Skrevet af Thomas Ertmann, Salgschef hos JCD A/S
Artiklen er første gang bragt på LinkedIn.
Denne artikel er ikke skrevet for at skræmme dig til at købe noget produkt. Faktisk havde jeg ikke et eneste produkt med, eller i tankerne, da jeg skrev artiklen. Kun et indædt ønske om, at ledelsen i virksomhederne sætter it-sikkerheden højere på dagsorden.
Faktum er desværre, at de fleste små og mellemstore virksomheder nedprioriterer it-sikkerheden.
Vi taler næsten hver dag med ledere og beslutningstagere om deres virksomheds it-sikkerhed. Generelt er de interesseret i emnet, men det kniber ofte med at få truffet beslutningerne. Som virksomhedsledere er de vant til at have fokus på forretningen, og hvordan den skal optimeres.
Salg, omkostninger, udvikling og håndtering af risici er vante emner. Men det er tydeligt, at langt de færreste har gjort sig væsentlige overvejelser om prioriteringer i forhold til virksomhedens it-sikkerhed.
Det kan virke underligt, når vi stort set ikke kan åbne en avis eller et online medie uden at få præsenteret den ene eller anden historie om virksomheder, der er blevet ramt.
It-sikkerhed er en forretningsrisiko
... og dermed er det ledelsens ansvar
Ofte træffes beslutningen om organisatoriske sikkerhedsmæssige tiltag hos it-afdelingen eller den it-ansvarlige. Problemet er bare, at ofte vil it-afdelingen, den it-ansvarlige eller sågar den eksterne it-leverandør kigge meget isoleret på forskellige sikkerhedsproblemstillinger - ofte bundet op på en teknologi.
Dermed bliver der ikke taget beslutninger ud fra et helhedsindtryk, som ellers normalt er praksis, når man almindeligvis tager en beslutning som leder - altså ud fra et cost-benefit forhold kontra en risikovurdering.
Så nej - den kan desværre ikke tørres af på it-afdelingen.
It-afdelingen - om den er intern eller ekstern - vil naturligvis være en spiller eller rådgiver i processen, men den endelige beslutning er ledelsens ansvar.
Lær af jeres Corona-håndtering
Covid-19 ramte hele verden som en hammer i det tidlige forår 2020. Lynhurtigt trådte virksomhedernes ledelse i aktion. Der blev hurtigt lavet risikovurderinger i kontorer over hele Danmark og taget beslutninger om, hvordan virksomhederne skulle agere og opretholde driften under en global pandemi.
Der blev kigget på nye processer, lavet forholdsregler og indkøbt mundbind og sprit i en grad, der fik leverancesystemerne til at bukke under for presset. Der blev lavet nødprocedurer for, hvad der skulle ske, hvis uheldet var ude, og hvordan virksomheden kunne fortsætte driften.
De danske virksomhedsledere præsterede på højt niveau, og sikrede både deres egen overlevelse, samtidig med at samfundet kørte videre.
It-sikkerhed skal ikke håndteres meget anderledes fra ledelsens synspunkt. Opgaverne er ofte de samme, også selv om området er lidt mere komplekst.
Der skal sættes tid af til risikovurderinger, og ledelsen skal søge den relevante information for at kunne træffe beslutninger. På den måde kan ledelsen træffe beslutninger baseret på et cost-benefit grundlag.
Hvordan kommer jeg i gang med risikovurderinger?
Der findes et fint udvalg af gode kilder på internettet, hvor du både kan finde manualer og inspiration til, hvordan du laver en god risikovurdering af din it-sikkerhed.
Jeg vil dog rette opmærksomheden på en af de mere enkle værktøjer, som er let at gå til og giver et godt overblik. Erhvervsstyrelsen har nemlig lavet virksomhedsguiden. Her kan du finde forskellige online risikovurderings-værktøjer - herunder også It Risikovurdering.
Den kræver, at brugeren har lidt kendskab til virksomhedens it-systemer. Jeg vil derfor anbefale, at I laver den sammen med it-afdelingen eller jeres eksterne partner.
Det koster ikke noget at bruge webguiden, og den resulterer i en fin og overskuelig rapport med konkrete anbefalinger til it-afdelingen ud fra de enkelte risici.
Ledelsen kan bruge rapporten sammen med økonomiske estimater for hvert emne. Det giver ledelsen mulighed for at danne sig et overblik, hvor de kan vurdere, hvor meget risiko der kan minimeres krone for krone.
Bliver det dyrt?
Det kommer naturligvis til at koste penge at have fokus på sikkerhed, og det er penge, der ikke giver ekstra på bundlinjen - så i den henseende så bliver det dyrt. Alternativt kan emnet også anskues ud fra et forsikringsperspektiv. Hvis det anskues på den måde, kan det naturligvis hurtigt blive billigt.
Det er vigtigt for ledelsen at sætte et budget ud fra risikovurderingen. Dermed kan virksomheden skaffe mest mulig sikkerhed for pengene. En it-risikovurdering er ikke en statisk størrelse og skal derfor regelmæssigt opdateres i tråd med de andre vurderinger, ledelsen laver. En ændret risiko kan retfærdiggøre en ændring i budgettet.
