Alle taler om det – mest fordi det kan være svært. Måske det er på tide at gribe i egen barm, og tillægge en ny strategi og vinkel på området.
Efter et par år hvor sikkerhed var på alles læber og radar som følge af flere yderst ubehagelige episoder og hændelser, er det nu som om, sikkerhed er ved at træde i baggrunden for andre buzz words i it-industrien. De mange tiltrængte tiltag fra it-leverandørerne har vist sig effektive. De har alle medvirket til, at vi en tid ikke har set globale udbrud af vira og lignende ondsindede angreb som tidligere. Betyder dette så, at sikkerhed ikke er vigtig mere? På ingen måde. Sikkerhed vil og bør altid være en topprioritet, selvom det ikke længere er et buzz word. Sikkerhed bør i dag tages for givet, og være en integreret del af en teknologi og/eller løsning.
Budskabet er hverken sexet eller populært blandt teknikere - men relevant...
For de fleste virksomheder i dag er brud på it-sikkerheden en af de mest konkrete trusler mod forretningens drift, økonomi og image. Dette er en naturlig følge af anvendelse og udbredelse af it i forretningsgange, - systemer og procedurer. Alt for ofte hører man dog it-chefer beklage sig over ledelsens manglende opbakning og prioritering af området. Dette forhold er ikke blevet mindre den seneste tid med den stadig stigende introduktion af lovgivning, standarder og lignende krav til virksomhederne. Spørgsmålet er imidlertid, om it-afdelingerne selv bærer en del af ansvaret for, at it-sikkerhed ignoreres på ledelsesgangene, men også om der kan ændres på dette?
De senere år er det blevet gentaget til hudløshed, at it-sikkerhed ikke kun er it-afdelingens ansvar, men i særdeleshed er topledelsens ansvar. Synspunktet deles af de fleste it-chefer såvel som af fagfolk i it-branchen, men alligevel ser virkeligheden ofte væsentlig anderledes ud. I stedet for blot at beklage sig, er det måske på tide at tage en proaktiv tilgang til udfordringen og starte en debat om, hvorfor it-afdelingerne har så svært ved at få ledelsen i tale på området? Mit eget bud er såre simpelt: Hvis ledelsen skal påtage sig et ansvar, så skal problemstillingerne naturligvis præsenteres på en måde, så de kan forstås og accepteres – også af ikke-teknikere.
Det er muligt, at udfordringerne er indlysende i hovederne på fagfolk, men det er de bestemt ikke altid, når ansvaret forsøges deponeret på chefens bord. Når det kommer til it-sikkerhed, præsenteres de fleste ledere nemlig for problemer og teknikaliteter på en måde,  så de har svært ved at gennemskue, forstå, acceptere eller prioritere noget som helst. Dette på trods afkræves de ressourcer baseret på noget, der i mistænkelig grad ligner intuition og gætteri, uden at den forretningsmæssige værdi på nogen måde er klar. Under disse omstændigheder er topledelsens manglende interesse og skepsis aldeles forståelig og nærmere et udtryk for ansvarlighed end det modsatte – hvem kan og vil træffe beslutninger på denne baggrund?
I virksomheder hvor det er lykkedes it-afdeling og ledelse at finde et fælles sprog, er det min erfaring, at man analyserer og vurderer risici og indsatser efter forudbestemte og veldefinerede kriterier med udgangspunkt i forretningens aktiver. Ud fra denne tankegang er der en række spørgsmål, som skal besvares: Hvilke af vores services eller aktiver er de mest værdifulde, hvilke trusler står vi overfor – og hvordan påvirker de aktiverne, hvor er risikoen størst, hvad er et acceptabelt sikkerhedsniveau, og hvad er vi villige til at betale både i monetære enheder, men også i form af den ekstra tid og andre ressourcer, som altid er indbygget i et højt sikkerhedsniveau? Når disse forhold først er belyst, er der noget konkret for lederen at forholde sig til. Det er vigtigt at holde sig for øje, at der ikke er tale om en enten/eller tilgang, men snarere en både/og strategi. Det er fuldt ud acceptabelt og oftest standarden, at arbejde med forskellige sikkerhedsniveauer baseret på aktivernes værdi for virksomheden. Dette kan sammenlignes med forsikringer, hvor man også har forskellige forsikringstyper afhængig af den konkrete situation og trusler.
De mange professionelle aktører på sikkerhedsområdet har også indset, at hårde facts, fornuftig rapportering og ’revisions-dyder’ er en uundgåelig del af opgaven, hvis arbejdet med it-sikkerheden skal professionaliseres. En vigtig konklusion er, at teknologi ikke er alt i denne sammenhæng, men proces, rapportering, dokumentation også er afgørende discipliner i sikkerhedsmæssig sammenhæng – husk at sikkerhed er kombination af teknologi, processer og mennesker.
Sproget, der skal tales, er økonomi og forretning. For at sikre det fælles sprog mellem it-afdelingen og ledelsen, er der behov for opbygning af en rapporteringsform, der let og overskueligt kan synliggøre de trusler som virksomheder står overfor. Samtidigt skal truslerne korreleres til virksomhedens aktiver i et forretningsmæssigt sprog. Således kan dette sikre den nødvendige baggrund og indsigt for topledelsen, og understøtte i beslutninger og dispositioner af it-sikkerhedsmæssig karakter. Erfaringer viser at brugen af visualisering i rapporteringen til ledelsen er yderst effektiv. Eksempelvis i form af en farvekodning af den aktuelle sikkerhedsstatus i virksomheden på de respektive områder, hvilket gør det muligt for ledelsen at identificere konkrete fokus- og investeringsområder hurtigt og nemt.
Jeg er klar over, at budskabet hverken er sexet eller populært blandt teknikere, der i forvejen synes de bruger rigelig tid på bureaukrati. Rapporteringen løser som bekendt ingen problemer i sig selv. Men hvis de komplekse sikkerhedsudfordringer skal gøres synlige for ledelsen, er der ingen vej uden om. Der er brug for et fælles sprog mellem teknikere og ledere. Sproget, der skal tales, er økonomi og forretning. Hvis vi ikke formår dette, er der en god grund til, at ledelsen sætter kikkerten for det blinde øje. Det er jo ikke deres ansvar.
|