Vejen til informationssikkerhed
Som det første IT-firma herhjemme er Neupart A/S netop blevet certificeret for IT-sikkerhed af Dansk Standard. Certificeringen understreger, at it-sikkerhed handler om mere end teknologi, virus og hackerangreb
Virksomhederne er ikke garanteret informationssikkerhed, blot fordi de har købt en firewall og et antivirusprogram. En helhedsløsning er nødvendig. Det kan blandt andet ske ved at etablere fælles regler for sikker brug af it-systemer og gennem velinformerede medarbejdere.
Den internationalt anerkendte britiske standard BS 7799 ’Information security management’, beskriver kravene til sådan en helhedsløsning. Certifikatet fra Dansk Standard dokumenterer, at Neupart A/S har indført et IT-sikkerhedssystem i overensstemmelse med standarden.
Neupart A/S har lagt vægt på, at sikkerhedssystemet skal være praktisk og enkelt.
”Det kan sagtens lade sig gøre samtidig med at man overholder standarden. Vi har ikke oplevet noget voldsomt bureaukrati. Alt skal selvfølgelig være behørigt dokumenteret, men kun i en grad, der passer til vores forretning”, siger Lars Neupart, direktør i Neupart A/S.
Lars Neupart, direktør i Neupart A/SNeupart A/S lever af at udvikle og sælge informationssikkerhed til andre virksomheder.
”Vi er nødt til at feje foran egen dør. Nu har vi som den første IT-virksomhed papir på at vi har taget vores egen medicin. Med certificeringen kan vores kunder nemt verificere, at vi selv har styr på sikkerheden. Desuden er der værdi i at få uvildige øjne på, om det vi har lavet er godt nok . Man kan nemt stirre sig blind på sine egne systemer. Det er en fordel, at der kommer nogen udefra og siger: hvad nu hvis, og har I tænkt på…”, siger Lars Neupart
Ifølge Lars Neupart er der sund fornuft i at indføre et sikkerhedssystem som beskrevet i standarden. Standarden opstiller tre kategorier, som alle trusler mod informationssikkerhed kan regnes ind under: tab af fortrolighed, integritet og/eller tilgængelighed. Det certificerede sikkerhedssystem tilfører forretningen værdi ved at reducere risikoen på alle tre områder til et acceptabelt niveau.
”Vi er en vidensbaseret virksomhed, der har udviklet software af høj værdi. Vi er forpligtet til at beskytte vores værdier – det skylder vi både vores kunder, aktionærer, og medarbejdere. Derfor skal der være styr på sikkerheden”, siger Lars Neupart.
I processen med at følge standarden har Neupart A/S fået større sammenhæng mellem risikoanalyse og konsekvensvurdering på den ene side og den konkrete IT-sikkerhedspolitik på den anden side. Den største del af virksomhedens kundekommunikation foregår elektronisk. Derfor er konsekvenserne alvorlige, hvis e-mailsystemet ikke virker – det går ud over tilgængeligheden.
Neupart A/S udvikler software til et sikkerhedsintranet, der skal styrke den menneskelige Firewall i virksomhederne. Det er afgørende at beskytte kildeteksten til denne software, så den ikke kommer gratis i omløb på internettet – en trussel mod fortroligheden.
”Vi har truffet både tekniske og menneskelige foranstaltninger i vores sikkerhedspolitik – fx gennemgår vi selv jævnligt de awareness-quizzer vi lever af at sælge. Dermed får vi reduceret risikoen til et acceptabelt niveau - fjerne den helt kan man ikke. Man skal aldrig stole på en udbyder, der lover 100 % sikkerhed!”, siger Lars Neupart.
IT-sikkerhedspolitik handler ikke kun om at beskytte sig mod udefrakommende fjender som hackere og virus, men også om opmærksomhed og agtpågivenhed i forhold til de daglige rutiner. Fejl og forsømmelser i egne rækker kan koste dyrt, fx når back up’en kikser, når en medarbejder utilsigtet sletter data, eller når der opstår kompatibilitetsproblemer i forbindelse med opgradering af software.
”Sikkerhedshændelser af denne type koster mere nede-tid hos os end fx virusangreb. Derfor er det en del af sikkerhedspolitikken at holde styr på, hvilke hændelser der sker – for at undgå, at de gentager sig”, siger Lars Neupart.
Tekst: Dansk Standard