Den IT-sikkerhedsansvarliges 7 faldgruber

Hvordan undgår du de 7 faldgruber

Den person der er udpeget til at være ansvarlig for IT- sikkerheden eller informationssikkerheden har en række faldgrupper jeg i denne artikel gerne vil gøre opmærksom på, for derved at hjælpe de personer til at undgå at lave samme fejl som andre personer i samme funktion tidligere har gjort.

1.  Projektorienteret vs. procesorienteret arbejde

Det første område jeg vil tage fat i er generelt arbejde med sikkerhed. En række personer der har fået dette område som opgaveområder, påbegynder arbejdet og præsenterer arbejdet over for omgivelserne som et ”projekt”. Ved at præsentere sikkerhedsarbejdet som værende et projekt i organisationen, bliver der opbygget en forventning om at der vil være en afslutning på projektet og dermed en konklusion eller en form for udmelding. Det er langt bedre, at der sker en løbende orientering om at sikkerhedsarbejdet er en løbende proces, hvor involvering fra organisations side er krævet i de forskellige opgaver, der ligger under sikkerhedsområdet.

Det er vigtigt at sætte sig nogle delmål med sikkerhedsarbejdet, når disse er opnået at melde dem ud i organisationen, så organisationen vænner sig til en løbende aktivitet på sikkerhedsområdet. Hvor mange gange har du oplevet at den IT-sikkerhedsansvarlige har informeret organisationen om, at der nu forefindes en (opdateret) liste over alle væsentlige aktiver med tilhørende forretningsansvarlige (Systemejere) og tekniske ansvarlige (Systemadministrator)? Eller at der er informeret om, at der er fortaget en risikovurdering, hvor resultatet viser at der er en risiko i forhold til fortrolighed på bærbare enheder og at der inden for kort tid vil blive indført yderligere sikringstiltag, der skal tage hånd om denne problemstilling? Det sker ikke så tit!

Som ansvarlig på IT-sikkerhedsområdet er det vigtigt, at arbejdet bliver betragtet som en løbende proces og at det også kommunikeres således samt at der generelt kommunikeres mere ud i organisationen om de opgaver der løses og resultaterne af dem.

2. Ledelsesforankring
3. Risikovurdering uden forretningsperspektiv
4. Manglende forretningskommunikation
5. Virksomhedens modenhed
6. For dybt detaljeringsniveau
7. Bære rundt på ”Nej-hatten”

Læs hele artiklen her eller hent den i PDF

Artiklen her skal ses som en inspirationskilde til eftertænksomhed og omtanke.

Feedback og kommentar modtages gerne.

Med venlig hilsen
Lars Bærentzen
Lab@siscon.dk