Sikkerhet fra senior håndverkere

Sikkerhet fra senior håndverkere

Sikkerhet dreier seg ikke om infrastruktur og systemer, men om holdning og forståelse, hevder de i Nova IT.
-- Vi er ingen noviser i bransjen, hevder Dag Schøning-Olsen, markedsansvarlig og partner i selskapet.

Derfor mener han å ha lov til å hevde at it ikke dreier seg lenger så mye om valg av teknologi, men om strategi. Han er opptatt av at den digitale lederen må involvere seg.

Før var det kapasitet, investeringer og systemvalg som sto frem som det viktige i valg av it-løsninger. Nå er det, eller bør det være, sikkerhet, brukerbehov og driftskostnader. Norske ledere må ikke henge igjen i den gammeldagse måten å tenke it på, men må tenker annerledes; se hva som gir økt verdi for bedriften. Mener de i Nova IT.

-- Vi vil utfordre gammel tankegang ved å stille kunden i fokus og sammen med kunden finne ut hvordan han eller hun kan bli unik. En måte vi gjør det på, er å danne it-råd hos kunden. Der deltar it-sjef, daglig leder, vi og eventuelt andre medarbeidere i bedriften. Vår oppgave er å fungere som olje i maskineriet, sier Schøning-Olsen.

Nova IT er fem år gamle, teller ti ansatte og omsetter for åtte-ni millioner kroner i året. Og har svarte tall på bunnlinjen. Ifølge seniorkonsulent Øivind Aspaas har de flere større kunder, som gjerne ser fordelen av å ha en mindre leverandør fordi de får full oppmerksomhet. Men Computerworld vil bare snakke om sikkerhet, ellers kunne denne artikkelen blitt en bok.

Ullen sikkerhet

Schøning-Olsen tegner opp en pyramide over hva de leverer kundene. Nederst befinner infrastrukturen seg, øverst er det spesialtilpasninger, og i midten ISO 17799. Tross det byråkratiske navnet, og ISO-standarder kan virkelig være det, hevder folkene i Nova IT at denne standarden er fornuftig og ikke bare nok et regelverk å "stemple til".

-- "Sikkerhet" er et ullent begrep, og ISO 17799 gjør det ikke mindre ullent. Men egentlig er det vare en veileder for den beste måten å gjøre ting på, "best practices". Det er ingen standard ned til minste detalj, slik du forventer en standard for bygg. Det er vel ikke et dokument i verden med flere "bør", "kan", "skulle" og lignende formuleringer, sier Aspaas.

Men like fullt er ISO 17799 viktig når bedrifter skal handle sammen. Det kan være et krav om at du holder standarden, særlig internasjonalt. Nova IT har derfor utviklet et metodeverk, som de mener er basert på sunn fornuft, som i kjernen er en vurdering av risiko. Og som benytter ISO-standarden.

Metodeverk

Nova IT har utviklet sitt eget metodeverk, som de ikke hevder å være alene om eller er fullt ut vitenskaplig, men som er en praktisk tilnærming til risikoanalyse og økt sikkerhet. Kvalitetssystem for informasjonssikkerhet. Det består av syv punkter, som i korthet gjengis her:

Punkt nummer en er sikkerhetspolicy. Den skal gi forståelse for hvorfor ting blir gjort og hvilke tiltak som blir tatt. Den kan være fra fire linjer til et A4-ark.

-- Den skal være så enkel at den kan gjengis på julebrevet fra ledelsen, skyter Schøning-Olsen inn.

Punkt to er avgrensing av området for risikovurdering, slik at du ikke gaper for høyt. Det tredje punktet går på gjennomføring av risikovurdering. Noe du godt kan gjøre på bakgrunn av lister over risikofaktorer. Det fjerde går på håndtering av risiko; skal du akseptere den, redusere den, unngå den eller overføre den? Det siste går typisk på forsikring.

Femte punkt går på å velge mottiltak. Det sjette utgjøres av noe så kjedelig som revisjon, men går på å finne ut av hvor du står i forhold til mål. Så at det syvende dreier seg om forbedring følger naturlig. Da dreier det seg om å analysere avvik og innføre korrigerende tiltak.

Praktisk it

Herrene i Nova IT understreker at dette ikke dreier seg om eksakt vitenskap, men om en praktisk tilrettelegging av et kvalitetssystem for informasjonssikkerhet som alle bedrifter kan ha nytte av.

De understreker at behovet for opplæring innen sikkerhet er et nøkkelspørsmål. Det er derfor en sikkerhetspolicy på femti sider er vanskelig å sette i verk; få av de ansatte vil ha satt seg inn i den. Opplæring og bevisstgjøring gir det store spranget i informasjonssikkerhet.