Ser vi blot et par år tilbage, har der været en del skriverier i medierne om en række store virksomheder, der har været udsat for hackerangreb, it-nedbrud, tab af persondata, ransomware og mange andre it-katastrofer.
De virksomheder, der er flest af i Danmark – altså de små og mellemstore virksomheder – er bestemt også i søgelyset her, for selvfølgelig er det ikke kun de største virksomheder, der udsættes for sådanne udfordringer.
Men hvad kan du som ledelse – måske endda øverste ledelse såsom bestyrelse eller ejerkreds, der ikke deltager i den daglige drift – gøre for at sikre det rigtige it-sikkerhedsniveau?
Sikkert er det, at du aldrig kan opnå 100 % it-sikkerhed. Denne erkendelse er meget vigtig.
Sikkert er det også, at du kan poste millioner af kroner i teknisk it-sikkerhed (firewalls, kryptering, backup osv.), men alt dette vil og kan ikke sikre mod en tankeløs eller naiv bruger, der klikker på det ”forkerte” link. Artiklens ærinde er imidlertid ikke at pege på konkret udstyr eller software, der bør anskaffes, men i stedet, hvilke beslutninger der skal træffes – og ikke mindst af hvem.
Kan man som virksomhed outsource hele it-sikkerhedsområdet og dermed få løst problemet?
Nej, ansvaret for it-sikkerheden kan aldrig outsources.
Ansvar i det hele taget kan aldrig outsources. Ansvaret er altid placeret hos ledelsen, og spørgsmålet er herefter, hvordan ledelsen kan sikre, at it-sikkerheden er på det rette niveau.
Bestyrelsen bør starte med at spørge direktøren om tiltag, der er gjort for at sikre en stabil it-drift og undgå datatab. Spørgsmålet lyder enkelt, men det vil svaret givetvis ikke være.
Direktøren må helst ikke svare, at ”det ved den it-ansvarlige, så det ved jeg ikke”. Måske svarer direktøren ud fra den antagelse, at hun/han skal komme med tekniske forklaringer, hvilket ikke er meningen. I værste fald er direktøren bare ærlig …
CIA-metoden for it-sikkerhed
Enhver virksomhed bør som minimum gøre sig overordnede tanker om risici i forhold til sikring af:
- Datafortrolighed. Tab eller uønsket offentliggørelse af data (især person- eller andre fortrolige data) kan ikke ske.
- Stabil it-drift. Systemerne skal virke og afvikles som forventet, og der skal være testede planer for at vende tilbage til normal drift inden for en estimeret tidsramme.
- Dataintegritet. Data kan ikke uretmæssigt ændres eller slettes.
Ovennævnte er også kendt som CIA (confidentiality, integrity og availability) og benyttes af mange inden for sikkerhedsbranchen som den helt overordnede paraply ift. adressering af it-sikkerhed.