Vær julemand med omtanke

Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen Informatik om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

It-sikkerhed er et af de meget få områder i it-verdenen, som analytikerne spår vækst. Skal man tro eksperterne, bliver virksomhedslederne de rene julemænd, når det gælder om at uddele gaver i form af nyt sikkerhedsudstyr til it-afdelingerne.

Som sikkerhedsmand er jeg naturligvis glad for en øget interesse for it-sikkerheden. Tillad mig alligevel at dryppe en smule malurt i julegløggen. De milde gaver kan nemlig desværre vise sig at blive spild af penge.

Masser af produkter konkurrerer om it-budgetterne. Hvert produkt tilbyder en sikring mod hackere, virus eller andre trusler mod it-systemerne. Men selv den bedste firewall beskytter ikke et netværk, som man kan få adgang til uden om den. Produkter er nyttige, men man skal planlægge, hvordan de skal bruges.

Læg en plan
Derfor lyder mit råd: Udarbejd en strategiplan for it-sikkerhedsområdet. Fastlæg investeringerne ud fra planen.

Hvad får man ud af en investering i it-sikkerhed? Det er svært at sætte tal på. Det minder om at værdisætte udgiften til forsikringer eller betalingen til vagtpatruljen. Men virksomheden kan få et fingerpeg om værdien af it-sikkerhed ved at se på, hvor meget it-systemerne betyder for den.

Hvor længe kan dit firma køre uden it? Fem minutter? En time? En dag - eller en uge?

Se også på værdien af jeres data. Hvilke konsekvenser ville det få, hvis en hacker fik adgang til jeres fortrolige oplysninger? Hvad sker der, hvis virksomheden bliver anklaget for at distribuere piratkopier via en server, som hackere har overtaget? Hvor lang tid tager det at genoprette data, efter en virus har hærget?

Hvad truer os?
Ud fra svarene på disse spørgsmål kan virksomhedslederen få en fornemmelse af, hvilke værdier der skal beskyttes. Så er det tid at overveje, hvad der kan true dem. Hvor sandsynlig er de forskellige trusler? Er det mere sandsynligt, at vi rammes af virus, end at serverens diske går i stykker?

Strategien for it-sikkerhed skal forsøge at prioritere indsatsen ud fra værdier og trusler. Først når den er på plads, kan man begynde at se på produkter. Så er det også meget nemmere at vælge - nu kan man nemlig se, om et produkt passer ind i den vedtagne strategi.

Den modsatte metode, hvor man først køber produkter og derefter prøver at lægge en strategi, kommer til at passe bedre til produkterne end til virksomhedens behov. Så brug hellere kræfterne på at lægge planer frem for at købe julegaver, der alligevel skal byttes, når det igen bliver hverdag.

Med ønsket om en sikker og glædelig jul!

Oprindelig bragt i Børsen Informatik den 17.december 2002

Keywords: