Computerworld News Service: Sikkerhed bliver nødt til at udvikle sig til noget, der understøtter erhvervslivet i stedet for den anden vej rundt, mener Lisa R. Young, senior medlem af det tekniske personale ved Carnegie Mellon universitetets Computer Emergency Response Team (CERT).
Sikkerhed har fået et dårligt ry i dagens virksomheder, lød det fra Young i en tale i Stockholm ved European Computer Audit, Control and Security konferencen, EuroCACS 2008.
Tendensen er, at man er begyndt at låse ting ned, så sikkerhed ses som noget, der umuliggør fremskridt fremfor noget, der muliggør fremskridt, mener Lisa R. Young.
Det er stadig et område, hvor kasser og teknologi sætter reglerne, siger hun.
Løser ikke noget med nye kasser
"At løse sine sikkerhedsproblemer ved at købe endnu en kasse er ikke andet end ønsketænkning. Sikkerhed indebærer mere end det," siger hun.
"Som sikkerhedschefer er det op til os at løfte hvervet og inkludere både mennesker og procedurer - ikke blot teknologi," påpeger hun.
Sikkerhedsprocedurer overføres ofte ikke til forretningsgangene, påpeger hun.
"Folk har simpelthen ikke tænkt på sikkerhed som en disciplin, der kan måles, styres og kortlægges. Det er en ny måde at se på det på," udtaler Young.
Sikkerhedskrav må komme fra de krav, som forretningsgangene stiller, understregede hun. "Krav bør drives frem af de, der står for forretningsgangene, ikke af teknologiens opsynsmænd," udtaler Young.
Der er rigelige belønninger for de virksomheder, der lærer at udvikle sig.
For at simplificere anstrengelserne for at ændre sikkerhedsstrategi har Youngs udviklingshold ved CERT udviklet rammeværktøjet til konstruktion af modstandsdygtighed Resiliency Engineering Framework (REF), som blev lanceret sidste år.
Det konkurrerer ikke med andre rammeværktøjer, såsom ITIL.
REF identificerer procedurer på tværs af en virksomhed for at bestyre modstandsdygtige forretningsgange – inklusiv alting fra optræning til compliance – og tilbyder en struktur, ud fra hvilken en virksomhed kan begynde at forbedre sig.
"Man kan reducere omkostninger, afskaffe tiltag, som løser problemer, der allerede løses på andre måder samt for eksempel forbedre compliance-tiltag." Udtaler Young.
Oversat af Thomas Bøndergaard
