It-ekspert: Sikkerhed kræver indsats på direktør- og bestyrelsesniveau

Illustration: Solar22, BigStock
Det er ikke nok med store investeringer eller dygtige it-chefer. It-sikkerheden i en virksomhed kræver, at alle medarbejdere er med, for kun 25 procent af sikkerheden ligger i det tekniske, siger international it-ekspert.

Der er adskillige eksempler på, hvordan uvidende medarbejdere uvidende lukker hackere ind i virksomhedssystemer, hvor hackerne kan have uanede mængder arbejdsro til at gøre, hvad de vil. Blandt andet derfor er det vigtigt, at IT-sikkerheden bliver prioriteret højere i hierarkierne i virksomheder. Det skal helt op på direktør- og bestyrelsesniveau, mener Walter W. Bohmayr, leder af cyber- og it-sikkerhedsområdet hos konsulentfirmaet Boston Consulting Group.

Det skriver Finans.dk.

»Ofte tror en bestyrelse eller direktion, at de er sikre, fordi de har en meget dygtig it-direktør eller sikkerhedschef. Men det er en af de mest forkerte antagelser. Cybersikkerhed handler om alle afdelinger. Og kun 25 pct. af arbejdet for at beskytte sig handler om de tekniske løsninger - resten handler om mennesker,« siger Walter W. Bohmayr i Finans.dk.

Læs også: Sådan er NotPetya-malwaren skruet sammen

En af grundene til den svigtende sikkerhed ligger også blandt de unge, som har en helt anden forventning til teknologien end andre medarbejdere. De bruger eksempelvis Dropbox eller Messenger til at dele filer. Og det er en virkelig dårlig ide, mener eksperten.

Han fortæstter med at fortælle, at der bare skal en medarbejderes uheldige adfærd til at kompromittere hele virksomheden. Så på trods af, at det er besværligt, er det vigtigt at alle medarbejdere er trænet i IT-sikkerhed.

Læs også: Regeringen lover 100 millioner kroner til forsinket strategi for cybersikkerhed

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Laila Jasmin Pedersen

Dette er en af mine kæpheste, som jeg i flere år har været fortaler for.

Hvorfor tror nogen på, at sikkerhedsprodukter klarer al sikkerhed, når alle undersøgelser viser, at "sikkerhedsproblemet" er medarbejderen?

Det at tro, man kan putte hovedet i busken, bare fordi at IT-afdelingen nu har købt anti-virus X og firewall Y og Intrusion detection Z - det er jo bare at løbe fra sit ansvar, og viser en total mangel på lederskab.

Der er jo ingen CFO, der tror at økonomien i en virksomhed klarer sig selv bare fordi man har indkøbt Excel - vel?

De fleste mennesker med sund fornuft ved jo, at det kræver konstant uddannelse af medarbejder-staben omkring sikkerhed, for at højne standarden og mindske risikoen for brud på it-sikkerheden.

Virksomheder er nødt til at undervise folk i social-engineering, spear-fishing og andre teknikker, som anvendes for at enten at skaffe sig adgang til en virksomheds it-systemer eller få overført penge til en konto i Kina, Nord-Korea eller Rusland.

Uddannelse, uddannelse og atter uddannelse - tag det nu alvorligt.

Jesper Frimann

Ja. Men det kræver jo, at man fra top ledelsen (direktionen) forstår hvilken rolle at IT spiller i virksomheden, og tager denne alvorligt. Grunden til, at jeg siger IT og ikke IT sikkerhed, er at hvis IT sikkerhed er vigtigt for en virksomhed, så er IT det naturligvis også.
Og der er mange virksomheder, hvor IT enten er core business eller defacto core business, hvor direktionen ikke forstår vigtigheden af IT (og derfor IT-sikkerhed). Enten fordi man ikke vil, ikke har den nødvendige viden til at forstå det, eller bare fordi man har et mindset, der siger at det er en 'cost' der bare skal minimeres, som regel for at nå kortsigtede mål på bekostning af langsigtede.

Så IMHO starter det med at taget IT-fagligheden alvorligt.

// Jesper

Claus Juul

Hvorfor tror nogen på, at sikkerhedsprodukter klarer al sikkerhed, når alle undersøgelser viser, at "sikkerhedsproblemet" er medarbejderen?

Undskyld mig, er du med ovenstående kommentar ikke gået i grøften på den anden side?

Som Walter W. Bohmayr siger, 25% er teknik, 75% er noget andet, uden at fortælle hvad det er.

Min egen holdning er at der skal rette dele teknik, viden (uddannelse), organisering og en del menneske kendskab til. Hvor meget der skal bruges af hver, kan godt svinge lidt, for det er ikke altid at det er muligt at få alt hvad man peger på.

Peter Hansen

Dette er en af mine kæpheste, som jeg i flere år har været fortaler for.

Hvorfor tror nogen på, at sikkerhedsprodukter klarer al sikkerhed, når alle undersøgelser viser, at "sikkerhedsproblemet" er medarbejderen?


Klogt indlæg, som fortjener flere "thumbs up", end jeg kan give det alene. De øvrige bidrag i debatten bringer ikke reelt noget nyt til torvs i forhold til dit indlæg, men siger bare det samme på en anden måde.

Er 100 pct. enig i, at der er for lidt fokus på medarbejdernes rolle som 'det svageste led i kæden'. Ved alle de angreb, jeg har kendskab til, har man i sidste ende kunnet pege på en bestemt handling fra en medarbejder, som kunne være undladt, hvis der i organisationen havde været kultiveret en højere grad af "sikkerhedsbevidsthed".

Jan Pedersen

@Peter Hansen
Jeg er enig i at det oprindelige indlæg er godt. og at de andre nok ikke bringer mere på banen, men det er jo også en del af en debat :)

@Claus Juul, Skal jeg forstå din bemærkning omkring forholdet mellem it-sikkerhedsprodukter (25%) og mennesket (75%), at du mener 75% er mindre end 25%?
Når menneskelige handlinger bidrager til 75% af it-sikkerhedshændelser, så vil jeg da mene, at det er naturligt at det er mere vigtigt at fokusere på at nedbringe de 75% end at bruge en endnu større økonomisk investering på at nedbringe 25%? Hvor får man den største forbedring? I min optik er det ved at nedbringe de menneskelige handlinger, som medfører brud på it-sikkerheden.

Min holdning er at man ikke holistisk ikke bør skelne mellem sikkerhed og it-sikkerhed. Det handler om virksomhedens/organisationens sikkerhed. Jeg er ret overbevist om, at ledelsen er meget bevidst omkring sikkerhed, men negligerer den it-baserede sikkerhed, fordi nu har man jo købt et produkt til at håndtere den form for sikkerhedshåndtering - problemet er bare, at it-sikkerhedsprodukter kun kan sikre op til 25% af de hændelser, hvorimod uddannelse/træning af personale kan mindske de 75%!

Men det er jo bare min mening :)

Jesper Springer

Jeg synes at problemet er strukturelt større end bare at give medarbejder skylden.
Det aller største problem er bla. at man i det offentlige ensretter og centraliserer hele IT driften. Jeg kan godt forstå de hurtige økonomiske overvejelser i det men i det lange løb kan det sikkerhedsmæssigt vise sig som en katastrofal beslutning.

Jan Pedersen

@Jesper Springer
Jeg tror du misforstår kernen i indlæggene. Der er ingen der giver medarbejderne skylden. Hvis der er nogen, der har skylden, så er det ledelsen. Ledelsen har ikke levet op til deres forpligtelser, som blandt andet betyder, at de har det overordnede ansvar for at medarbejderne er rustet til at kunne håndtere sikkerhed, ikke kun bygningssikkerhed, men også it-sikkerhed.

Hvis der skal peges fingre, så er det ikke af medarbejderne, men af ledelsen.

Claus Juul

@Jan Pedersen
Nej, jeg mener at it-sikkerhedsproblemet skal løses med nogen dele teknik, nogen dele organisering, herunder at hele organisationen arbejder sammen og det ikke er it-sikkerheds siloen der driver det hele, nogen dele viden, fx uddannelse, nogen dele kendskab til menneskelig psykologi.

@Peter Hansen

Ved alle de angreb, jeg har kendskab til, har man i sidste ende kunnet pege på en bestemt handling fra en medarbejder

Sådan er det med alle angreb, men det er ikke ensbetydende med at hvis du bruge hele dig budget på uddannelse, så har de ansatte opnået et vidensniveau der gør at de ikke udfører den bestemte handling. Jeg mener at man opnår den største effekt ved at bruge budgettet på forskelige ting, herunder teknik og uddannelse. Uddannelse alene ikke effiktivt.

Jesper Springer

Det vil tiden jo vise hvor aben bliver placeret. Jeg er nu rimelig sikker på at det ikke er på direktør og bestyrelses gangen.

Men det er egentlig ikke min pointe.
Det som jeg mener er, at man overalt centraliserer driften og ensretter centrale strukturelle opgaver. Det er et ledelses politisk ønske der styres primært af økonomi og en forestilling om billig og effektiv udnyttelse af recurser. Samt en, ja tro det eller lad vær, trend.
Man tror at man får data ud af disse strukturelle ensartedheder der gør at man kan trække væsentlige information ud af systemerne der så vil kunne give ledelserne beder handle muligheder her og nu og ikke mindst i kommende fremtidige virksomheds strategier. Om det kan lykkedes har jeg min egen personlige tvivl på men en ting er sikker, det er et slaraffenland for hacker og andet undsindet værktøj at gå igang med systemer der har en ensartedhed over sig.
Det kan blive en rigtig dyr fornøjelse for de private firmaer.
For de offentlige instanser er det en personsikkerhedsmæssig katastrofe det man laver nu.
Al forsigtighed er skyllet ud og læser man vores politikers div. indlæg om effektivisering af borgernes møde med det offentlige fra Skagen til Bornholm så bliver jeg godt og grundig rystet over deres manglende og inkompetente viden.
Økonomernes eneste furnuftige bidrag til meneskeheden er at man aldrig skal satse alle sine penge på et stykke papir men brede risici ud.
Det er ikke det der er trenden i dag.

Morten Aaby

Effektiv implementering kræver 40% forberedelse (bl.a accept af løsningen) og 40% opfølgning (bl.a. dokumation af at virkeligheden går som planlagt) og kun 20% på selve teknikken/processen eller hvad det måtte være.

Ingen forskel når det kommer til IT-sikkerhed

Log ind eller Opret konto for at kommentere