Dag Schøning-Olsen (tv) og Haakon Ulltveit-Moe i Nova IT holder til i landlige omgivelser på Nøtterøy.

Seniorkonsulenter avviser etisk hacking

Ti år gamle Nova IT på Nøtterøy kombinerer effektiv inntjening, trivsel og en økende kundemasse.

Blant ofrene for oppkjøpshysteriet på annen halvdel av 1990-tallet var Vestfold-bedriften UMI: Etter et initialt oppkjøp ved Olivetti og flere påfølgende mellomstasjoner havnet miljøet i Getronics, og følte seg kvalt til døde.

I mars i år var det ti år siden fem UMI-veteraner, med gründer Håkon Ulltveit-Moe i spissen, hoppet av fra det de betegner som «galskap» og gikk sammen om å opprette et nytt selskap, Nova IT.

Hos administrerende direktør Ulltveit-Moe, som hos markedssjef Dag Schøning-Olsen, er det ingen tvil om at avhoppingen har gitt et bedre liv. De slapp å delta i vandringen fra Getronics til Merkantildata til Ementor, og har erfart den store gleden det er å vinne anbud i konkurranse med den de unngikk å få som herre og eier.

digi.no treffer de to i Nova ITs beskjedne lokaler på Nøtterøy sør for Tønsberg.

– Dette er de gamle UMI-lokalene, forklarer Schønning-Olsen. – Selv om vi i dag teller ti medarbeidere, og satser på å få to seniorkonsulenter til innen utgangen av året, trenger vi ikke mer plass. Jobben gjør vi ute hos kundene.

Blant de 60 kundene er også mange langt utenfor Vestfold: Nova IT brukes blant annet av Direktoratet for samfunnssikkerhet og beredskap (DSB), Fred Olsen, gullsmedkjeden Gull-Funn, Netcom, Norgesgruppen, flere Orkla-selskaper, Tine og Telecomputing. Lokalt er det både store og små kunder, fra Tømmerås barnehage og Tjøme kommune til Spesialsykehuset for rehabilitering og Skagerrak Energi.

Noen oppdrag kommer gjennom IBM. Ulltveit-Moe hadde teft og sikret seg kompetanse innen produktene og metodikken til ISS. Da IBM sentralt kjøpte ISS, fant IBM Norge det hensiktsmessig å bruke Nova IT til risiko- og sårbarhetsanalyser i deres navn. Andre som gir oppdrag til Nova IT er konsulentmekleren eWork, og Ementor.

Forretningsideen til Nova IT er klar.

– Vi bygger sikkerhet rundt informasjonssystemene, og spisser innen risikostyring. Vi tar på oss sikkerhetsoppdrag og driftsoppdrag, sier Schøning-Olsen.

Alle ansatte er deleiere og kan betegnes som seniorkonsulenter med lang fartstid.

– Økonomiledelsen er nøktern. Fordi bransjen går opp og ned, satser vi på egenkapitalbygging. På den andre siden er vi godt rustet mot kriser: Folk trenger kostnadseffektiv IT-styring uansett hvordan det går med økonomien i Norge.

Et av Nova ITs viktigste redskaper for revisjon av informasjonssikkerhet er ISO-standard 17799:2005. Schøning-Olsen legger til at de også kan EUs såkalte «Eurosox»-direktiver og andre krav til «compliance» godt nok til å sikre kundene mot enhver overraskelse fra offentlig revisjon.

– Dette er ikke primært IT. Personer er 80 prosent av sikkerhetsarbeidet. Når vi sier at vi spisser innen risikostyring, innebærer det at vi tar for oss administrative sikkerhetsløsninger, og leder prosessen fram til en instruks for alle IKT-brukere.

Risiko oppfattes ulikt av de forskjellige gruppene i en bedrift.

– Ledelsen vil balansere risiko mot kostnader. På personalsiden er det personvern som teller, mens IKT-folkene er opptatt av stabilitet. Vi opplever i stadig større grad at vi må innlede et kundeforhold ved å snakke med ledelsen. Da er problemstillingen: Hvor mye skal vi beskytte oss for? Hvor beskyttet lønner det seg å være?

Dette er selskapets formelle formulering av dette målet: Opprette et sikkerhetssystem bygget på kunnskap og firmakultur for å opprettholde det ønskede sikkerhetsnivået.

En metode Nova IT avviser, er penetrasjonstesting, såkalt «etisk hacking».

– Vår metodikk kartlegger sårbarhetene. Det er ikke nødvendig med penetrasjonstester for å finne ut hvor man er sårbar. Vi mener penetrasjonstester gir liten merverdi, fordi det reelle trusselbildet er mer dynamisk enn sårbarhetsbildet. Metodene for å utnytte sårbarheter endrer seg hele tiden. En metode som er kjent i dag er erstattet av en annen i morgen. Derfor foreslår vi utelukkende sårbarhetstesting.

Risiko- og sårbarhetsanalysen munner ut i en rapport der hvert delområde oppsummeres etter prinsippet grønn-gul-rød, alt etter hvorvidt situasjonen er tilfredsstillende eller krever noen eller omfattende tiltak. Tiltakene prioriteres og tilordnes antatte kostnader, og etter følges av forslag og konklusjon.

– Kunden ber oss gi dem et scenario som kan føre dem over i bedre gjenge. Da først kommer vi i gang med IKT-avdelingen. Som regel gis det grønt lys for å gjennomføre tiltakene vi foreslår.

Nova IT tallfester risiko ved å gange et måltall for konsekvensnivå, med et måltall for sannsynlighetsnivå.

– Vi opererer ikke med prosentsannsynlighet med to desimaler, men holder oss til grønn-gul-rød-prinsippet. Hvis bedriften blir ødelagt dersom en bestemt hendelse skulle skje, setter vi konsekvensnivå til det øverste, det vil si 4. Mindre alvorlige hendelser får konsekvensnivå 3, 2 eller 1. Det samme gjør vi med sannsynlighet. Er en hendelse svært sannsynlig, får den nivå 4.

Beregning blir såre enkel:

Risikoverdi = konsekvens X sannsynlighet

Hvis konsekvensnivået er svært alvorlig, altså 4, og sannsynligheten liten, men ikke minimal, altså 2, blir risikoverdien 4 X 2 = 8.

– Vi har hatt tilfeller der det går vannrør gjennom datarommet. Vannlekkasje i datarommet kan stanse hele bedriften, men er ikke så sannsynlig. Risikoverdien blir likevel høy, og kvalifiserer til tiltak. Vi får veldig respekt for denne typen analyser.

Schøning-Olsen peker på en viktig endring som «Eurosox»-direktivene medfører i Norge, og som IT-folk kanskje ikke er forberedt på.

– De innfører et personrettslig ansvar, også for IT-flauser. Hittil har ikke folk blitt stilt personlig til ansvar når IT-flauser utløser skader. Nå vil man bli avkrevd signatur på at man skal bruke IKT på riktig måte hos arbeidsgiveren. Det opplever vi som et stort sprang for IT-sikkerhetsnivået i bedriften.

Nova IT har kunder fra både privat og offentlig sektor. Schøning-Olsen har erfaring for at man er flinkere til å tenke sikkerhet i det offentlige enn i det private.

Det er en observasjon digi.no har møtt hos flere som arbeider med IT-sikkerhet mot en bredt sammensatt kundegruppe.

    Les også:

Til toppen