Det er nemmere at spænde cykelhjelmen end at operere et åbent kraniebrud

Der er en tendens til, at danske virksomheder nedprioriterer den forebyggende indsats på bekostning af bekæmpelsen, når det kommer til it-sikkerhed. Uhensigtsmæssigt, siger TDC-ekspert og slår samtidig fast, at der både er tid og penge sparet ved at balancere it-sikkerhedsberedskabet bedre.
Malene Amini

Malene Amini

12. oktober 2015

TDC Sikkerhed afholder årligt mange møder med danske virksomheder i alle størrelser og brancher. Der er meget, der skiller virksomhederne ad.

Men noget af det, de har tilfælles, er, at de – stadig – tænker it-sikkerhed som et appendiks, der bliver koblet på som sidste led i en beslutningsproces.

“Vi ser det igen og igen,” indleder Thomas Møldrup-Koch, Management Konsulent i TDC Sikkerhed. “Virksomhederne er forståeligt nok meget forhippede på at tænke forretningsmuligheder og funktionalitet og kommer derfor først meget sent i tanke om sikkerheden.”

Integreret sikkerhed bedre og billigere
Det er både uhensigtsmæssigt og dyrt at arbejde med it-sikkerhed på denne måde.

For det første er integreret sikkerhed i en it-løsning et effektivt værn mod datamisbrug, fordi det minimerer risikoen for, at løsningen eller den medarbejder, der betjener den, uforvarende kommer til at eksponere følsomme data.

For det andet er det mindre omkostningstungt at integrere sikkerhed, end det er at tilføje sikkerhed. Således viste en undersøgelse foretaget for nogle år siden, at det var op til 10 gange dyrere at koble sikkerhed på en løsning bagefter fremfor at tænke sikkerhed ind fra begyndelsen af.

For lidt fokus på de tidlige faser
TDC har udviklet en såkaldt Sikkerhedsmodel i fem successive faser – henholdsvis forebyggelse, opdagelse, bekæmpelse, genoprettelse og efterforskning af hændelsen. Sikkerhedsmodellen afbilder en holistisk tilgang til it-sikkerhed, hvor hver fase kræver et vedvarende organisatorisk fokus.

“Helt overordnet for danske virksomheder kan vi konstatere, at der stadig er mange, der lægger flest kræfter og penge i de sene faser i stedet for at fokusere mere på de indledende faser,” siger Thomas Møldrup-Koch.

Thomas Møldrup-Koch

Vores budskab er, at det er nemmere at spænde cykelhjelmen, end det er at operere et åbent kraniebrud. Forebyggelse slår bekæmpelse – også når det gælder it-sikkerhed.

TDCs Sikkerhedsmodel
  • Forebyg angreb og indtrængen
  • Opdag angreb og indtrængen
  • Bekæmp angreb
  • Genopret betroet tilstand
  • Efterforsk hændelsen
Lav en modenhedsanalyse
Thomas Møldrup-Koch forklarer, at når TDC påbegynder en dialog med en virksomhed om deres it-sikkerhedsberedskab, udarbejder de som udgangspunkt altid en indledende modenhedsanalyse sammen med virksomheden. En modenhedsanalyse er et komplet billede af virksomhedens målsætninger, organisationsstruktur m.m.

“Det gør vi, fordi der er forskel på at være et kreativt reklamebureau, hvor arbejdskulturen dikterer, at alle skal kunne dele alt, og på at være et medicinalfirma, hvor data skal være hermetisk beskyttet af konkurrencehensyn. Ligesom der også er forskel på at beskytte virksomhedens festsange og på at beskytte virksomhedens økonomisystem.”

“Denne kombinerede behovsafdækning og dataklassificering er med til at bestemme de forskellige indsatser i virksomhedens samlede it-sikkerhedsberedskab.”

Lav en risikovurdering
Som et afsluttende godt råd anbefaler TDC Sikkerhed, at man fremadrettet foretager en risikovurdering af alle it-relaterede beslutninger.

“Det kan godt være, at man i visse tilfælde er nødt til at acceptere, at det er forbundet med sikkerhedsrisici at være først i markedet med et nyt projekt. Det er fint. Men i så fald er det en kalkuleret risiko vedtaget på højeste ledelsesniveau. Det er noget andet end en uheldig sag, man vader blindt ind i, og som kan ende med at koste dyrt målt i dårligt image, tid og penge,” slutter Thomas Møldrup-Koch.
EU’s Persondataforordning

EU varsler med en såkaldt Persondataforordning, der pt. er sat til at træde i kraft senere i 2015 eller i 2016. Persondataforordningen lægger blandt andet op til automatisk security by design i it-løsninger, massiv bødestraf for forsætlig eller uforsætlig læk af personfølsomme oplysninger samt obligatorisk offentliggørelse af eventuelle sikkerhedsangreb.