_Sikkerhedsfolkene skal formelt involvere repræsentanter fra operationen i planlægning af sikkerhedsstrategi og eksekvering. Kun ved fælles ejerskabsfølelse kan det lykkedes.
_Sikkerhedsuddannelse skal have den rette form og være målrettet til gruppen. Alt for mange “Security Awareness” programmer er for overordnede og taler ikke ind til de sikkerhedsudfordringer som eksistere i IT operationen.
_De operationelle sikkerhedspolitikker skal være specifikke, målbare og realistiske. Er der plads til bred fortolkning af hvordan man skal efterleve politikken, bygger man en bred vej for fejl.
_ Hvad der måles bliver gjort. Det er komplekst at måle på sikkerhed i Operationen og ikke alt kan måles, men det kan lade sig gøre at måle på kritiske parametre med visse compliance værktøjer, skanningsværktøjer, m.m. Med klare KPI’er for hvad man vil opnå, er det nemmere at følge udviklingen.
_Stram kontrol af adgangsstyring. Begræns antallet af privilegerede brugere kraftigt og eliminer brede adgange (såsom “Administrator”). Er der styr på hvem der kan tildele adgange og hvorfor?
_Og, stram ændringsstyring og kvalitetsstyring skal naturligvis være en selvfølge i operationen.
_Operationen skal sætte tid af til sikkerhed, og sikkerhed tager tid. Nedprioriteres sikkerhed som det første i en travl hverdag, bliver sikkerhed aldrig prioriteret. Det er sjældent at der er mere tid i næste uge.
Leave a Reply