Informationssikkerhed på agendaen ..

Kom på agendaen hos direktøren !

Jeg spurgte ham ”Hvordan vil virksomheden agere når der sker et større IT-nedbrud ?” Svaret var ”Det forventer jeg at de har styr på i IT-afdelingen”.

Jeg har haft fornøjelsen at være på en kort i de seneste uger, hvor jeg tilfældigt kom i selskab med direktøren for en større dansk virksomhed. Som altid i den slags situationer, spørger jeg til hvad de personer jeg er sammen med, beskæftiger sig med – ikke mindst for at lære om andre fagområder.  Da jeg fik at vide, at denne person var direktør, kunne jeg ikke lade være med at spørge til hans ansvarsområde, der har relation til det vi i Siscon beskæftiger sig med – Informationssikkerhed.

Da vi begge havde fortalt om vores daglige beskæftigelse, kunne jeg ikke dy mig for, at spørge hvad de gjorde på følgende områder: Risikovurdering, Sikkerhedsstandarder (ex. DS484, ISO27001 eller ISO 27002) og Beredskabsplaner. For alle tre områder var svarene, det havde han ikke kendskab til, men havde en klar forventning til at det havde IT-chefen styr på. Jeg fortsatte og tillod mig igen at spørge ” Hvordan vil virksomheden agere når der sker et større IT-nedbrud ?” Svaret var ”Det forventer jeg at de har styr på i IT-afdelingen”.

Hvor hopper keden af?

Her er det min opfattelse at ”kæden hopper helt af”. Det kan aldrig være IT-afdelingen, der skal stå inde for hvordan virksomheden skal agere i tilfælde af et større IT-nedbrud. På dette område skal der være en række afdelingschefer, der har ansvaret for at udarbejde planer (Nødplaner) for, hvordan de ønsker, at deres afdeling skal håndterer en sådan nødsituation. Min oplevelse er, at denne slags planlægning alt for sjældent findes i danske virksomheder!

Samtalen fortsætter og jeg spørger ”Hvordan afstemmer I risikobilledet med krav og forventninger fra forretningen?”, hvortil der svares ”Forretningen har ikke noget med risikovurdering at gøre, jeg forventer at det er en opgave der bliver løst i IT-afdelingen”. Dermed har direktøren også sagt at den altafgørende ledelsesforankring af risikovurderingen ikke har fundet sted, og der ikke er nogen form forståelse for hvad risikovurderingen kan bidrage med i de forretningsmæssige overvejelser.

Jeg kunne godt forsætte med at referere fra denne samtale, men billedet er det samme, ingen viden, ingen forståelse og umiddelbart ingen interesse. Jeg stiller mig uforstående overfor dette, hvorfor mon det er sådan?

De første skridt mod dialog

På et af de tidligere seminarer Siscon har afholdt om informationssikkerhed, havde vi et indlæg om kommunikation mellem den IT-sikkerhedsansvarlige og ledelsen. Er ovenstående et spørgsmål om kommunikation eller mangel på samme? Jeg tror, at eksemplet her over i første omgang er et spørgsmål om, at ”komme på agendaen” hos direktøren. Hvis jeg sad som IT-sikkerhedsansvarlig, i denne virksomhed, ville jeg udforme en kort skrivelse til direktøren hvori følgende punkter kort var beskrevet:

  1. En tilkendegivelse fra direktørens side om at benytte DS484/ISO27001 som rammeværk for IT-sikkerhedsarbejdet. Eventuelt fulgt op af en 2-siders PowerPoint omkring den valgte standard, med omfang og virke, for at sikre kendskab til standarden.
  2. Ved udarbejdelse af risikovurdering er behov for, at få afdelingsledernes krav og forventninger til sikring af IT-understøttelse af forretningsprocesserne. Hvilke afdelingsledere skal indgå? Uden disse input risikerer virksomheden at anvende ressourcer på en ikke hensigtsmæssig måde i forbindelse med sikring af IT-systemerne.
  3. For at kunne udarbejde en fyldestgørende beredskabsplan, skal afdelingslederne beskrive nødplaner for de vigtigste forretningsprocesser. Hvilke forretningsprocesser skal indgå?
  4. Hvordan ønsker du løbende status rapportering på de nævnte opgaver og den generelle opfølgning på IT-sikkerheden i virksomheden?

Med disse 4 punkter vil du som IT-sikkerhedsansvarlig kunne ”kommer på agendaen” hos direktøren. Dette er første skridt imod den dialog, der vil gøre dit arbejde mere værdifyldt for virksomheden og samtidig gøre direktøren mere vidende om de informationssikkerhedsmæssige forhold i virksomheden.

 Af Lars Bærentzen
Lab@siscon.dk
Direktør Siscon

Feedback og kommentar modtages gerne.