| |
Udfordringen
Da Lejerbos ledelse satte sikkerheden i fokus var kravet at skabe et overblik over risici og konsekvenser og få lavet en prioritering af, hvor der skulle sættes ind. Opgaven var at balancere indsats og resultater og samtidig balancere sikkerhed med vidensdeling og lethed i administration.
Løsningen
Lejerbo havde ikke selv ekspertisen til at vurdere sikkerheden i organisationen og søgte derfor hjælp udefra. De valgte IBM's IT Mini Sikkerhedsgennemgang, der afdækker det generelle sikkerhedsniveau i virksomheden og peger på, hvad der kan gøres for at forbedre sikkerheden.
Udbyttet
IBM's rapport har afdækket en række konkrete IT- og organisationsmæssige forhold, som Lejerbo skal sætte ind på. Lejerbo vurderer, at de kom hurtigere i gang med at forbedre sikkerheden med IBM's IT Mini Sikkerhedsgennemgang, end hvis de havde valgt en anden og mere teknisk undersøgelse.
Ledelsen tog en beslutning
En vigtig del af en virksomheds virke er at udvikle sikkerhedsrutinerne i takt med forretningsgangen for at beskytte virksomhedens aktiver mod tyveri, hærværk og andre risikoelementer. Det gælder ikke mindst virksomhedens data, der udgør en ofte uerstattelig del af virksomhedens forretningsgrundlag, og som er meget sårbare for angreb ad både den elektroniske og fysiske vej.
Det er baggrunden for at ledelsen i Lejerbo besluttede at sætte fokus på datasikkerhed og på at sikre kontinuitet i driften.
Detaljer eller overblik?
"Vi drøftede sagen i ledergruppen og fandt at vi havde brug for at trække på ekspertise og erfaring fra lignende projekter. Så vi begyndte at undersøge, hvor vi kunne hente hjælp til at få vurderet sikkerheden i organisationen," husker Hans Henrik Jensen, der er IT-chef i Lejerbo, en organisation med ansvar for administration og drift af mere end 30.000 almene boliger i Danmark.
Hans Henrik Jensen blev udpeget til at koordinere sikkerhedsarbejdet og i første omgang skaffe et overblik så hurtigt som muligt. Hans strategi var at betragte sikkerhed som en kæde: Man skal først se på kæden som en helhed og danne sig et overblik over svage led; derefter kan man prioritere indsatsen og sætte ind, hvor behovet er størst, og hvor man hurtigt opnår gevinst.
Spørgeskemaer danner grundlaget
"Mange af de sikkerhedsfirmaer, vi talte med, koncentrerede sig mest om internet-sikkerhed; men vores sigte var bredere. Vi ville også inddrage den fysiske sikkerhed fx i forhold til adgangsvejene til IT-installationerne. Andre leverandører var meget tekniske og ville straks tage fat på at analysere de tekniske detaljer i vores installation - det var stik mod vores strategi om at skabe overblik og handle derefter."
Lejerbo bestemte sig derfor for IBM's IT Mini Sikkerhedsgennemgang: Virksomheden udfylder et antal spørgeskemaer, der danner grundlag for at afdække virksomhedens sikkerhedsstade. IBM analyserer derefter svarene og får dem uddybet i et opfølgende interview i virksomheden. Til slut konkluderer IBM undersøgelsen i en rapport, der giver en række - i Lejerbos tilfælde seks - overordnede anbefalinger til, hvor virksomheden skal sætte ind for at styrke sikkerheden.
Enkle svar kræver dyb indsigt
"IBM's IT Mini Sikkerhedsgennemgang er udviklet af IBM's danske IT-Sikkerhedsgruppe, der er en specialafdeling i IBM IT Consulting. Gruppen har samlet danske og nordiske erfaringer og udmøntet dem i en række spørgeskemaer, der dækker områder som: Sikkerhedspolitik, Fysisk sikkerhed/Klassificering af data, IT-katastrofeplan, Netværkssikkerhed, IBM AIX og Windows NT," fortæller Lene Hjermind Petersen. Hun er konsulent i IBM's IT-Sikkerhedsgruppe og stod for afviklingen af sikkerhedsgennemgangen hos Lejerbo i foråret 2002.
Spørgeskemaerne er formuleret, så virksomheden skal give korte og enkle svar på spørgsmålene. Hans Henrik Jensen husker, at netop kravet om korte svar tvang ham og hans folk til at drøfte forholdene mere detaljeret, inden de var i stand til at svare kort og præcist.
"Det er svært at overskue sikkerheden totalt - fagområdet er meget komplekst, og derfor er det vigtigt at forenkle sikkerhedsspørgsmålene; de skal helt ned på jorden, så folk begriber dem. Det er en hjælp til at fokusere på, hvad der er interessant og vigtigt at gøre noget ved."
Rapporten peger på indsatsområderne
Med rapporten i hånden var Lejerbo klar til at gå i gang. Tre af de seks anbefalinger, som IBM's rapport angav, kunne Lejerbo selv straks gå i gang med at udføre. To af de øvrige anbefalinger besluttede de sig for at inddrage sikkerhedskonsulenter til at få gennemført.
"Hvis vi havde valgt en af de konkurrerende, mere tekniske undersøgelser, ville vi sikkert først være blevet færdig med at skrive vores input til den nu. Med IBM's IT Mini Sikkerhedsgennemgang er vi kommet hurtigere i gang med at arbejde aktivt med sikkerheden i organisationen," konkluderer Hans Henrik Jensen.
Sikkerhed er en løbende proces
Anbefalingerne i rapporten pegede på både IT- og organisationsmæssige forhold, som Lejerbo burde sætte ind på. Det gælder både forhold inden for IT-anvendelsen og den fysiske sikkerhed som fx adgangskontrol. Forholdene berører en stor del af Lejerbos 200 medarbejdere direkte, og sikkerhedsarbejdet har naturligt nok ansporet medarbejderne til at tænke mere i sikkerhed i de daglige forretningsgange.
Som opfølgning på IBM's IT Mini Sikkerhedsgennemgang har ledelsen i Lejerbo besluttet at mødes med IBM for at få hjælp på yderligere to områder, nemlig til at få udarbejdet en IT-katastrofeplan og for at fastlægge en generel sikkerhedspolitik.
"Vi har fået forståelsen af, at vi nu har startet en proces, som vi skal arbejde videre med og evaluere løbende. Sikkerhed er ikke noget, man bare beslutter sig for, indfører og derefter lægger til side igen - det er en proces, der skal holdes i live og bearbejdes aktivt. Det tror jeg, at alle i Lejerbo har forstået, selv om vi er kommet hurtigt til de resultater, vi foreløbig har opnået ", slutter Hans Henrik Jensen.
"Mange af de sikkerhedsfirmaer, vi talte med, koncentrerede sig mest om internet-sikkerhed, men vores sigte var bredere. Vi ville også inddrage den fysiske sikkerhed fx i forhold til adgangsvejene til IT-installationerne."
"Hvis vi havde valgt en af de konkurrerende, mere tekniske undersøgelser, ville vi først være blevet færdig med at skrive vores input til den nu."
"Med IBM's IT Mini Sikkerhedsgennemgang er vi kommet hurtigere i gang med at arbejde aktivt med sikkerheden i organisationen."
|
|
|
