Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen Informatik om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
I mange virksomheder lever it-afdelingen sit eget liv isoleret fra firmaets kerneforretning. It-medarbejderne leverer en service, som man sjældent rigtig lægger mærke til, før der pludselig er problemer med systemerne.
Men det kan betale sig at lytte til systemadministratoren, også inden noget går galt.
Forebyggelse kan spare virksomheden for store udgifter i forbindelse med oprydning og reetablering efter for eksempel et hackerangreb.
En simpel cost-benefit-analyse af virksomhedens it-sikkerhed kan vise sig at være guld værd. Og her kan det betale sig at inddrage it-afdelingen i beslutningsprocessen.
Læg en sikkerhedsstrategi
Der findes flere beregningsmodeller til vurdering af trusler mod virksomhedens it-sikkerhed. En af de mest kendte er Octave (Operationally Critical Threat, Asset, and Vulnerability Evaluation), der er udviklet på Carnegie Mellon Universitetet i USA.
Ved hjælp af en model som Octave kan it-afdelingen og ledelsen af virksomheden arbejde sammen om at evaluere firmaets nuværende sikkerhedsniveau, identificere virksomhedens it-sårbarheder og lægge en fremtidig sikkerhedsstrategi.
Octave fokuserer mere på virksomhedens sikkerhedsrutiner end på den teknologiske side af sagen. Det svageste punkt i et firmas it-sikkerhed er som regel de ansatte.
Man kan spendere nok så meget på firewalls, mail-filtre og anti-virussoftware. I sidste ende hjælper det ikke meget, hvis den enkelte medarbejder klistrer kodeordet til netværket fast ved siden af skærmen på en lille gul post-it-seddel.
Den indledende vurdering i Octave af virksomhedens svage punkter munder ud i en række praktiske tiltag, der sikrer en øget beskyttelse af virksomhedens it-systemer.
Nedbrud kan være katastrofale
Informationsteknologi udgør rygraden i alle større virksomheder i dag. Alt fra lagerstyring til lønudbetaling er sårbart overfor systemnedbrud, og længere tids afbrydelser kan være katastrofale for firmaet.
I sidste ende er spørgsmålet, som enhver virksomhed bør stille sig selv, når den skal gøre plads i budgettet til it-sikkerhed måske ikke så meget: "Hvad får vi ud af denne investering?" men derimod: "Hvor meget har vi råd til at tabe?"
Læs mere om Octave på: www.cert.org/octave/
Oprindelig bragt i Børsen Informatik den 20. april 2004