis vi ser på de 100 største virksomheder, vil mit bud være, at 50 af dem arbejder med it-sikkerhed på strategisk niveau," siger han.
Den manglende interesse på det strategiske niveau bekymrer flere eksperter, især fordi kompleksiteten i it-systemerne de senere år ikke er blevet mindre.
Ikke mindst på grund af den stigende brug af mobile enheder, som sikkerhedseksperter ikke er ubetinget begejstrede for. Blandt dem Post Danmarks it-sikkerhedsekspert Peter Lidell:
Eksempel: Mobiliteten
"Indtil videre har de mobile enheder ikke været den store udfordring, men det kommer, så snart der er penge i mobilerne – når man eksempelvis kan bruge dem som betalingsmiddel," siger Peter Lidell, der i dag arbejder systematisk med Security Risk Management hos Post Danmark, og hvor it-sikkerhedsafdelingen tages i ed, hver gang der arbejdes med nye strategiske forretningstiltag.
Ifølge Martin M. Povelsen fra PricewaterhouseCoopers findes der i øjeblikket to kategorier af virksomheder, når man ser på deres håndtering af it-sikkerhed.
Den ene er virksomheder, der af forskellige årsager skal leve op til eksterne krav som eksempelvis den amerikanske Sarbanes Oxley-lovgivning.
"De har haft en anledning til at lave en gennemgribende vurdering og justering af processerne og dermed også it-sikkerheden," siger han.
It-sikkerhed på lavt niveau
Og så er der den anden kategori. Det er de virksomheder, som ikke er tvunget til at foretage ændringer, og hvor it-sikkerhed stadig er lig med antivirus, firewall og backup – og hvor it-sikkerhed ikke overvejes, når der for eksempel foretages forandringer og justeres i systemerne.
Problemet i de virksomheder er ifølge Martin M. Povelsen, at de ofte misser it-sikkerhedsaspektet, når it-kompleksiteten stiger.
"Et eksempel: For at gøre arbejdet nemmere introducerer en virksomhed password-synkronisering, der også kommer til at gælde test-systemet, der er mindre sikret. Dermed kan det blive meget nemmere for udefra kommende at kompromittere sikkerheden, uden at man internt i virksomheden opdagede, at der var et problem," siger han.
Sikkerhed koster penge
Skal man fange situationer som disse, skal it-sikkerhed op på et strategisk niveau, mener Martin M. Povelsen.
"Ordentlig it-sikkerhed koster penge, og det er en forudsætning for, at fundamentet ikke skrider i en tid, hvor der udveksles mange flere informationer med omverdenen på forskellige niveauer," siger Martin M. Povelsen.
Men udfordringen ligger også på det mere operationelle niveau. En ting er nemlig, at direktionen får sat fokus på it-sikkerhed. En anden ting er så at bevare overblikket over it-sikkerheden.
Sikkerhedsfirmaet McAfee spurgte for nylig 90 it-ledere, hvordan de it-sikkerhedsmæssige udfordringer. 95 procent af dem forventede et stærkt stigende arbejdspres, og to ud af tre meldte, at de decideret manglede værktøjer til at løse udfordringen.
Systematisk forebyggelse
It-sikkerhedsekspert hos Post Danmark, Peter Lidell, medgiver, at det bliver mere komplekst at bevare overblikket i hverdagen.
Udvejen er systematisk forebyggelse, mener han. Ellers risikerer it-sikkerhedsafdelingen at skulle slukke en masse store såvel som små brande.
"Det systematiske overblik sikrer også, at hvis det endelig går galt, så ved vi, hvor vi skal pege brandslukkeren hen," siger han.
Forebyggelsen hos Post Danmark sker gennem konsekvent at foretage risiko- og konsekvensanalyser af alle it-tiltag. Også tiltag fra forretningen, der indebærer it, som eksempelvis udrulningen af smartphones.
Analysen danner grundlag for eventuelle sikkerhedstiltag.
Alt noteres ned
"Herefter noteres alt ned i vores konfigurationsdatabase, som vi arbejder med i tilknytning til ITIL," siger Peter Lidell.
Konfigurationsdatabasen - eller CMDB i ITIL-sprog - bevarer overblikket over alle enheder, brugere og rettigheder på kryds og tværs.
Overblikket er ikke bare vigtigt i hverdagen. Det er også vigtigt, når der sker ændringer, fortæller Peter Lidell. For eksempel hvis en ansat skifter jobfunktion eller får nyt job, og der pludselig bliver behov for at lukke ned for visse rettigheder.
Brugerne stadig det svageste led
Systematik, automatisering og direktionens fokus rækker langt. Men Peter Lidell understreger samtidig, at der dog altid findes et svagt led, som selv gode procedurer og værktøjer har svært ved at hamle op med: Brugeren.
"Hvis brugeren er ligeglad med gældende procedurer og retningslinjer og ikke opfører sig passende, så falder det hele til jorden," siger han.