Dells teknologichef: Sikkerhedsfolk skulle have et los bagi

Illustration: leowolfert/Bigstock
Interview: Niveauet af it-sikkerhed er skræmmende dårligt i mange firmaer. Sådan lyder meldingen fra Dells globale teknologidirektør, som også advarer mod ukritisk teknologi-begejstring.

Der er noget helt galt med it-sikkerhedskulturen rundt omkring, når et firma som Sony kan have 77 millioner brugeres password liggende ukrypteret på en eksternt rettet webserver. Og generelt har it-sikkerhedsfolk brug for at tage sig sammen.

Sådan lyder opsangen fra Don Smith, teknologidirektør hos Dell, da han besøger Danmark.

»Der er brug for et wake-up call. Jeg tror helt ærligt ikke, at den typiske sikkerhedschef ved, hvor frygteligt det ser ud derude nu. Man får lyst til at give folk et spark bagi,« siger han til Version2.

Når unge fyre som Anonymous-gruppen kan hacke store firmaer uden konsekvenser, er det et tegn på, at der er noget helt galt med sikkerheden rundt omkring, mener han.

»I finansverdenen ved man, at det koster mange penge, hvis man bliver hacket, så der har de normalt en god sikkerhed. Men i andre brancher virker det som om, at sikkerhedscheferne er lullet i søvn,« lyder vurderingen.

Der mangler helt basale sikkerhedsforanstaltninger hos selv store firmaer, mener han, og nu ser vi resultatet, som for eksempel hackerangrebet mod Sony.

»I 2002 installerede jeg en web-access firewall i et stort firma. Og stadig ser vi, at selv et sikkerhedsfirma som HB Gary kan hackes med en simpel SQL-injektion, på smukkeste vis. De burde vide bedre. Selv en simpel reverse proxy foran din web-server er helt grundlæggende beskyttelse,« siger Don Smith.

Mere generelt er problemet også, at der hos sikkerhedsfolkene er fokus på teknologi, mens den samlede sikkerhedsvurdering bliver lavet af folk med regneark, der ikke forstår sig på it.

De to parter burde arbejde tæt sammen, men sådan er det sjældent.

»Det sker for tit, at it-sikkerhedsfolkene køber en ny, skinnende og blinkende dims, i stedet for at træde tilbage, knibe øjnene sammen og se, hvad der egentligt er brug for. Jeg er helt igennem en techie, en nørd. Men it-sikkerhedsverden har ikke brug for mere teknologi. Den har brug for bedre deployment og bedre konfiguration,« fortsætter Don Smith.

God beskyttelse mod for eksempel hackere handler ifølge Dell-direktøren om, at der også inde i firmaet er mange lag af sikkerhed, ligesom en klassisk middelalderborg er bygget op med både voldgrav og flere mure.

Problemet er, at sikkerhed typisk først tænkes ind til sidst.

»I stedet for at stå for enden af vejen med et rødt flag og sige ’det må du ikke’, så skal sikkerhedsfolkene være en del af de strategiske og taktiske ændringer hele tiden,« siger Don Smith.

I samme boldgade er de sikkerhedschefer, som nægter at se i øjnene, at nye teknologier hele tiden kommer til.

»Hvis sikkerhedschefen siger nej til cloud computing, så gæt engang: De andre i firmaet vil bruge det alligevel. De har deres egne kreditkort. Sikkerhedschefen må springe på toget og blive en del af udviklingen. Ellers mister du relevans for firmaet og ender som en dinosaur,« siger Dell-direktøren.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Michael Christensen

Det kan godt være at den gode Dell mand vil uddele slag med en våd morgenberlinger til it-sikkerhedsfolkene. Jeg mener dog, han retter skytset den forkerte vej. Er it-sikkerhed ikke et fokusområde for virksomhedens ledelse, så bliver it-sikkerhed med garanti en enklave, som skal kæmpe for at få lydhørhed og ressourcer...

Hans udtalelse om: "De andre i firmaet vil bruge det alligevel. De har deres egne kreditkort", illustrerer jo problemet på bedste vis. Her er ledelsen ikke inde over og stille krav til både forretningsenhederne og it-organisationen - og ikke mindst til it-sikkerhesfolkene. Det er meget karakteristisk for it-sikkerhedsprojekter, at det er en proces, man igangsætter, mere end en opgave, der løses ved at købe en smart dims. Det er noget, der konstant skal følges op på.

Som leder i en organisation bør du stille dig disse spørgsmål:

· Afvikler jeg it-sikkerhedsopgaver eller it-sikkerhedsprocesser?

· Er forankringen af it-sikkerheden på det rigtige niveau i organisationen?

· Er der etableret et sæt kontroller, der sikrer, at it-sikkerheden er mere end en flot plan i bogreolen?

· Bliver der fulgt op på kontrollerne?

· Er it-sikkerhed et fokusområde på ledelsesniveau?

· Er it-sikkerhedsopgaverne formidlet, forstået og accepteret i organisationen?

Svarer lederen nej et eller flere af disse spørgsmål, så har virksomheden efter min mening en udfordring, som den bør tage fat på.

Se evt. mit indlæg: It-sikkerhed er en proces og en ledelsesopgave på http://inhousesecurity.dk/inhouse/Blog/tabid/124/entryid/10/Default.aspx

/Michael

  • 2
  • 0
Timo Jensen

Hvis IT-sikkerhedscheen siger nej til Cloud computing, og de andre i firmaet ignorerer dette, og bruger cloud alligevel. Så er det ikke Sikerhedschefen, men personaledirektøren der har et problem. Hvis de ansatte,og ledelsen ignorerer sikkerheden, i stedet for at sætte sig ind i hvorfor cloud er risikabelt for mange virksomheder, så er ledelsen inkompetent, og ude af trit med virkeligheden.

Når jeg læser dette interview, kan jeg ikke lade være at tænke på om omsætning af cloud-løsninger, betyder mere for Dell, end sund fornuft og sikkerhed.

Hvis en virksomhed ikke har stort behov for databeskyttelse, så er cloud sikkert en god løsning.

Jeg har intet imod cloud som sådan, og jeg tror især at private cloud løsninger på egne servere er en fornuftig investering. Men det er nok ikke det Dell tænker på....

/Timo

  • 0
  • 0
Log ind eller Opret konto for at kommentere