Ekspert: Skift fra DS484 til ISO kræver modenhed

Den danske DS484-standard for it-sikkerhed bliver nu smidt på porten, til fordel for den internationale pendant ISO 27001. Og det kan sagtens være en god nyhed, siger Erik Sørup Andersen, som tilbage i 2004 stod i spidsen for den arbejdsgruppe, der anbefalede regeringen at gøre standarden til et krav i staten.

»Hvis skiftet sker, fordi man har nået vis modenhed i staten, er det et godt tegn. Det giver større fleksibilitet at bruge ISO 27001, hvis man har den rette modenhed. Og da overgangen går til 2013 kan dem, der mangler modenhed, bruge DS484-rammen indtil da,« siger Erik Sørup Andersen, der i dag arbejder med it-ledelsesrådgivning og it-revision i BDO Kommunernes Revision.

Da man valgte DS484 i stedet for en international standard, var det både fordi, det var nemmere og billigere at bruge en dansk standard. Men først og fremmest var det for ikke at stille for hidsige krav, så arbejdet med it-sikkerhed måske blev for avanceret for nogle organisationer.

»Forskellen på de to standarder er, at DS484 er nemmere at komme i gang med. Der er en enklere tilgang, fordi der er bygget nogle basale, generiske krav ind i sikkerhedsstrategien,« forklarer han.

Hvor DS484 er som en gammel murermestervilla, der er bygget solidt, men uden så mange beregninger bag, er ISO 27001 mere som moderne byggeri, hvor alt bliver dimensioneret i detaljer. Her kan en organisation nemlig selv designe sikkerhedsstrategien, så den passer til de lokale forhold.

»DS484 er billedligt talt dimensioneret, så man ved, det holder, mens ISO 27001 kræver flere resurser til arkitekter og ingeniører, men til gengæld derfor også bliver dimensioneret perfekt,« siger Erik Sørup Andersen.

Kan ende som 'klodsmajor' Når staten i de kommende år skal skifte til ISO-standarden, bliver der derfor flere muligheder - men også faldgruber, mener it-sikkerheds-konsulenten.

»Problemet opstår, hvis man ikke får foretaget en god risikovurdering, men bare plukker de elementer ud, der lyder fornuftige, uden tanke for den fælles balance. Så kan det blive som spillet 'klodsmajor', hvor man tager pinde ud, og risikerer, at fundamentet pludseligt skrider helt,« siger han.

Derfor skal der fremover arbejdes mere grundigt med at finde den rette sikkerhedsstrategi, i forhold til nu, hvor meget er givet i DS484. Særligt kvaliteten af risikovurderingerne bør følges tæt, og sikkerhedscheferne bør i dialogen med ledelsen kunne fortælle klart om risikoen.

Et andet muligt problem, han forudser ved skiftet, er at de forskellige myndigheder i staten nu får hver deres designer-strategi, på bekostning af det fælles fodslag.

»Det er en problemstilling, man skal være opmærksom på. Faktisk kan strategien jo blive forskellig afhængigt af, hvilken rådgiver, man får hjælp fra, selvom de er fra samme firma,« siger Erik Sørup Andersen.

Beslutningen stiller også kommuner og regioner i et dilemma: Skal de skifte eller fortsætte med DS 484.

»Mit råd til dem er at fortsætte med DS484. I hvert fald frem til næste revision af ISO-standarden, som nok tidligst kommer i 2013. Der er ingen gevinst ved at skifte ? de har en større frihed i anvendelsen, den er købt og betalt, den er på dansk og så er den jo i sin opbygning næsten identisk med ISO-fætrene,« siger Erik Sørup Andersen.