Slår et slag for sikkerhetskrav

Slår et slag for sikkerhetskrav

Computer Associates går i front for å få it-industrien interessert i felles sikkerhetskompetanse.
-- Leverandørene har sine egne sikkerhetssertifiseringer. Det er feil for det generelle sikkerhetsnivået, understreker Øyvind Andhøy, teknologidirektør i Computer Associates (CA).

Andhøy ønsker ikke å underkjenne sine egne produkter eller kurs, men han er opptatt av å høyne det generelle kompetansenivået. For sikkerhet er et tema som kontinuerlig vil stå høyt på agendaen til it-ansvarlige.

-- Det vil være en fordel med felles kompetanse sett fra de som driver med sikkerhet, fortsetter Øyvind Andhøy.

Ved å få et sertifiseringsnivå for sikkerhet oppnår virksomhetene på sikt lavere kostnader da deres fagfolk både kan, og er oppmerksomme på truslene på en annen måte enn tidligere.

Forstyrrer

Hitachi Data Systems undersøkelse blant it-sjefer i 15 europeiske land viser at økt frykt for datakriminalitet, terrorisme og katastrofer bekymrer. Nesten en tredjedel innrømmer at ulike forhold knyttet til datasikkerheten forstyrrer nattesøvnen.

En slik bekymring vil kunne minskes ved å øke sikkerhetskompetansen. I denne forbindelse er det ikke nok å ha noen års erfaring med datavirus. Det er en rekke andre områder som er vel så viktige.

-- Det er viktig å fokusere på helheten. Så får teknikken komme som en konsekvens, fremhever Øyvind Andhøy.

Den ideelle organisasjonen International Information System Security Certification Consortium, IISSCC, har definert sikkerhet som ti beslektede områder.

Disse omfatter adgangskontroll, applikasjons og systemutvikling, driftssikkerhet, etikk og juss, fysisk sikkerhet, kontinuitetsplanlegging, kryptering, sikkerhetsarkitektur, sikkerhetsadministrasjon og sikkerhetspraksis, og tele, nettverks og internettsikkerhet.

Omfattende

Det er utgitt en omfattende bok som dekker alle sikkerhetsområdene. I tillegg arrangeres det sikkerhetskurs som forbereder til en sekstimers eksamen med 250 spørsmål for å bli sertifisert.

Etter avlagt eksamen blir man Certified Information System Security Professional, CISSP. Forutsetningen er fire års relevant praksis og vurdering fra en sertifisert fagperson.

Det er også mulig å ta en enklere eksamen med 125 spørsmål som er rettet mer mot praktisk anvendelse av sikkerhet. Denne, System Security Certified Practitioner, SSCP omfatter syv områder.

-- I Danmark har CA gått sammen med Microsoft, Cisco, Deloitte & Touche og TDC og fått til et studie i it-sikkerhet til Mastergrad, forklarer Catharina Solem, informasjonsansvarlig i Computer Associates.

Studiet vil bli avholdt ved Danmarks Teknologiske Universitet. Skal man tro CA er det bare Høyskolen på Gjøvik som har et studie for sikkerhet i Norge.

Computer Associates ønsker å slå et slag for sikkerhetssertifisering i Norge. Derfor vil CA stå som vert for et sertifiseringskurs i oktober og en sertifiseringseksamen i november.

IISSCC setter strenge krav. CA får ikke lov til å tjene på kursvirksomheten. Den har samme pris over alt. Organisasjonen stiller med egne kursledere.

-- Det har ikke vært holdt kurs på lang tid i Norge. Det ble ikke holdt kurs i fjor, forklarer Øyvind Andhøy.