Fra nul til compliance

Af Nick Lyngaae Jørgensen

‍

Gennem de seneste 20 år i branchen er der sket en utrolig udvikling på sikkerhedsområdet. Før i tiden var situationen gerne den, at når folk spurgte, hvad vi lavede, og vi svarede, at vi beskæftigede os med IT, blev de underligt trætte i ansigtet på et splitsekund.

Hvis de så, efter at have sundet sig lidt, lod de gode manerer vinde ogspurgte, hvilket område, vi beskæftigede os med, og vi sagde"sikkerhed," var de, gode manerer til trods, simpelthen ikke i standtil at udvikle nogen form for følelser for emnet.

‍

Der var næsten ingen såkaldt normale mennesker, der interesserede sig for IT-sikkerhed for 20 årsiden, men dette har heldigvis ændret sig sidenhen. Når vi i dag nævner for folk, at vi arbejder med IT-/Informationssikkerhed, er de hyppigt interesserede (eller i hvert tilfælde ikke helt og aldeles uinteresserede). De udviser en langt højere grad af forståelse, stiller spørgsmål, der viser dette, og lytter tålmodigt til vores pitch.

‍

Da folk fik øjnene op for nettets muligheder, strømmede de til forskellige sites - vel nok primært de steder, der havde online handel - og sociale medier. Mange gjorde sig dog hurtigt den dyrt købte erfaring, at sikkerhed er vigtig - hvis ens private databliver stjålet, kan det have endog særdeles ubehagelige følger.

‍

På grund af blandt andet disse ting er folk gennem årene blevet mere opmærksomme på vigtigheden af sikkerhed. Der er helt sikkert et stykke vej endnu, før den gennemsnitlige internetbruger holder op med at bruge ringe passwords og klikke på phishingmails, men det er vores oplevelse, at det går i den rigtige retning.

‍

Med hensyn til firmaer går det også i visse tilfælde i den rigtige retning, skønt de, i vores øjne, noglegange ikke fokuserer på det allermest væsentlige.

‍

I løbet af de sidste par år har vi set, hvordan det pludselig er gået op for landene, at det er vigtigt,at de har styr på sikkerheden alle steder. Derfor bliver vore kunder og andre firmaer underlagt forskellige krav og standarder, eksempelvis GDPR, NIS2 og DORA, som de skal leve op til. Gøres dette ikke - altså, er de ikke "compliant"- risikerer de at blive straffet med bøder.

‍

Endvidere oplever mange af vore kunder nu, at deres kunder stiller krav til dem om, at de besidder visse certificeringer, for eksempel ISO eller ISAE.

‍

Dette er på mange måder godt. Compliancekrav er medvirkende til at øge forståelsen blandt firmaets ledelse og medarbejdere for, at visse ting skal beskyttes, og denne forståelse er, mener vi, første trin til at opnå et brugbart og holdbart sikkerhedsniveau.

Men compliance er ikke det samme som sikkerhed.

‍

Nå ja, vil I måske sige, men når vi nu i vores firma sørger for at overholde de forskellige krav til compliance, så medfører det vel også et forhøjet sikkerhedsniveau.

‍

Dette synspunkt er vi enige i, men der er dog lige den hage ved det, at det rent sikkerhedsmæssigeudbytte yderst sjældent står mål med den compliancemæssige indsats. Selv fuld compliance er ikke nødvendigvis lig med tilpas sikkerhed. Så compliance kan give en falsk følelse af tryghed.

‍

Problemerne opstår, hvis man, grundet en stor indsats for at overholde og efterleve de forskellige compliancekrav, tror sig godt rustet til at modstå hackerangreb. Så vil mange firmaer og disses ledelse stå overfor to "gaps": Eet mellem det beviseligt nødvendige sikkerhedsniveau og det sikkerhedsniveau, de tror sig at have, samt eet mellem sidstnævnte og det niveau, de rent faktisk har.

‍

Det første er der, trods ovennævnte tiltag, stadig ikke tilstrækkeligt fokus på - eller vilje til - at lukke, og det andet er der ofte ikke engang forståelse for eksistensen af.

‍

Mange firmaer er altså gået "fra nul til compliance" og tror sig derfor sikre men har tildels glemt sikkerheden undervejs. Og dette er et kolossalt problem!

For virksomheder bliver ikke hacket, fordi de ikke er tilstrækkeligt compliant - de bliver hacket,fordi de ikke er tilstrækkeligt sikre.

‍

Det er vores holdning, at virksomheder bør fokusere på at opnå et godt niveau af sikkerhed. Dette vil medføre, at de også opnår et godt niveau af compliance.
Oven i købet compliance, der naturligt efterleves og kan dokumenteres!

Så er I gået fra nul til sikker – og har fået compliance med.