Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen ITinnovation om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Din virksomhed er ved at indgå en vidtgående samarbejdsaftale med en anden virksomhed. I den forbindelse skal I deles om information om kunder, varelagre og samarbejdspartnere. Før I skriver kontrakten under, kommer den anden virksomheds direktør med en bemærkning: "Nå, ja, og så skal vi selvfølgelig have en revisorerklæring på, at jeres it-sikkerhed er i orden."
Hvad gør man så? Hvis man har sådan en erklæring, er der selvfølgelig ikke noget problem. Men det kan de færreste danske virksomheder prale af. It-sikkerhed står sjældent særlig højt på dagsordenen, og ligefrem bruge penge på at dokumentere den gør kun de få.
Men det kan blive anderledes. Vi mærker forandringen nærme sig vestfra. I USA var der for nogle år siden flere finansskandaler i milliardklassen. Det førte i 2002 til gennemførelsen af den såkaldte Sarbanes-Oxley-lov. Den indførte skrappere krav til regnskabsføring og dokumentation i virksomhederne.
Krav i staten
Lignende tendenser ser vi i Europa, og såmænd også her i Danmark. Således skal alle statslige institutioner have indført en it-sikkerhedspolitik inden nytår.
Umiddelbart lyder direktørens krav i indledningen til denne klumme som en ubehagelig overraskelse. Men det kan vise sig at blive en fordel. Hvis man i rette tid får fokus på sikkerheden, har man større chance for at undgå problemer, den dag ens virksomhed bliver udsat for problemer.
Hackerangreb i fokus
Et aktuelt eksempel er den igangværende ballade om Muhammed-tegningerne i Jyllands-Posten. Den har medført, at danske websider er blevet yndlingsoffer for en række hackere rundt om i verden. De trænger ind på webserverne og placerer deres egne budskaber på dem.
Men hvis virksomheden på forhånd har sikret sine systemer, er det langt sværere for hackerne at få adgang til dem. Så slipper den for besværet med at rydde op efter hærværket.
Så et helbredstjek på virksomhedens it-sikkerhed er bestemt ingen dårlig ide. Spørgsmålet er blot, hvem man kan få til at gøre det. En revisorerklæring er en mulighed. Men det kræver, at man har en revisor med it-indsigt.
Ellers må man se på andre muligheder. Uanset hvilken samarbejdspartner man vælger, kan det være en ide at tage udgangspunkt i den officielle danske standard for it-sikkerhed. Det er i øvrigt også den, staten har valgt at basere sin it-sikkerhedspolitik på. Den er udarbejdet af Dansk Standard og hedder DS-484.
Oprindelig bragt i Børsen ITinnovation den 28. februar 2006