Hvorfor skal du have en håndbog om IT sikkerhed?

Det er et enkelt spørgsmål, med et endnu mere enkelt svar: fordi IT sikkerhed berører alle flader i din virksomhed og fordi det har konsekvenser for IT sikkerheden, hvis ikke du vedligeholder den.

Jeg skal nok komme med en række eksempler på det nedenfor, men det er vigtigt at tage stilling til, for enhver leder i enhver virksomhed og det kan jeg ikke understrege nok.

Din første tanke er “Jamen, den slags har jeg folk ansat til” og det er også fint at uddelegere implementering og vedligehold til et specialiseret team. Men derfor er det stadig helt afgørende for din virksomheds overlevelse i et mere og mere digitalt samfund, at du som hovedansvarlig tager stilling til, hvilke opgaver der kan og skal udfyldes i netop jeres virksomhed.

Her begynder den nørdede del af håndbogen, som jeg har brækket ned for at det giver mening for dig:

Din håndbog hedder ISO/IEC 27002 med titlen: Information security, cybersecurity and privacy protection — Information security controls.

Den handler ikke kun om, hvordan du bedst sikrer og bevarer din virksomheds private detaljer, den har taget stilling til alt, hvad der har med håndtering af informationer at gøre; handlinger, opgaver, flow, indretning, opbevaring, sporing, implementering i både fysiske og digitale rammer, i systemer, i enheder og hos personale.

Din håndbog er ikke en slavisk to-do liste for dig, men en komplet oversigt til dig. Og her kommer mit kvalificerede bud på, hvilke kapitler der er vigtige at fokusere på som leder.

Kapitel 5 omhandler din organisations tilgængelighed og hvordan den bedst kan kontrolleres.

Overordnet er kapitlets mål sikkerhed, men grunden til at det er vigtigt for dig at tage stilling til delkomponenterne er, at det også påvirker virksomhedens effektivitet og omsætning.

Her findes de procedurer indenfor cirka alle led i din virksomhed, som skal garantere sikkerheden for både dig og dine kunder. Opdelingen af pligter for dine medarbejdere er med til at højne sikkerheden. Eksempler:

• Procedurer for returnering af hard- og software fra tidligere medarbejdere - disse bør dokumenteres af enten HR eller IT, så der er et sagsspor.
• Procedurer for at sikre sig eksterne leverandørers IT sikkerhed , fordi det også kan påvirke din forretning.
• Procedurer for håndtering af sikkerhedsbrud - hvilke egenskaber skal prioriteres - de hands-on tekniske eller overordnet ansvarlige (krydsfeltet mellem IT og HR)
• Procedure for din business continuity - back ups og tests - hvor ofte/hvem skal foretage dem/hvor skal de gemmes/aflæses?

Næste kapitel der er vigtig for dig, er kapitel 8. Det omhandler de teknologiske kontroller/regler i lige præcis dit IT-system. Igen, det er forhold der påvirker din virksomheds effektivitet og dermed flow og omsætning.

Det er meget konkrete forhold at tage stilling til. Eksempler:

• Dine medarbejderes arbejdscomputere og - telefoner. Hvordan skal de spores og sikres, hvilke adgangsforhold skal de have og skal fx. HR og/eller IT have større adgang til disse enheder.
• Dit IT systems interne udvikling - udviklere og testere i produktionsmiljøet skal gives adgang til produkter.
• Brugervalidering. Du skal tage stilling til hvad din virksomheds krav og behov er, i forhold til adgangskoder og tofaktor-godkendelser.
• Styring og test af systemets kapacitet. Hvem og hvor meget skal systemet overvåges. Hvad er behovet for overvågning/fejlsøgning og -finding/fremskrivning af eventuel belastning eller sårbarheder i systemet og - sidst men ikke mindst - tests.
• Metode til beskyttelse af de operative systemer overfor vira og malware.

Derudover er det vigtigt, at du som leder har en holdning til tests af sikkerhedskopiering, logging og dokumentation i forhold til tempo og mængde, implementering af nye ressourcer og opdateringer, som ofte kræver styring af tekniske sårbarheder. Det er din beslutning, hvor mange ressourcer der skal afsættes til at vedligeholde systemet, og den vedligeholdelse kan ikke finde sted uden regelmæssige tests af de forskellige grupper.

Jeg er selvfølgelig din rådgiver, som vurderer præcist og individuelt hvad din virksomhed har brug for, og det sker i et samarbejde med dig som leder og dine medarbejdere.