Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen ITinnovation om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Hvad er virksomhedens vigtigste forretningsprocesser? Og hvad kan true dem? De spørgsmål skal besvares, når man udarbejder en it-sikkerhedspolitik.
Denne måneds klumme fra sikkerhedsfronten tager fat, hvor jeg sluttede i sidste måned: Virksomheden har besluttet at indføre en it-sikkerhedspolitik. Den har indsamlet viden om, hvilke forretningsprocesser og it-aktiver, den har.
Næste skridt er at udarbejde en risikovurdering. Formålet med risikovurderingen er at afklare, hvilke informationer og systemer, der er mest udsatte. Et godt sted at starte er at koble informationerne om forretningsprocesser og it-aktiver sammen. Altså: Hvilke it-systemer er den enkelte forretningsproces afhængig af?
Et eksempel kunne være fakturering. Det er den forretningsproces, der sikrer, at virksomheden får betaling for sine ydelser. Processen understøttes af et økonomisystem. Men måske er den også afhængig af andre systemer? For eksempel skal netværket virke, så medarbejderen kan få adgang til økonomisystemet.
Tre aspekter af sikkerhed
Når I har styr på, hvilke it-systemer de enkelte forretningsprocesser er afhængige af, er det tid at se på risikoen. Inden for it-sikkerhed taler vi om tre aspekter, der skal sikres: Tilgængelighed, integritet og fortrolighed.
Tilgængelighed betyder, at virksomheden skal have adgang til sine informationer og systemer. Trusler mod tilgængeligheden kan for eksempel være nedbrud i el- og telesystemer, så computerne slukker eller ikke er til at få fat i.
Integritet handler om, at systemerne virker korrekt, og at data er korrekte og fuldstændige. En trussel mod integriteten kan være et hackerangreb, hvor hackeren ændrer oplysninger i en database.
Endelig skal vi beskytte fortroligheden. Det handler om, at kun de relevante personer har lov til at se bestemte data.
Risikovurderingen skal se på, hvad en mulig trussel betyder for tilgængelighed, integritet og fortrolighed inden for hver enkelt forretningsproces. Hvilke konsekvenser vil en brand få? Hvad med et hackerangreb rettet mod web-serveren? En virus på netværket?
Prioriter indsatsen
Som det fremgår, er konsekvensvurderingen en temmelig stor opgave. Derfor er det en god ide allerede nu at begynde at prioritere: Udvælg de mest kritiske forretningsprocesser og start med at vurdere risici og konsekvenser for dem.
Tiden er også et vigtigt perspektiv i vurderingen. Hvad betyder det, at jeres web-server er utilgængelig i tyve minutter? Et døgn? En uge? Konsekvenserne vil sandsynligvis være meget forskellige. Nogle systemer kan være nede i flere dage uden problemer – men det skal være de rigtige dage, for eksempel i starten af måneden.
Efter vurderingen af hvilke forretningsprocesser der er de mest kritiske, kan I se, hvilke it-systemer de er afhængige af. Dermed får I en liste over kritiske it-aktiver. Hvad I skal gøre med den, ser vi på i næste måned.
Oprindelig bragt i Børsen ITinnovation den 15. november 2005