It-sikkerhedsfagmand: Hold nu op med at rende til topchefen med jeres incident-rapporter

Illustration: conrado/Bigstock
Topchefer kan ikke overbevises om vigtigheden af it-sikkerhed med Security Incident Reports, men skal have facts, der relaterer til forretningen.

Infosecurity, København. Det er de it-sikkerhedsansvarliges egen skyld, hvis de savner lydhørhed hos topledelsen for vigtigheden af sikkerhedsarbejde. For de taler alt for ofte i – for en forretningsorienteret leder - uforståelige termer.

Det sagde Kenneth Schwartz Thorkelin, der er Concept Manager hos Axcess, på it-sikkerhedskonferencen Infosecurity, som afholdes i denne uge i Øksnehallen i København.

»Vi har som sikkerhedsfolk et ret stort medansvar for, at øjnene begynder at flakke hos lederne. For vi kaster jo selv om os med en masse fagtermer, som f.eks. compliance – lige nu er det GDPR (persondataforordningen, red.), som vi bruger lige nu til at få taletid på,« sagde Kenneth Schwartz Thorkelin på Infosecurity.

Han understregede sin pointe ved at vise et slide over topledelsers typiske fokus, nemlig vækst, strategi, visioner og forretning. Altså typisk intet, der har med sikkerhed at gøre.

Men det, som it-sikkerhedsfolkene kommer anstigende med, er Security Incident Reports med uforståelige oversigter over angreb. Og dem forstår 90 procent af toplederne ikke ifølge en undersøgelse fra Goldsmiths Survey.

»Når vi kommer med vores it-sikkerhedsrapporter, så har de svært ved at forstå det – det er meget detaljeret information, som er vanskelig at tage stilling til det,« sagde han.

Forkert præsentation, ingen penge

Evner man ikke at tale topledelsens sprog, så risikerer man, at et ustabilt wifi i kantinen i topchefens univers skal have større opmærksomhed end investeringen i øget it-sikkerhed.

Det skyldes ofte, at it-sikkerhedslederen taler forkert til lederen:

»Problemet er, at sikkerhed ikke altid er håndgribeligt - i modsætning til wifi-dækningen i kantinen.«

»Vi kommer tværtimod med en løsning, som gør topchefens dagligdag endnu mere besværlig, så det er klart, at det er svært at få penge til det. Vi er nødt til at forklare os, det kan forstås,« sagde Kenneth Schwartz Thorkelin.

Lav en business case

Hans råd er dels at stille hos topledelsen med langt mere konkrete oversigter over, hvilken it-sikkerhedsmæssig situation virksomheden er i, f.eks. med antallet af incidents pr. uge, hvor mange hosts der er ramt, og risikoen for forretningen.

Desuden bør man - hvis man vil have penge - stille med en business case:

»Sig til din ledelse, at hvis vi ikke køber det her, så risikerer vi, at vores ERP-system, filserver eller CRM-system går ned,« sagde Kenneth Schwartz Thorkelin.

Og ledsag det med en oversigt, der viser at et angreb, der kan føre til et nedbrud af en eftermiddags varighed, vil koste virksomheden eksempelvis en kvart million, mens ny software vil koste 75.000 kroner.

Præcis samme råd til at lød på et oplæg af it-chefen i Lyngby-Taarbæk Kommune, Mikkel Arp:

»Ledelsens spørgsmål er altid om det koster penge. Men ofte er det dyrere at lade være, og det er et godt argument,« sagde han og bekræftede, at det er vigtigt at sikre sig opbakning fra toppen, når det gælder indsatsen for it-sikkerhed:

»Vi arbejder benhårdt på at få ledelsens opbakning og fokus. Uden deres opbakning så sker der ikke noget.«

Omvendt skal ledelsen også stille krav til den it-sikkerhedsansvarlige om at oversætte incident reports til det, som har betydning for de forretningsansvarlige.

Eksempelvis om det marked eller de områder, som man opererer på, er særlig ramt, om man anvender best practices-sikkerhed, eller om det hele er hjemmestrikket, om USB-lagerenheder er tilladt, og hvad det aktuelle trusselsbillede er, og om der skal etableres ekstra tiltag.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Denny Christensen

Det er som angivet i artiklen netop svært fordi der råbes ulv, men det lykkes ikke at formidle at ulven er stoppet 117 gange dagligt ved hovedindgangen men en dag slipper den ind og så koster det.

Så den daglige/månedlige udgift nu, hvad en investering vil koste og hvad det vil frigive af ressourcer - plus naturligvis hvad et nedbrud vil koste. Og lev så med kommentaren om at 'det er jo netop det vi betaler Jer for' for det må altså også være svært at forså hvorfor der skal bruges mange penge på noget der er defensivt af natur.

  • 0
  • 0
Log ind eller Opret konto for at kommentere