Fokus på IT-sikkerhed – ledelsens ansvar

211 Fokus på IT-sikkerhed – ledelsens ansvarNFT 3/2003 Finanstilsynets vejledning nr. 9054 Den 20. februar 2003 udsendte det danske Finanstilsyn vejledning nr. 9054 om kontrol- og sikringsforanstaltninger på IT-området gældende for alle finansielle virksomheder uanset størrelse. Det er en vejledning, hvis vigtighed er om- vendt proportional med dens længde. Det er en prisværdig kort vejledning og det er en vejledning, som entydigt placerer ansvaret for IT-sikkerheden i danske finansielle institutio- ner på direktionernes og bestyrelsernes borde. Vejledningen pålægger bestyrelserne et ansvar for at forholde sig til virksomhedernes IT-anvendelse, IT-organisation og IT-sikker- hed, idet det er fremhævet, at der i vurderin- gen skal indgå en konkret risikovurdering. Det fremgår videre af vejledningen, at der skal være funktionsadskillelse i IT-organisa- Fokus på IT-sikkerhed – ledelsens ansvar af Janne Glæsel og Per Buchwaldt I den enkelte organisation – uanset om den er offentlig eller privat – er det nødvendigt, at alle niveauer i organisationen involveres omkring IT-sikkerhed. Først og fremmest er det vigtigt, at det erkendes af ledelsen, at IT- sikkerhed er en forudsætning for stadig vækst og konkurrencekraft, og for at samfundet som helhed kan være vel fungerende. Ledel- sen bør sætte IT-sikkerhed højt på dagsorde- nen, fastlægge en overordnet IT-sikkerheds- politik for organisationen og retningslinier for medarbejdernes adfærd. Fejlbetjening er en hyppig årsag til svigt i IT-systemer. Derfor er også bedre uddannelse af både brugere og IT-medarbejdere en forudsætning for sikker drift af IT- systemer. Janne Glæsel er advokat (H) og partner i Bech-Bruun Dragsted, hvor hun rådgiver offentlige og private virk- somheder om IT-retlige og immaterialretlige forhold. Per Buchwaldt er civilingeniør, HD og ansat som IT- direktør i Bech-Bruun Dragsted. Han har tidligere i en årrække været IT-direktør i Alm. Brand. Per Buchwaldt er samtidig formand for DANSK IT – tidligere kendt som Dansk Dataforening. Janne Glæsel og Per Buchwaldt er sammen med 6 andre medlemmer udpeget af Videnskabsminister Helge Sander som medlem af Rådet for IT-sikkerhed, der skal styrke hele IT-sikkerhedsarbejdet både i Danmark og i forhold til EU. Janne Glæsel er næstformand for rådet, der blev etableret den 1. januar 2003. janne.glaesel@bechbruundragsted.com per.buchwaldt@bechbruundragsted.com Per BuchwaldtJanne Glæsel 212 Fokus på IT-sikkerhed – ledelsens ansvar tionen, som i øvrigt skal være klart defineret. Vejledningen stiller også krav om tilstedevæ- relsen af en IT-sikkerhedspolitik, tilstedevæ- relsen af forretningsgange i IT-organisatio- nen samt en udarbejdet og afprøvet bered- skabsplan. Ændring af fokus og holdning til IT-sikkerhed Der er ingen tvivl om, at disse krav for mange virksomheder i den danske finansielle sektor betyder et ændret fokus på og en ændret holdning til IT-sikkerhed. Og man kan vel tilføje – helt nødvendige ændringer. Ikke mindst Danske Banks oplevelser i foråret 2003 viser med al ønskelig tydelighed, hvor sårbare finansielle virksomheder er overfor ”ITt-hæn- delser”, selv i virksomheder som arbejder meget professionelt med drift og udvikling af IT-systemer. Hvor galt kunne det ikke være gået i en virksomhed, der ikke havde befundet sig på et så højt sikkerhedsmæssigt niveau som Danske Bank? Havde Danske Bank ikke haft den nødven- dige organisation og et dertil hørende gen- nemprøvet beredskab, kunne hændelsen for- mentlig have udviklet sig med langt værre konsekvenser end tilfældet blev. Det er derfor tankevækkende, at mange virksomheder – formentlig også i den finansielle sektor – reelt ikke har haft IT-sikkerhed på bestyrelsens bord. Håndteringen af IT-sikkerhed har i disse virksomheder typisk været overladt til IT- chefer, hvis opgave i denne sammenhæng nok ofte har været defineret til at sikre den interne og eksterne revisions accept af tilstandene; IT-chefer som hverken har haft gennemslags- kraften eller ressourcerne til at at opbygge de nødvendige kontrol- og sikringsforanstaltnin- ger. Det er formentlig en konstatering af for- hold i denne retning, der har ledt det danske Finanstilsyn til at udgive den nævnte vejled- ning. Det, der kan undre, er, hvorfor den øverste ledelse af virksomheder ikke mere ”uhjulpet” engagerer sig i håndteringen af IT-sikkerhed. Er det fordi virksomhedsledere alene ser IT- sikkerhed som bureaukrati og omkostninger? Eller er det fordi virksomhedsledere har en anden opfattelse af risikoen for at opleve IT- sikkerhedsproblemer eller ganske enkelt har vanskeligt ved at forstå problemstillingerne og betydningen af IT-sikkerhed? Øget sikkerhed kan medføre en mere effektiv ressourceudnyttelse Danske Banks oplevelser burde betyde, at virksomhedsledere – herunder i særdeleshed ledere i finansielle virksomheder – fremover engagerer sig på samme måde, som når de bedømmer forretningsmæssige risici, kredit- værdighed eller udviklingsprojekter. Gribes et sådant engagement rigtig an, kan et øget fokus på IT-sikkerhed faktisk resultere i pa- rallelle gevinster i form af mere effektive forretningsgange og mere effektiv ressource- udnyttelse. Eksempelvis vil en øget sikkerhed omkring idriftsættelse af nye eller reviderede IT-syste- mer – det der i fagsproget kaldes ændrings- kontrol – resultere i bedre oppetid på grund af et færre antal systemfejl. Eller for at tage et eksempel i den helt anden ende af skalaen – så vil central opdatering af koden i den nye generation mobiltelefoner dels øge disses sikre funktion, dels give anled- ning til en standardisering af anskaffelsen af mobiltelefoner og dermed åbne for, at anskaf- felsen af sådanne enheder kan ske indenfor rammekontrakter med tilhørende volumenra- batter. I det hele taget er der grund til i virksom- hederne at fokusere på sikkerheden og økono- mien omkring mobile enheder. Den reelle pris på en ny mobiltelefon med indbygget PDA og adgang til at fungere over nettet overstiger jo 213 Fokus på IT-sikkerhed – ledelsens ansvar efterhånden prisen på en stationær pc’er. Det er ”telefoner”, der vil få fuld adgang til virk- somhedernes interne netværk, således at mails og kalenderoplysninger modtages umiddel- bart over de nye GPRS netværk, som mobil- telefonselskaberne nu udbyder, ligesom der vil kunne etableres fuld adgang til virksomhe- dernes systemer – for eksempel systemer til skadesopgørelse eller systemer til pensions- rådgivning. Det betyder, at der vil kunne opnås nogle helt nye fordele i forsikringssel- skaberne. Men det betyder også introduktio- nen af nye sikkerhedsrisici, hvor mobiltelefo- ner skal håndteres på samme vis som pc’ere – hvordan distribueres der software, hvordan skabes der sikker adgang, hvordan undgår man at stjålne mobiltelefoners software bliver tilgængelig for andre, hvordan testes nye mobiltelefoner – fortsæt selv listen. Svarene på disse spørgsmål vil gå hånd i hånd med en øget sikkerhed. IT-sikkerhed er også et spørgsmål om branchesamarbejde Danske Banks håndtering af nedbruddet i foråret 2003 viser, at et væsentligt element i minimeringen af konsekvenserne for bankens kunder var et samarbejde med andre bankda- tacentre om håndtering af eksempelvis lønud- betaling. Så udover, at de enkelte virksomhe- der i den finansielle sektor skal overveje, hvordan IT-sikkerheden i virksomheden skal håndteres, så er der også grund til at pege på behovet for at brancher overvejer, hvorledes samarbejder kan etableres, således at konse- kvenserne af kritiske IT-nedbrud kan mini- meres. Det forekommer eksempelvis nærlig- gende at overveje, hvorledes pensionsudbeta- linger fra liv- og pensionsforsikringsselska- ber kan sikres i tilfælde af et større nedbrud hos selskaber af denne art. Der er hjælp at hente Når virksomhederne og deres ledelser enga- gerer sig i forbedring af IT-sikkerheden er det, på dette som på andre områder, ikke nødven- digt at opfinde den dybe tallerken igen. Der findes udmærkede standarder på området – fra standardiseringsorganisationer og fra man- ge leverandører ligesom der efterhånden fin- des et righoldigt sortiment af publikationer. Virksomhedernes ledelser kan derfor udmær- ket tillade sig at instruere deres sikkerhedsan- svarlige i at tage udgangspunkt i sådanne standarder – en første opgave for den øverste ledelse kan derfor være at få identificeret de relevante standarder på området En god skabelon for arbejdet er den nye vejledning 9054 fra det danske Finanstilsyn nævnt ovenfor, der så at sige sætter overskrif- terne. Et udgangspunkt for det mere detaille- rede arbejde med IT-sikkerhed kan – i Dan- mark – være Dansk Standards DS 484-1 Norm for edb-sikkerhed, basale krav og DS 484-2 Norm for edb-sikkerhed, skærpede krav, hvor førstnævnte tager udgangspunkt i den inter- nationalt anerkendte standard fra British Standard BS 7799 Information security ma- nagement. Derudover eksisterer der flere pub- likationer, som den øverste ledelse kan benyt- te til hurtigt at få et overblik over de aktuelle problemstillinger på IT-sikkerhedsområdet – DANSK IT har i samarbejde med KPMG udgivet publikationen ”IT-sikkerhed i små og mellemstore virksomheder”, som også godt kan inspirere ledelsen i større virksomheder. Og Dansk Industri har udgivet ”Ledelse af IT sikkerhed – for forretningens skyld” og ”Trus- ler mod virksomhedens IT-sikkerhed”. Brugerinvolvering er et must Som nævnt indledningsvist har der i hvert fald i nogle virksomheder været en tendens til, at arbejdet med IT-sikkerhed har været begræn- set til IT-afdelingen. Det har måske til en vis 214 Fokus på IT-sikkerhed – ledelsens ansvar grad givet mening, hvor brugerne af IT-syste- mer – sagt lidt for firkantet – alene skulle være opmærksomme på, at sikkerhedskoder skulle opbevares og anvendes fortroligt. Den tid er forbi! Brugere af IT-systemer er i dag en af de vigtigste kilder til sikring af et sikkert IT- miljø. Ligesom i trafikken skal brugere, der bevæger sig på internettet være opmærksom- me på, hvilke risici de påtager sig – hvor færdes de, hvilke oplysninger afgives, hvilke filer downloades, downloades der ulovlige musik- og filmfiler, som virksomheden kan risikere et erstatningskrav omkring, videredi- stribueres sådanne filer, er medarbejderne koblet til fildelingsmekanismer, optræder medarbejderne i chat rooms med virksomhe- dens ip-adresse, hvilke filer sender medarbej- derne ud af virksomheden, er man bevidst om, at hjemme-pc’ere kan udgøre en sikkerheds- risiko, hvis de også anvendes direkte på nettet, kobler man sine bærbare pc’ere på andre net- værk osv.? Hertil kommer, at risikobilledet er under konstant forandring, hvorfor virksomheder- nes beskyttelsesmekanismer risikerer at være bagud. I sådanne situationer vil det alene være medarbejdernes fornuftige adfærd, der vil kunne forhindre sikkerhedsbrud. Fra centralt hold vil der kunne iværksættes forholdsregler til imødegåelse af trusler af den her nævnte karakter. IT-chefen kan imidlertid sjældent løfte den opgave det er, at påvirke adfærd og værdier i virksomheden. Processen med at gøre IT-sikkerhed til alles anliggende kræver ledelsens klare opbakning. Sikkerhe- den står og falder for en stor dels vedkommen- de med medarbejdernes adfærd. IT-sikkerhed som karrierevej Som bekendt kommer ingenting af ingenting – undtagen lommeuld. Forbedret IT-sikker- hed kræver ledelsesengagement og ressour- cer. Det er væsentligt, at virksomhederne rå- der over IT-sikkerhedsekspertise, der er ud- dannelsesmæssigt ajour og som betragter IT- sikkerhed som et karrierevalg. Tidligere var der i en del virksomheder en tendens til at IT- sikkerhed blev overladt til medarbejdere, som på forskellig vis var blevet ”til overs” i orga- nisationerne eller som måske blev placeret indenfor området i en retrætestilling. Det er et fuldtidsarbejde at holde sig ajour med udvik- lingen indenfor IT-sikkerhed – der er derfor ikke længere plads til medarbejdere, som ikke er uddannet og ajour. Gør IT-sikkerhed til en karrierevej og ikke et sidespor. Mange – især mindre virksomheder – vil formentlig ikke kunne tiltrække kvalificerede fuldtids IT-medarbejdere, hvorfor opgaven bør overvejes outsourcet. I øvrigt på linie med andre opgaver i mindre IT-organisationer. Initiativer af denne art kræver også et engage- ment fra virksomhedernes øverste ledelse – og i øvrigt omhyggeligt formulerede aftaler med leverandører. IT-sikkerhed er en del af god ledelsesskik En fornuftig IT-sikkerhed vil være en nød- vendig forudsætning for overlevelse, men vil også kunnegå hånd i hånd med effektiv virk- somhedsdrift. Opgaven og ansvaret ligger på ledelsens bord og skal løftes som en del af god ledelsesskik.