Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen ITinnovation om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Har din virksomhed en firewall? Bruger I et antivirusprogram? Holder I computerne opdateret, når der kommer sikkerhedsrettelser til dem?
Hvis du kan svare ja til alle tre spørgsmål, er din virksomhed godt på vej mod en højere it-sikkerhed. Men der mangler et element. Det handler ikke om et produkt eller en teknologi – det handler om politik.
En firewall er et eksempel på en teknologi, der kan øge it-sikkerheden. Men hvilke aktiver skal den beskytte? Hvordan skal den være sat op? Hvem har ansvaret for den?
Spørgsmålene illustrerer, at en firewall ikke er et mål i sig selv. Den er et middel til at opnå et mål. Og hvad det mål er, skal fremgå af virksomhedens it-sikkerhedspolitik.
Hvorfor sikkerhedspolitik?
I denne klumme tager jeg hul på emnet it-sikkerhedspolitik. Det er imidlertid så stort, at jeg har valgt at vie resten af dette års klummer fra Sikkerhedsfronten til emnet. Jeg starter med at se på, hvorfor en it-sikkerhedspolitik er nødvendig, og hvordan man kommer i gang.
Formålet med en sikkerhedspolitik er, at virksomheden får et papir, der fastlægger de overordnede krav til it-sikkerheden. Samtidig skal den også sige, hvem der har ansvaret for hvad.
En væsentlig del af it-sikkerhedspolitikken er at afgøre, hvilke aktiver den vil beskytte, og hvordan det skal gøres. Samtidig giver sikkerhedspolitikken lederen mulighed for at prioritere indsatsen. Her gælder det om at bruge kræfterne på at beskytte de vigtigste aktiver. Dermed er det også sagt, at en it-sikkerhedspolitik ikke kan opstå i et tomrum. Den skal bygge på viden om virksomhedens it-aktiver.
Ledelsen skal med
Første skridt på vejen mod en it-sikkerhedspolitik er at sikre, at ledelsen giver projektet sin fulde og aktive opbakning. It-sikkerhed er ledelsens ansvar. Hvis ledelsen ikke bakker op om projektet og aktivt går ind i det, vil det ikke føre til noget.
Dernæst skal man i gang med en risikovurdering. I praksis gør man det ved at oprette en liste over alle forretningsprocesser og de aktiviteter, som indgår i dem. For hver forretningsproces skal man angive, hvem der har ansvaret for den.
Samtidig skal virksomheden kortlægge sine it-aktiver. Det kan være udstyr og programmer, men også informationer og tjenester såsom tele- og internetforbindelser. Alt efter hvor godt it-afdelingen har styr på tingene kan den opgave tage fra nogle timer til flere uger.
Hvad gør man så, når man har listerne over forretningsprocesser og it-aktiver? Det kommer jeg ind på i næste måneds klumme. I mellemtiden kan du gå i gang med at skaffe opbakning i virksomheden til, at I skal have en it-sikkerhedspolitik!
Oprindelig bragt i Børsen Informatik den 5. oktober 2005