Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen ITinnovation om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
En it-sikkerhedspolitik fortæller, hvordan virksomhedens it-aktiver skal beskyttes. Men den skal formidles, hvis den skal virke i praksis.
Denne måneds kommentar fra sikkerhedsfronten afslutter min serie om, hvordan virksomheden får en sikkerhedspolitik. I sidste måned udarbejdede virksomheden en liste over virksomhedens kritiske it-aktiver og de trusler, de kan blive udsat for. Dermed er den godt på vej til at have en risikovurdering.
Næste skridt er at vurdere de forskellige modspil, man kan komme med over for hver enkelt risiko. Typisk har man valget mellem at forhindre truslen i at opstå, reducere dens virkning, overføre dens virkning til et andet system – eller acceptere risikoen. Det sidste kan være aktuelt, hvis den er meget dyr at undgå, eller det er meget usandsynligt, at den opstår.
Med risikovurderingen i hånden kan vi gå i gang med at udarbejde it-sikkerhedspolitikken. Formålet med en sikkerhedspolitik er, at virksomheden får et papir, der fastlægger de overordnede krav til it-sikkerheden. Endvidere siger sikkerhedspolitikken, hvem der har ansvaret for hvad.
Følg opskriften
Risikovurderingen kan bruges til at sige, hvor meget forskellige it-aktiver skal beskyttes. Men andre hensyn spiller også ind. Hvad siger lovgivningen – for eksempel persondataloven? Hvilke krav stiller revisionen? Hvilke krav opstår som følge af kontrakter med kunder og leverandører?
Som det fremgår, skal en sikkerhedspolitik tilfredsstille mange hensyn. Derfor er det en god ide at følge en "kogebog", når man udarbejder den. Et godt udgangspunkt er den officielle danske Standard for informationssikkerhed, DS-484. Den er netop udkommet i en opdateret version.
En af fordelene ved at følge DS-484 er, at den gør it-sikkerhed til noget målbart. Virksomheden kan bruge standarden til at opstille krav til sikkerheden. Derefter kan den følge op på, om kravene bliver overholdt.
En anden fordel er, at standarden ikke er teknologifikseret. It-folk kan nemt komme til at opfatte it-sikkerhed som et spørgsmål om at købe de rigtige dimser: Firewalls, antivirusprogrammer, antispywaresoftware og lignende. Men et sikkerhedsproblem løses ikke med teknologi. Det handler om mennesker. Hvis medarbejderne ikke kender og forstår sikkerhedspolitikken, kan de ikke rette sig efter den.
Formidling er vigtig
Derfor er formidling en meget vigtig del af sikkerhedsarbejdet. Som regel udarbejder man mindst to udgaver af sikkerhedspolitikken: En overordnet håndbog, der fastlægger de store linjer og ansvarsfordelingen, og en mere detaljeret oversigt over de procedurer, der i daglige skal sikre, at politikken bliver efterlevet. Men derudover kan en kampagne med plakater og brochurer også være nyttig.
Hermed har jeg afsluttet min lille serie om sikkerhedspolitikker. Det nye år var måske en lejlighed for din virksomhed til at få it-sikkerhedspolitik?
Oprindelig bragt i Børsen ITinnovation den 13. december 2005