Der skal ikke bare være it-sikkerhed på papiret, men også i virkeligheden. Ikke desto mindre er virksomheder dårlige til at afprøve om it-sikkerheden reelt holder, viser undersøgelsen ’IT i praksis 2014’ foretaget af Rambøll og foreningen Dansk IT.
»Særligt efter Se & Hør-sagen har mange oprustet på sikkerheden. Men det halter med at teste, om sikkerheden rent faktisk holder. I stedet bliver det et tjekboks-arbejde, som man kan vise frem til chefen,« siger Per Andersen, der er administrerende direktør i Dansk IT.
Ifølge undersøgelsen foretager kun 37 procent af mindre og mellemstore virksomheder med årsomsætning på under to milliarder kroner årlige test af deres tekniske it-sikkerhed. Og meget værre står det til, når det kommer til test af sikkerhed med øje for brugerens anvendelse af it.
Sikkerhedsproblemer går gennem brugeren
Under en tredjedel af større virksomheder og kun 12 procent af de mindre selskaber laver årlige sikkerhedstest med brugerens opførsel i fokus. Og det er risikabelt, mener Per Andersen.
»De fleste analyser viser, at de største sikkerhedsproblemer kommer fra brugerens adfærd. Det kan være, at man taber en disk eller glemmer en computer i toget. Det er også det sværeste aspekt af sikkerheden at få styr på, mens det er nemt nok at installere et stykke software,« siger han.
Direktør i Rambøll Management Consulting, Ejvind Jørgensen fremhæver også at udfordringen er stor.
»Man skal ikke undervurdere de sikkerhedsproblemer, der går gennem brugeren«, siger han, og understreger, at sikkerheds-procedure ikke er noget værd, hvis medarbejdere sjusker med passwords og phishingmails.
Bøder til virksomheder, der sjusker med data
Per Andersen fremhæver de manglende konsekvenser ved at sjuske med datasikkerhed, som en af grundende til, at virksomheder ikke får testet deres sikkerhed igennem.
»Vi synes konsekvenserne ved datatab skal være langt mere mærkbare,« siger han, og fremhæver England som eksempel.
Her blev justitsministeriet for nyligt idømt en bøde på £180.000 svarende til omkring 1.680.000 kroner for at have lemfældig omgang med data på 3000 indsatte.
»Det er det, der skal til, før der sker noget – ikke bare på overfladen. Vi har brug for et datatilsyn, der kan handle mere proaktivt og give mærkbare bøder, hvis virksomheder ikke har styr på it-sikkerheden,« siger Per Andersen.
Rapporten IT i praksis er baseret på de 500 af de største private og offentlige virksomheder i Danmark og er udgivet i dag for 19. år i træk.
Leave a Reply