Deloitte: Glem omverdenen - brug DS484

Principielt skal man med DS484 efterleve standardens krav om for eksempel e-handel, selvom virksomheden ikke har e-handel

Jeg er glad for det står 'principielt', men det tyder lidt på DS484 bliver 'misbrugt'.

Den skal nok opfattes som en bruttoliste med ting man skal være opærksom på, og ikke en endegyldig sandhed man slavisk skal følge.

Jeg er enig med Ole Haugaard Madsen, hvis jeg forstår det ret, at man kun skal forholde sig til de ting der er relevante.

Jeg kommer til at tænke på engang vi drev noget banksystem i gadeplan. Her skulle der i sagensnatur monteret skudsikre ruder.
Men hvis man ophøjer det til et generelt krav om skudsikre ruder i serverrum, ville jeg godt se hvordan man implementerer det i eksempelvis CSC's,DMData og KMD's 'katakombere. :)

Hej Stig,
Tak for din kommentar!

Når jeg skriver "principielt" er det fordi, at hvis man vil kunne certificeres efter DS 484, er det alt i standarden der skal overholdes, deraf kommentaren omkring "alt-eller-intet" i min oprindelige kommentar. Det standarden så vil vise, er, at man som organisation opfylder alle krav til dokumenter, processer mv. uagtet at de giver værdi.

Når jeg udtaler, at der er en del "knaster" i DS 484, er det bl.a. fordi, at DS 484 anvendes som et "idékatalog" af mange organisationer, hvor man "plukker lidt fra de forskellige hylder", hvorefter de bekender at nu "efterlever" vi DS 484. Det er muligvis bedre end intet at gøre, men efterlader en hel del problemer for dem, der skal forholde sig organisationens "efterlevelse" fx en kunde eller bruger, og måske også for organisationen selv, der ikke får det rigtige ud af investeringen. For i efterlevelsen ligger organisationens egen fortolkning af standarden, og ikke standardens krav - og hvor står vi så?

Problemstillingen svarer til den situation hvor en serviceleverandør eller en it-afdeling bekender sig til at være "ITIL compliant" – et udsagn der ikke giver mening, da der i ITIL frameworket ligger, at man tilpasser processerne (fjerner og ændrer), så de passer til en kontekst. Det gør ikke nødvendigvis servicen dårligere, måske endda tværtimod, men for at en kunde skal kunne forstå hvad man får for pengene, er man nødsaget til selv at analysere indholdet (standarden ISO 20000 råder bod på nogle af disse problemer).

Jeg har arbejdet meget med både ISO 27001, DS 484 og ISO 20000 (jeg er lead auditor indenfor bl.a. disse tre standarder), og ser ofte problemerne i praksis: vi skal dreje snakken mod en diskussion om at skabe "værdi" for organisationen der ønsker at arbejde med informationssikkerheds og for dens kunder/brugere.

Jeg håber derfor, at den fremtidige version af DS 484 vil indeholde ISO 27001's risikotilgang til en informationssikkerheds implementering (det er jo ikke kun it-sikkerhed vi taler), hvor brugeren kan til/fravælge dele af standarden på baggrund af saglige argumenter baseret på en risikovurdering – det giver nemlig mening, og kan være med til at give organisationen og dens brugere/kunder værdi for pengene. Desuden bør de organisatoriske elementer omkring arbejdet med et ISMS (Information Security Management System) i ISO 27001 indkorporeres i DS 484 version 2009/2010.

Når jeg udtaler, at der er en del "knaster" i DS 484, er det bl.a. fordi, at DS 484 anvendes som et "idékatalog" af mange organisationer, hvor man "plukker lidt fra de forskellige hylder", hvorefter de bekender at nu "efterlever" vi DS 484.

Det kan være en svær en at forholde sig til.

Nogle gange kan det være lettere at tage udgangspunkt i eksempler fra det virkelige liv frem for gætterier.

Jeg var en af hovedmændene bag implementering af Navision Stat i 2000-2003.

Een af problemstillingerne var, at man forsøgte at lave alt-eller-intet Regnskabsinstrukser samt Sikkerhedsinstrukser.

Her er nok de to største yderpunkter (Ting kan have skiftet navn).
The big one:
DFK (Direktoratet For Kriminalforsogen).
De bestod af et hovedkontor samt, vistnok, 23 fængler, der var selvstændige bogføringskredse (=egne regnskaber).
Man lavede en central Citrix+MS SQLServer løsning med failover og det hele.
Her betød et enkelt nedbrud stilstand for omkring 60 medarbejdere.

The small one:
DØRS (Det Økonomiske Råds Sekretariat).
Jeg er lige ved at tro der kun var een ansat.
Men nettobehovet var ca. en times bogføring hver fredag.
Eller mandag hvis skidtet var nede.

Nu vil jeg ikke gå i detaljer, men det burde være tydelig at man ikke kan behandle disse to organisationer ens - hverken Regnskabsmæssigt eller IT-mæssigt.

(det er jo ikke kun it-sikkerhed vi taler)

Jeg har bla. arbejdet med finansielle systemer siden '82.

Med en daglig omsætning på > 1 mia pr. dag i ihændehaverpapirer er berigelsesaspektet meget højt.

Jeg anlægger selv det synspunkt at sikkerhed er et økosystem.

Selv de ansatte kan udgøre en sikkerhedsrisiko.
Vi havde et eksempel på en medarbejder, der følte sig fristet.
Han stod for bla. udstedelse af Dankort.
Han intervenerede og oprettede kundens Dankort med modpost på renteberegningskontoen.
Der er typisk mange mange daglige(automatisk genererede) posteringer på denne konto, så 2.500 hist og 2.500 pist 'druknede' i støjen.

Han blev kun opdaget fordi kunden rykkede for hans dankort, og fik fat i en anden medarbejder.

Det groteske var, at han var søn af Bankdirektøren i et andet pengeinstitut.