Rune Fick Hansen skrev den 21. februar 2019 for IT Branchen:
Selvom der i dag findes 263 it-virksomheder med over 2.900 medarbejdere, der i 2016 omsatte for 6,4 mia. kr., har it-sikkerhedsbranchen svært ved at følge med efterspørgslen.
Siden 2008 er den danske it-sikkerhedsbranches omsætning steget med 1,5 mia. kr., hvilket er relativt højere end resten af dansk erhvervsliv.
Jeg er bange for, at de 263 it-virksomheder er en stor del af problemet. Vis mig en af disse it-virksomheder, og jeg skal vise dig en virksomhed der hverken har en IT- eller IT-sikkerhedsdirektør i koncernledelsen.
Der er ingen risikostyring, og en eventuel sikkerhedspolitik er helt afkoblet fra hverdagen.
Virksomheden har ingen interne sikkerhedskurser rettet mod de forskellige roller i organisationen. Viden kan derfor ikke spores eller opdateres hos hverken nuværende eller kommende medarbejdere.
Der benyttes ingen eller meget lidt automatisering, så små og store fejl begås regelmæssigt som led i manuelt arbejde. Dette modarbejder aktivt, at installationen systematisk bliver bedre og dokumenteret i samme arbejdsgang.
På virksomhedens interne og kundevendte netværk findes udokumenterede og ukendte systemer. Der findes også enkelte servere, som ingen tør røre ved fordi de er så vigtige og skrøbelige.
Intern og ekstern kommunikation sker via email eller andre metoder, der let kan forfalskes og generelt er svært at arbejde struktureret med i hverdagen.
Både medarbejdere og kunders kodeord nulstilles uden at kunne verificere vedkommende, og det nye kodeord følger et mønster, som alle tidligere ansatte kan gætte sig frem til.
Interne medarbejdere tvinges ikke til at bruge to-faktor validering. Kunder kan måske købe adgang til usikker SMS validering.
Teknologiske produkter købes efter hvor flotte brugerfladen er, ikke hvor let produktet kan køre redundant eller på anden vis modstå angreb.
De færreste it-virksomheder kan overleve en ISO 27001 gennemgang. Når en rigtig certificering lykkedes er det på et nøje udvalgt grundlag, og ikke på hvordan forretningen virker til daglig eller hvordan angribere kan gøre skade.
Vil din organisation være anderledes? Kontakt Alex fra Holst Sikkerhed.