Et av problemene med IT-sikkerhet er at ansvaret for dette ofte blir lagt til en IT-avdeling, eller hos IT-ansvarlig dersom virksomheten er liten nok. Det er nok hensiktsmessig med hensyn til den delen av IT-sikkerhet som dreier seg om teknologi, men det er ikke tilfredsstillende med hensyn til den delen av IT-sikkerhet som kalles informasjonssikkerhet.
Eterra har et poeng når de ønsker å teste IT-sikkerheten i medarbeidernes hode. Alle som bruker datamaskiner i en bedrift må ha en viss kompetanse i IT-sikkerhet, og bedriftens ledelse må ha en bevisst holdning til informasjonssikkerhet.
Informasjonssikkerhet kan ikke bare delegeres til en IT-ansvarlig.
Informasjonssikkerhet krever kunnskap om hva den enkelte informasjonbit er verdt for virksomheten, og hvor stor skaden kan bli om informasjonen lekker ut, går tapt eller er midlertidig utilgjengelig. Denne kunnskapen har ikke nødvendigvis en IT-ansvarlig. Informasjon har vanligvis "eiere" og brukere i alle deler av en bedrift. Det er her det er viktig å skape aktive holdninger til informasjonssikkerhet.
Det er liten trøst at IT-sjefen er sikkerhetsbevisst dersom det er administrerende direktør som lar sin bærbare PC ligge i bilen over natten.
Sikkerhet er mer enn beskyttelse
Jeg har flere ganger sett eksempler på at bedrifter har lagt mye arbeid i sikkerhetsplaner som ikke fungerer når det skjer et sikkerhetsbrudd. Fokus har vært på beskyttelse, og ikke på hva som skjer når beskyttelsen svikter.
Vær sikker, du blir angrepet og 100 prosent sikker beskyttelse er utopi.
IT-ansvarlig har i grove trekk tre måter å reagere på et sikkerhetsbrudd:
- Observere og advare
- Identifisere, reparere og rapportere
- Undersøke og anmelde
Det første alternativet er ikke særlig handlingsorientert. Det er til lite nytte dersom man ikke vet hvem man skal advare, og lite effektiv dersom de som blir advart ikke vet hvordan de skal reagere. Likevel er det en mye brukt reaksjonsform, for eksempel i forbindelse med virus. Har man oppegående medabeidere klarer de ofte å finne ut av problemene, men det er verken kostnadseffektiv kompetansebygging eller tilfredsstillende sikkerhet.
Det neste alternativet er handlingsorientert: Identifisere, reparere og rapportere. Finn sikkerhetshullet, tett det umiddelbart og rett opp alle systemer som er skadet. Deretter kan svakheten analyseres og en bedre og mer langsiktig løsning introduseres.
En av de store utfordringene med denne reaksjonsformen er å unngå at en midlertidig tetting av et sikkerhetshull ikke har større konsekvenser enn den skaden selve sikkerhetsbruddet forårsaker.
Målet med den siste reaksjonsmåten, undersøke og anmelde, er å ta «skurken». Det er et prisverdig mål, men det kan medføre at man må akseptere et ekstra tap som følge av at man sikrer dokumentasjon om hendelsen. Bedriften utsetter seg selv for en ekstra risiko, og i noen tilfeller omfatter denne risikoen skade på tredje part. Det kan være vanskelig å avgjøre om det er riktig å velge dette alternativet.
Dokumentasjon kan også være viktig dersom det er aktuelt å søke erstatning. Det pleier å hjelpe en smule på egen troverdighet dersom man er i stand i å dokumentere hva som faktisk har skjedd.
God sikkerhet er også å være forberedt på de situasjonene man minst ønsker at skal oppstå.
Ledelsens perspektiv
For ledelsen i en bedrift er det viktigste at skaden blir så liten som mulig, at det er kontinuitet for alle kritiske funksjoner, at normal drift gjenopprettes så raskt som mulig, og at medarbeidere, kunder og presse får god informasjon.
Hvordan et virus vaskes ut av filsystemene er ikke så interessant. Det er en teknisk problemstilling. Informasjonssikkerhet er derimot ledelsens ansvar.
Det er nødvendig at alle medarbeidere som reiser rundt med bærbare PCer og PDAer, og som bruker bedriftens intranett fra hjemmekontor, hotellrom og hytte, må ha tilstrekkelig kunnskap om informasjonssikkerhet. Det er like selvsagt som å vente at en bilselger har førerkort.
