It-afdelingens behovspyramide placerer informationssikkerhed på toppen - og det er en dårlig placering, skriver Shehzad Ahmad i denne klumme.
Shehzad Ahmad, der er chef for DKCERT, skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Har du kigget logfilerne fra firewallen igennem?
Næppe. Men du gør det, så snart du lige har fået printeren på første sal til at fungere igen og oprettet den nye bruger i ERP-systemet.
Ikke?
Hverdagen for mange it-folk består af en nærmest ubrudt række af afbrydelser i det, de egentlig skulle beskæftige sig med. Jeg tænker på brandslukning af typen "Min mail virker ikke" eller "Vi skal bruge en projektor i det nye mødelokale."
Den slags opgaver tager tid fra dem, vi burde fokusere på.
Det enkle diagram
Jeg har berørt emnet kort i tidligere klummer. Men for nylig faldt jeg over et diagram, der illustrerer problemet meget enkelt og sigende.
Diagrammet er udarbejdet af en amerikansk analytiker, Wendy Nather fra 451 Research. Hun har taget udgangspunkt i den gode, gamle Maslows behovspyramide.
Titlen er ganske rammende: "The hierarchy of IT needs. Or, why you can’t get your management team to take security seriously."
Ligesom Maslow begynder pyramiden nedefra med de mest basale behov. Hos Maslow er det menneskets behov for mad, varme og et sted at sove.
Wendy Nathers pyramide handler om kravene til it-funktionen. Pyramiden er opbygget ud fra, hvilke trusler it-folk tager mest alvorligt.
Derfor lyder det nederste krav ganske enkelt: "Få det til at køre."
Den største trussel for en it-ansat er, at systemet ikke virker.
Sikkerheden kan vi altid kigge på senere – den er alligevel irrelevant, hvis systemet ikke er i luften.
Hold det kørende
Næste trin på pyramiden går ud på at sikre, at systemet bliver ved med at køre. Det må ikke løbe tør for diskplads. En ændring må ikke sætte det ud af drift. Strømmen må ikke blive afbrudt.
Den kender enhver, der har installeret de seneste rettelser fra Microsoft for derefter at se blue screen of death på brugernes skærme.
På pyramidens tredje trin skal vi undgå, at den nye it-løsning smadrer noget i resten af vores it-system.
Det fjerde trin handler om at ændre på vores nye løsning uden at ødelægge den.
Og sådan fortsætter det op ad pyramiden: Trin efter trin med de trusler som vi it-folk prioriterer i hverdagen.
Går det galt på et af trinene, rutsjer vi hele vejen ned til bunden og må begynde forfra med at få det til virke.
Truslen fra revisoren
Jeg er særlig glad for Wendy Nathers næstøverste trin: Beskyt mod auditører og sikkerhedsrevisorer.
Det lyder måske kættersk, men i mange organisationer vejer hensynet til at bestå en auditering tungere end ønsket om at beskytte mod rigtige angreb.
At beskytte mod angribere er placeret allerøverst på Wendy Nathers pyramide. En ganske lille trekant afslutter hendes pyramide, hvor alle de øvrige hensyn fylder langt mere.
Trist, men sandt.
I dagligdagen har de færreste it-organisationer ressourcer til at arbejde aktivt med informationssikkerheden.
Nedskriv procedurer
Som jeg før har skrevet, mangler sikkerhedsarbejdet i de fleste organisationer tre ting: Tid, penge og ressourcer i form af arbejdskraft.
Det får vi kun, hvis ledelsen erkender behovet for informationssikkerhed.
Medarbejdere prioriterer de opgaver, deres ledelse giver dem besked på at prioritere – eller de opgaver, de selv finder mest presserende.
Hvis medarbejderen sidder med næsen nede i logfilerne, og en frustreret bruger kommer ind på kontoret og beder om hjælp til sin pc, er det meget forståeligt, at medarbejderen vælger at hjælpe sin kollega først.
Derfor skal der være styr på forretningsgangene.
Aftalte og nedskrevne processer sikrer, at sikkerhedsmedarbejderen ikke bliver afbrudt med brandslukningsopgaver.
En central servicedesk er første skridt på vejen. Her indsamler it-afdelingen fejlmeldinger og ønsker fra brugerne, så de kan prioriteres og fordeles til medarbejderne.
Ønsker du flere råd om effektivisering af it-arbejdet, kan jeg varmt anbefale ITIL (Information Technology Infrastructure Library).
Hvis it-afdelingerne får bedre styr på dagligdagen, bliver det muligt at rykke sikkerheden længere ned i it-behovspyramiden – og det vil være til gavn for os alle.
Oprindelig offentliggjort på Computerworld Online den 26. september 2014
LINKS
The hierarchy of IT needs, Wendy Nather
Denne klumme på Computerworld.dk