Berlingske Business
14:25Musikduo stævner Hennes og Mauritz

Glem papirtigre og hype – fokusér på ordentlig sikkerhed

Topbillede

En af de mest erfarne sikkerhedsfolk i Danmark efterlyser mere substans i sikkerheds-diskussionen

Af Dan Mygind

Der er ofte for lidt substans i it-sikkerhedsdiskussionen, og virksomshedsledere og ansatte bliver derfor ofre for skræmmekampagner, ligesom de kan lulles ind i en falsk sikkerhedsfølelse. Rasmus Theede, Direktør for ­Cybersikkerhed i CSC og formand for Rådet for Digital Sikkerhed, efterlyser en bedre forståelse af, hvad god sikkerhed egentlig er.

Som eksempel nævner han den internationalt anerkendte sikkerhedsstandard ISO27001, som giver et godt udgangspunkt for it-sikkerhed, men ikke skal opfattes som en blåstempling af it-sikkerheden i en virksomhed.

”Jeg er stor tilhænger af ISO27001, hvis den bliver brugt rigtigt, men den kan nemt blive en sovepude. Standarden sikrer, at sikkerhedsprocesserne i virksomheden er i orden, men den siger ikke noget om, hvorvidt de tekniske kontroller i virksomheden er konfigureret ordentligt,” siger Rasmus Theede, der har mere end 20 års sikkerhedserfaring fra Mærsk, KMD, NNIT og nu CSC.

ISO27001 et skridt på sikkerhedsvejen
Han fremhæver, at ISO27001 er en vigtig brik i sikkerhedsarbejdet, men hvis man udelukkende fokuserer på procesbeskrivelser i dokumenter og regneark uden at tjekke, om beskrivelserne stemmer overens med de praktiske forhold i virksomheden, vil det give en falsk sikkerhedsfornemmelse. Han kigger tilbage på sin egen oplevelse af certificeringsprocessen i et tidligere ansættelsesforhold.

”Jeg havde observeret store huller i sikkerheden i det firma, jeg var ansat i på det tidspunkt, men det blev ikke afsløret af certificeringsprocessen. Der blev eksempelvis ikke stillet spørgsmålstegn ved, om beredskabsplanen i tilfælde af et sikkerhedsbrud reelt virkede. Det blev ikke tjekket, om medarbejderne reelt kunne udføre det, som var beskrevet. Det er vigtigt at have de forhold for øje, når man går igennem ISO27001-certificeringsprocessen,” påpeger Rasmus Theede.

Forstå dine sikkerhedsværktøjer
Han anbefaler derfor også, at virksomheden tjekker, at sikkerhedsværktøjerne som anvendes, reelt set benyttes på den rigtige måde.
Der er eksempelvis mange, der logger alt muligt, men det er få, der rent faktisk har sikkerhedseksperter, der kan analysere log-filerne og finde den lille nål i høstakken af data, der viser, hvad der er foregået.

Her kan managed security være vejen frem for de fleste virksomheder, der ikke selv har spidskompetencer inden for sikkerhed. Komplekse log-analyser kan lægges ud til globale servicecentre med den nødvendige ekspertise. Vælger man at outsource sikkerheden, bør det ske i en dialog med leverandøren, hvor sikkerheden er veldefineret og forstået af begge parter. Ellers kan det ende med det gamle ordsprog ”outsource a mess and you get a mess,” påpeger Rasmus Theede.

Teknologiske fix og hype
Avanceret sikkerhedsteknologi er en del af it-sikkerheden, men Rasmus Theede advarer mod at tro, at teknologi alene kan skabe ordentlig sikkerhed.
”Det nytter ikke noget, at man installerer avanceret teknologi oven på et fundament, der slår revner. Hvis man eksempelvis ikke har taget stilling til, hvad der skal beskyttes, ikke har overblik over hvordan it-infrastrukturen ser ud, og hvor virksomhedens data er placeret, så hjælper teknologien ikke,” siger Rasmus Theede.

Ikke desto mindre fylder de tekniske løsninger meget i mediebilledet, da der er mange leverandører, der falbyder deres varer til skræmte virksomhedsledere.

Der er rigtig mange interessenter inden for sikkerhed, og der er langt flere, der gerne vil sælge sikkerhed, end der reelt er dygtige sikkerhedsfolk.
Når dertil lægges en mediedækning af sikkerhedsområdet, der oftere jagter kioskbaskere frem for faglig substans, så hjælper det meget lidt på sikkerheden.

”Jeg bliver lidt træt, når jeg for tusinde gang ser historier om, at 9 ud af 10 danske virksomheder har været udsat for hackerangreb. Den slags overskrifter sammenblander alvorlig industrispionage med trivielle sikkerhedshændelser, og nuancerne går derfor ofte tabt i mediernes dækning af sikkerhedsområdet.”
Det er så stort og ukonkret, at det ikke kan bruges til noget udover at skabe frygt. Enten panikker ledelsen og investerer i en sexet teknologi-løsning, som ikke virker, fordi sikkerhedsfundamentet ikke er på plads. Eller også stikker de hovedet i jorden af afmagt og siger, at de ikke kan gøre noget ved det.

Få styr på it-hygiejnen
I virkeligheden kan virksomhederne komme langt med, hvad Rasmus Theede kalder god it-hygiejne.
”Det drejer sig helt banalt om at tage backup, sikre at restore-processer er på plads og gennemtestede samt sikre, at alle systemer jævnligt opdateres,” siger Rasmus Theede og påpeger i den forbindelse, at hackere ofte udnytter sårbarheder, der har været kendt i mere end et år.
God it-hygiejne er trivielt og hårdt arbejde, der samtidig kræver en god diplomatisk sans, når forskellige målsætninger internt i virksomhederne skal afstemmes.

Drift skal være billig, stabil og helst outsourcet. Dér kan sikkerhed godt være forstyrrende, hvis systemer skal patches, testes og genstartes. Det kræver nedetid og lukkevinduer, som operationen ser som en irriterende distraktion.

Kommunikér på forretningsniveau
I den slags situationer skal virksomhedens topledelse involveres, så det sikres, at sikkerhed prioriteres højt, men Rasmus Theede advarer imod, at forvirre topledelsen med for mange tekniske detaljer.
- Ja, topledelsen skal involveres, men vi skal kommunikere med topledelsen, så ledelsen forstår det. Jeg ser megen rapportering opad på et teknisk niveau, som topledelsen ikke forstår den forretningsmæssige betydning af.

Hvad skal beskyttes?
Et andet godt råd fra den erfarne sikkerhedsleder er at begynde at fokusere på, hvad der reelt skal beskyttes. I virkeligheden er der nemlig ikke så mange data, der er rigtig vigtige for forretningen. Derfor vil det være en god ide at kategorisere data efter deres forretningsværdi og personfølsomhed. Det  er en opgave, som den nye EU-dataforordning alligevel kræver er på plads i 2018, men mange virksomheder er ikke begyndt på opgaven endnu. I den anledning kan man også finde ud af, hvor mange data, virksomheden egentlig bør lagre.
- Er der grund til, at vi har de her terabytes af data liggende? lyder det retoriske spørgsmål fra Rasmus Theede.

Daglig sikkerhedsbevidsthed
Den slags spørgsmål bør virksomhedernes ansatte dagligt forholde sig til, da det vil indarbejde sikkerhed som en del af deres daglige arbejdsgang.
- Man tror, man kan hælde viden på medarbejderne, og så ændrer de automatisk adfærd. Men det kræver en konstant aktiv sikkerhedsbevidsthed.

Forsiden lige nu

Til forsiden

Business anbefaler

Gratis breaking news på mobilen

Send BUSINESS BREAK til 1929 og modtag en SMS med en bekræftelse. Det er gratis - tilmelding koster kun almindelig takst. Du kan til hver en tid afmelde tjenesten igen.

Afmeld: sms BUSINESS BREAK STOP til 1929

Tilmeld Afmeld

Business Nyhedsbrev

Få breaking news og det bedste overblik fra Business.dk morgen og eftermiddag - eller modtag hver uge et prioriteret overblik over investorstof, privatøkonomi, ejendomme, digtal, karriere, media og vækst.

Se alle nyhedsbreve
 

Business i billeder

Se alle

BrandView Hvad er Brandview?

BrandView er en service fra Berlingske Media, hvor virksomheder har mulighed for at kommunikere deres specialviden direkte til brugere og læsere af Berlingske.
Dette kan gøres på print i Berlingske og Berlingske Business, eller online på b.dk og business.dk.

Ønsker du at vide mere om BrandView, bedes du kontakte content marketing afdelingen Public Impact via e-mail: info@publicimpact.dk.

<p>Henrik Olejasz Larsen, investeringsdirektør i Sampension</p>
Sponseret

Aktiemarkederne ligger historisk set forholdsvis højt. Det afspejler, at det går rigtig godt i den underliggende økonomi, forklarer investeringsdirektør.Arbejdsløsheden er rekordlav i både Japan og US...

Business Events Se alle

Business.dk anvender cookies til at huske dine indstillinger, statistik og at målrette annoncer. Denne information deles med tredjepart. Læs mere

Kære læser. Velkommen til business.dk.

Vi kan se, at du har installeret en adblocker, så vi ikke kan vise dig annoncer. Det er vi kede af, fordi indtægter fra annoncer er en helt afgørende årsag til, at vi dagligt kan tilbyde dig journalistik af høj kvalitet.

Vi håber derfor, at du i din adblocker vil tillade visning af annoncer fra business.dk Det er nemt og tager kun et øjeblik: Se hvordan du gør her.

Med venlig hilsen
Berlingske Business

Tilbage til artiklen