SMV'er bør prioritere it-sikkerhed

Minikronik. Fra leverandørside vil vi meget gerne bidrage til at forklare, hvorfor it-sikkerhed ikke kun er et spørgsmål om firewalls, antivirus-systemer og en sikkerhedspolitik.

It-sikkerheden er i dag et centralt element for alle virksomheder uanset deres størrelse. Alligevel har jeg mødt mange repræsentanter fra mindre virksomheder, der mente, at de godt selv kunne håndtere it-sikkerheden , fordi deres forretninger jo ikke var så stor og derfor mindre udsat for angreb. Men det er en indstilling, jeg vil anbefale, at man genovervejer. Ikke kun for at sikre den eksisterende drift og forretning, men også fordi den rette it-sikkerhed kan fungere som et forretningsunderstøttende værktøj, der kan give bedre økonomi, optimere processer og skabe innovation.

Ved årets RSA-konference, som er verdens største årlige event med fokus på it-sikkerhed, deltog der i år mere end 15.000 sikkerhedseksperter fra det meste af verden og udviklere fra de største leverandører af it-sikkerhed. Og her var budskabet ikke til at tage fejl af: Hvis virksomheder skal vinde kampen om it-sikkerheden, er det nødvendigt at differentiere indsatsen. Det skal ikke mindst ses i lyset af den såkaldte Shamirs lov, som dikterer, at it-sikkerheden hver 18. måned bliver halvt så god eller dobbelt så dårlig.

It-sikkerheden ikke god nokI forlængelse af denne dystre prognose fristes man til at ønske sig endnu en lov om, at antallet af virksomheder, som forstår at indrette deres it-sikkerhedspolitik smart og prioriteret i forhold til deres kerneværdier, bør øges tilsvarende. Det gælder ikke mindst i Danmark, hvor de mindre virksomheder ikke er gode nok til at prioritere deres it-sikkerhedsindsats. Skønsmæssigt er det kun hver tiende mindre virksomhed i Danmark, som har forstået at prioritere deres it-sikkerhedsindsats. En af forklaringerne er myten om, at det er for kompliceret og dyrt at få hjælp udefra, selv om der findes en række løsninger, der netop er målrettet mindre virksomheders behov. Mange it-ansvarlige vil sikkert også mene, at der allerede er gennemført en prioritering og risikovurdering i deres virksomhed. Men reelt er det sjældent sket systematisk i forhold til data, systemer og forretningsværdier.

Konsekvensen er, at der rundt om i mange mindre og mellemstore danske virksomheder er bygget it-sikkerhedsmæssige borgmure. Men denne strategi er ikke bare meget bekostelig, den er langt fra altid funktionel. Logikken bag er nemlig, at alt er lige vigtigt at beskytte, men sådan ser virkeligheden ikke ud i de fleste virksomheder heller ikke i helt små virksomheder.

Ressourcer bør udnyttes bedreDer er forskel på for eksempel udviklingsdata og hverdagens e-mailkorrespondance, hvilket bør afspejle sig i it-sikkerheden. Ressourcerne kan ofte udnyttes meget bedre ved at tænke i zoneopdelt sikkerhed, som prioriterer sikkerheden i forhold til de forretningsmæssige værdier og ikke alene i forhold til faktorer som tilgængelighed og fortrolighed.

Fra leverandørside vil vi meget gerne bidrage til at forklare, hvorfor it-sikkerhed ikke kun er et spørgsmål om firewalls, antivirus-systemer og en sikkerhedspolitik, som i reglen ikke er integreret i hverdagen. Ligeledes skal vi også blive bedre til at rådgive om, hvorfor it-sikkerhedsstrategien ikke blot er et spørgsmål om passiv drift, men også er afgørende faktor, som kan sikre virksomhedens succes nu og i fremtiden.