Dårlig IT-sikkerhet er ikke et spørsmål om penger. Det er et spørsmål om holdninger og gjennomført politikk, mener Eterra.
Selskapet har utviklet noe de kaller en "modul" for å teste IT-sikkerheten i bedrifter - og da snakkes det ikke om en sikkerhetstest som teknisk avslører hull i nettverket eller dårlig konfigurete systemer. Nei, det er snakk om en test som avslører dårlig IT-sikkerhet inne i hodene til sjefene - de som sitter på pengesekk og ansvar for policy.
- Sikkerhet er blitt ledelsens ansvar. Det viktigste er ledelsens engasjement i sikkerhet, ledelsens prioriteringer, forteller sikkerhetsekspert Hans Peter Østrem i Eterra.
Selskapets sikkerhetsscan avslører om IT-sikkerhet har fått nok plass i sjefenes hode, og resultatene er ikke alltid oppløftende.
IT-sjefene har ikke peiling på IT-sikkerhet
Oppretter eget senter for IT-sikkerhet
FBI: De 20 største sikkerhetshullene
- Vi stiller endel enkle og til dels banale spørsmål som "er dere koblet til nettet?", "bruker de ansatte hjemmekontor?", "hvor ofte oppdateres antivirus-programvaren?" og så videre. Så ser vi på dagens systemer i forhold til hvordan de fremtidige bør være, og vi spør også sjefene om hva de tror det ville koste bedriften om de mistet tilgang til sentrale datasystemer i en time, en dag eller en uke, forteller han.
Av 45 deltagere på årets Teknologiforum, utgjorde ledelsens manglende fokus på sikkerhet det største gapet blant de 12 kriteriene som ble målt, etter testing med Eterras sikkerhetssjekk. Spriket mellom dagens situasjon og ønskelig situasjon var på 50 prosent. I en rapport fra testingen, fremholdes det at resultatene kan bli katastrofale for de bedriftene som har de største manglene.
En kommune ble nylig dømt til å betale flere hundre tusen i erstatning til en bedrift, på grunn av manglende sikkerhet i kommunens sikkerhetssystemer, og Østrem mener vi bare vil få se mer av denslags om sikkerheten ikke skjerpes.
- Vi skal ikke drive skremselspropaganda. Det er mange som tenker at sikkerhet må koste mange penger, men man kommer langt med å tenke logisk, å ha et tankesett som sørger for å oppdatere antivirus, gå gjennom logger, ha kontroll med folk som slutter i bedriften og så videre.
Og det er altså ledelsens ansvar å sørge for at det legges til rette for et slikt tankesett.
Foruten ledelsens engasjement, måler Eterras scan-modell bedriftens sikkerhetssertifiseringer, antivirus, sikkerhet ved hjemmekontor, kryptering, sikkerhetspolicy, autentisering, web/portal, IDS (nettverksinnbrudds-alarm), rutiner på e-post, rutiner og linje- / aksess-sikkerhet.
- Det er naturlig å ha en holdning til alle disse sidene når en bedrift skal tenke sikkerhet, mener Østrem.
