Penge at spare på it-sikkerhed

Mange danske virksomheder bliver bombarderet med salgsmateriale og opringninger om nye it-sikkerhedsprodukter, som de absolut må købe for at opføre sig forsvarligt. Det kan være udmærket for store virksomheder, der har ressourcer til at sortere i informationerne og finde frem til, hvilke nye investeringer i it-sikkerhed der gavner dem mest. Men for små og mellemstore virksomheder opleves det ofte som en byrde. Ikke kun fordi det tager tid at tage sig af henvendelserne, men især fordi det gør det endnu sværere at overskue, hvilke sikkerhedsprodukter der er vigtige, og hvilke der blot er rare at have.Det er min overbevisning, at den største sikkerhedstrussel for enhver virksomhed er mangel på overblik. Der er mange sikkerhedsopgaver, der skal løses, og ofte er der kun få ressourcer til at tage sig af det hele. Det er derfor ikke mere sikkerhedsinformation eller skrækkampagner, man har brug for. I stedet for har man behov for at få ro og eventuelt hjælp udefra fra en produktuvildig sikkerhedsrådgiver til at prioritere de informationer og sikkerhedstiltag, der er relevante og anvendelige i ens virksomhed.

Jeg ser i alt for mange virksomheder, at man reagerer på de ting, man læser, eller de opringninger, man får, og fx investerer i et hjørne af sikkerhedsområdet. Det kunne være i varslinger om nye virus og sårbarheder eller i en alt for omfattende sikkerhedstest. Disse tiltag er ofte ganske udmærkede og ligefrem nødvendige for nogle virksomheder ¿ men langt fra for alle. Og hvorvidt de er interessante at investere i afhænger af, hvilket sikkerhedsniveau man ønsker at have ¿ som igen afhænger af, hvilke fortrolige data virksomheden har, og hvad konsekvensen vil være af at få dem stjålet eller slettet.

Det handler om at identificere sit ønskede sikkerhedsniveau og herudfra bestemme, hvilke tiltag der er behov for på sikkerhedsfronten i prioriteret rækkefølge. It-sikkerhed kan ses som en kæde, hvor et svagt led kan få kæden til at briste. Det er derfor væsentligt at definere kædens størrelse og tykkelse - og dernæst målrettet få sikret hvert af de led, man har valgt at inkludere i kæden. På den måde sørger man for, at man hverken får overinvesteret, dvs. gjort kæden tykkere end nødvendigt ¿ eller fejlinvesteret ¿ dvs. inkluderet led i kæden, der ikke er nødvendige.Der er ofte penge at spare på it-sikkerhedsbudgettet ved at danne sig et overblik og prioritere opgaverne. Ifølge min erfaring har manglende overblik betydet for kortsigtede og ligefrem forkerte investeringer i it-sikkerhed i alt for mange virksomheder.

På længere sigt kan jeg generelt anbefale, at man arbejder hen imod at gøre it-sikkerhed til en naturlig del af forretningen ved løbende at udføre de sikkerhedstiltag, man har fundet frem til, og som vil gavne virksomheden mest. Først når sikkerhed er blevet naturligt, ligesom det er at huske at låse døren, når man forlader virksomheden, er sikkerhedstiltag ikke besværlige eller koster ekstra. Så kan man for alvor høste gevinsten i form af en bedre og billigere it-sikkerhed. Og samtidig undgår man at blive lullet ind i en falsk tryghed, hvor man tror, at sikkerheden er optimal, fordi man har foretaget en masse investeringer i området.

Mit råd er derfor: Brug lidt tid på at finde ud af, hvilket sikkerhedsniveau I har behov for, og hvilke tiltag på sikkerhedsfronten det kræver. Med andre ord: Find ud af, hvordan jeres sikkerhedskæde skal se ud, og hold den naturligt ved lige. Det kan betale sig!