Vi skal være sikkerhedsambassadører

Vi kan alle gøre noget for at forbedre IT-sikkerheden i firmaet. Faktisk har SAMDATA\HK-medlemmerne den faglige viden, som gør det oplagt for dem at gå forrest, mener SAMDATA\HK-formand Thomas Bisballe.

”Man lader jo heller ikke døren til pengeskabet stå åben. På samme måde er det selvfølgelig afgørende, at vi beskytter firmaets IT-værdier. Ikke mindst af hensyn til kunderne.”

Der er ikke meget blødsødenhed at spore, når man spørger SAMDATA\HK’s formand Thomas Bisballe om medlemmernes rolle inden for IT-sikkerhed.

”Når man arbejder i IT-branchen, er man nødt til at tage corporate compliance alvorligt. Man må tage af sted på kurserne i IT-sikkerhed og fx være opmærksom på forsøg på social engineering,” understreger Thomas Bisballe.

Firmakulturen æder som bekendt strategien til morgenmad. Derfor er det vigtigt, hvad vi som IT-folk sender af signaler på sikkerhedsområdet.
Thomas Bisballe, formand, SAMDATA\HK

Kultur er afgørende

”Det tager ofte kun et øjeblik ekstra at gøre tingene på den rigtige – sikre måde. Vi skal huske, at vi er sikkerhedsambassadører i virksomheden,” siger SAMDATA\HK-formand Thomas Bisballe.

Han ser eller hører jævnligt om IT-systemer, hvor sikkerheden ikke er i orden. Både i sit arbejde som SAMDATA\HK-formand, og når det firma, han er ansat i, overtager systemer, andre har udviklet.

”Jeg har selv set systemer, hvor en helt almindelig penetrationstest viste 113 huller. De kan ikke have brugt meget tid på sikkerhed, hvis overhovedet nogen.”

Han opfatter SAMDATA\HK-medlemmerne som nogle af de vigtigste ambassadører for IT-sikkerheden, og dermed dem, der kan ændre kulturen i en virksomhed.

”Forleden hørte jeg om et firma, hvor alle mulige medarbejdere fik adgang til logfiler, personnumre og følsomme oplysninger uden nogen form for godkendelse. Det er et klart eksempel på, at der tit bliver skåret hjørner, når tingene skal gå stærkt.”

”Kultur æder som bekendt strategien til morgenmad. Derfor er det vigtigt, hvad vi som IT-folk sender af signaler. Nogle gange skal vi bare vænne os til, at en ting tager to minutter mere. Efter et stykke tid tænker vi ikke mere over det.”

Thomas Bisballe peger også på nulfejls-kulturen som afgørende.

”Det er virkeligt uheldigt, hvis folk ikke tør indrømme en fejl, fordi de tror, de risikerer jobbet. Hvis folk putter med tingene, får man aldrig rettet fejlene,” understreger Thomas Bisballe.

Burde ikke kunne ske

At der er masser af ting, der kan forbedres, oplever han i hverdagen, hvor han arbejder som programmør, og når han taler med folk fra andre IT-firmaer.

”Det er ikke lang tid siden, at jeg så et websystem, hvor administratormodulet kørte uden kryptering. Det betød, at alle brugeroplysninger og oprettelser af administratorer kørte i klartekst i et ret vigtigt system. Det burde ikke kunne ske,” siger Thomas Bisballe.

Selv om Thomas Bisballe hovedsageligt peger på medarbejdere og ledelse som dem, der skal tage ansvaret for IT-sikkerhed på sig, ser han også eksempler på regler, som udgør et problem.

”Hvis et offentligt IT-system er i udbud, er prisen et meget afgørende parameter. Men hvis der dukker nye sikkerhedskrav op undervejs, er det svært at lave inden for budgettet. Her betyder reglerne faktisk, at det er svært at skabe den optimale IT-sikkerhed,” siger Thomas Bisballe.