IT-sikkerhet er et altomfattende og komplisert fagområde som blir stadig viktigere. Har virksomheten din sikkerhetsrutinene i orden? Finnes det definerte roller og ansvar for IT-sikkerhet? I dette innlegget skal jeg prøve å besvare en del grunnleggende spørsmål rundt IT-sikkerhet.
Først og fremst: Mange misforstår rollen IT-sikkerhet spiller i en bedrift. Mange tror det først og fremst handler om brannmur, IDS (Intrusion Detection System), IPS, antivirus og tilgangskontroll. Dette er selvfølgelig viktig, men er likevel bare mekanismer for å ivareta et teknisk nivå av sikkerhet. I et større perspektiv handler IT-sikkerhet om å beskytte bedriftens verdier.
Hvem har ansvaret?
IT-sikkerhet handler om å beskytte informasjon og data, hindre uautorisert tilgang, og at den likevel er tilgjengelig for de den skal være tilgjengelig for. Da må man også vite hvem som har kontroll over hvem som har tilgang til dataene. Det er viktig å definere roller.
Det er viktig å stille seg noen spørsmål: Hva har lederne ansvar for? Hva har driftslederne ansvar for? Hvilket ansvar har de ansatte? Hvordan fordeler ansvaret seg i bedriften som helhet? IT-sikkerhet handler i stor grad om bevisstgjøring.
Standarder: ISO27001 og PCI DSS
Hvilke krav stilles til deg? Svaret er at det er stor variasjon i kravene som stilles til IT-sikkerhet. Bedriften må selv velge hvilket nivå den ønsker å legge seg på og hvor mye man ønsker å investere.
Det finnes en del bransjemessige standarder som beskriver hvordan en virksomhet bør organisere sin sikkerhetssatsning og hvilke elementer som bør implementeres. En av disse er ISO27001, som er en samling av ”Best Practices” i forhold til IT-sikkerhet. Men det finnes mange andre standarder man kan velge å opprettholde.
En annen standard som får større og større fokus er PCI DSS (Payment Card Industry Data Security Standard), som omtaler sikkerhet for bedrifter som skal håndtere kredittopplysninger om personer. PCI DSS som beskriver krav og forutsetninger for sikkerhetsledelse, sikkerhetsregelverk, nettverksarkitektur, programvarearkitektur og andre kritiske beskyttelsesmekanismer.
Sosiale medier inntar arbeidsplassen. Hva nå?
Sosiale medier og sosial programvare blir stadig mer utbredt på arbeidsplassen. Det stiller krav til ledere og de ansatte. Det krever at vi blir mer bevisste i vår PC-bruk. Ved bruk av sosiale nettverk som Facebook, Twitter og MSN deles informasjon med store brukergrupper. Mange tenker ikke alltid over hvilken informasjon de deler over slike nettverk og at alle kan få tak i den.
Det gjelder å være kritisk til den informasjonen man velger å dele og den man mottar. Dette gjelder ikke bare sosiale medier, men også e-post. Å være kritisk til vedlegg og ukjente lenker er et enkelt men effektivt sikkerhetstiltak.
Teknologi i endring: Henger bedriften med?
Ddet er vanskelig å forutsi hvordan fremtiden ser ut med tanke på IT-sikkerhet, fordi teknologien endrer seg så kjapt.
Mange står overfor problemstillinger som for bare noen år siden ikke var relevante i det hele tatt, og grensene flytter seg stadig. Det kan i mange sammenhenger være svært vanskelig for en bedrift å benytte seg av den nye teknologien som kontinuerlig forandrer og utvikler seg.
Det er derfor viktig å ha grunnpilarene på plass i forhold til IT sikkerhet. Bidra til at dialogen flyter fritt gjennom hele organisasjonen rundt sikkerhet og at ansvar og roller er definert. Slik kan bedriften lettere tilpasse og endre seg etter nye krav og tiltak som oppstår som følge av den teknologiske utviklingen.
