Når forretningen styrker sikkerheden, så styrker sikkerheden forretningen

Af Mathias Caspersen, journalist

En ny modenhed er ved at gry over dansk erhvervsliv, når det gælder tilgangen til IT og ikke mindst IT-sikkerhed. Det er gode nyheder for både sikkerhed og forretning.

Arbejder man med IT, kender man sikkert begrebet ”Patch Tuesday”. Det refererer til en imaginær ugentlig mærkedag, hvor man opdaterer sine IT-systemer med de nyeste patches og på den måde får lukket de senest opdagede sikkerhedshuller.

Begrebet er dog også værd at kende for erhvervsledere, for det siger en hel del om vor tids tilgang til IT og IT-sikkerhed. Det mener Niels Mogensen, der er Security Evangelist i Conscia, førende leverandør af sikker og forretningskritisk infrastruktur.

“Mange tror desværre stadig, at man kan sikre sig 100%. Men de mange løbende opdateringer fortæller os netop, at man ikke er 100% sikret. Man finder ikke årsagen til problemet, men fjerner bare symptomerne – og så er man stadig sårbar,” siger han.

Han mener dog, at tiøren er ved at falde og oplever, at rigtig mange er ved at være klar til at tage næste skridt i forhold til IT-sikkerhed.

“De fleste har i dag forstået, at der ikke findes en silver bullit. Komplet beskyttelse kan ganske enkelt ikke opnås. For stort set alle virksomheder er IT blevet forretningskritisk. Hvad vil det for eksempel betyde for din organisation, hvis alt IT slukkes? Mærsk-sagen har i den forbindelse været en øjenåbner for mange erhvervsledere og har vist, hvor alvorlig en større sikkerhedsbrist kan gå hen og blive,” siger han.

Integrer sikkerhed og forretning

Men hvad skal der ifølge Conscia til for at tage det næste skridt fuldt ud?

“Man skal først og fremmest foretage en grundig risikovurdering, så man tager beslutninger ud fra et faktuelt grundlag. Her er det værd at bemærke, at risikostyring er en ledelsesmæssig opgave, og det er her, at de væsentligste beslutninger omkring IT-sikkerhed bør tages,” fortæller Niels Mogensen.

“Derudover bør man gøre sig klart, at sikkerhed er noget, man laver for forretningens skyld. Mere sikkerhed er ikke nødvendigvis lig med bedre sikkerhed. Man skal helt ind i forretningen og understøtte processerne med de rigtige IT-sikkerhedstiltag,” siger han.

Konkret peger han på, at sikkerhed skal tænkes ind fra start, og at alle sikkerhedssystemer bør integreres med forretningens systemer.

“Netværket, firewalls, web-browsing, e-mails og så videre – det hele skal bindes sammen, så det taler og agerer sammen. Conscias erfaring er, at ved at integrere forretningsprocesserne ind i sikkerhedsarbejdet gavner man både driften, sikkerheden og forretningen,” fortæller han.

Endelig må vi ikke glemme den menneskelige faktor, når vi taler IT-sikkerhed. Løbende uddannelse af medarbejderne omkring IT-sikkerhed, fx at lære brugerne at spotte en phishing-mail, skal gå hånd i hånd med teknologi og processer.

Understøt forretningen

I den forbindelse er automatisering og brug af security intelligence kodeordene.

“Man kan ikke sidde manuelt og holde øje med og styre alt. Sikkerhedsberedskabet skal automatiseres, så at fx alarmer, konfigureringer og vedligehold automatisk spiller sammen,” fortæller Niels Mogensen. Det giver ikke bare en bedre sikkerhed, men også en række afledte gevinster.

“Når man bruger security intelligence data og automatisering, kan man frigøre ressourcer, samtidig med at man kan reagere mere effektivt. Ud over at systemerne hele tiden leder efter anormaliteter, kan de også hjælpe til at sikre en større forståelse af og indsigt i forretningen, og hvordan IT kan understøtte den bedre. Der er et klart innovativt aspekt her. Det har bankerne allerede været dygtige til at udnytte, og den viden og erfaring bringer Conscia også videre til andre brancher,” fortæller han.