It kræver disciplin

Virksomhedernes afhængighed af it er total, det er et spørgsmål om overlevelse. Derfor er der også behov for at se på it-sikkerhed på strategisk niveau og få bedre samklang mellem itafdelingen og den forretningsmæssige del af organisationen.

Af Jan Lausen, LC&S/Cohns Kontor

Kompromittering af information og data bør være et mareridtsscenario i en tid, hvor it er blevet en kritisk størrelse i stort set alle virksomhederuanset størrelse og branche. Alligevel oplever revisorer og andre, der beskæftiger sig med datasikkerhed dagligt, at sikkerhedshensyn tilsidesættes på alle niveauer i virksomhederne.

Et af de grundliggende problemer er, at it-funktionen ofte er en isoleret satellit, der i mere eller mindre grad lever sit eget liv, uafhængigt af den omgivende virksomhed og derfor efter andre regler end man i øvrigt følger. Men datasikkerheden kompromitteres også ofte af, at den øvrige del af virksomheden ikke tager den disciplin, der er nødvendig for at opretholde it-sikkerheden, alvorligt.

Direktor, statsautoriseret revisor Michael Clement fra Grant Thornton oplever at fl ere og fl ere interesserer sig for de sikkerhedsmæssige aspekter af it. Han peger på, at it-sikkerhed skal ses i lyset af virksomhedens målsætninger.

"Når vi reviderer, kan vi ikke undgå at se om it-systemerne lever op til virksomhedens målsætninger, og hvordan itafdelingen hænger sammen med resten af virksomheden."

Problemerne kan ligge i kommunikationsproblemer mellem ledelse og it-afdeling, fordi det kan være svært for lederne at forstå it, og it folkene ikke har indsigt i virksomhedens forretningsmæssige side. Desuden kan der mangle klare aftaler om, hvad der er it-afdelingens rolle i virksomheden. Løsningerne omfatter bl.a. at man anvender god it-skik og anerkendte it-standarder samt formaliserer procedurerne og sikrer, at alle overholder dem - også it-medarbejderne - selvom det er lettere at lade være.

Strategi

Sikkerhed er en del af it-strategien.

It-strategien skal sikre at it-området skaber værdi for virksomheden, som sikrer, at man kan måle effekten af sine tiltag," siger Michael Clement, der anbefaler virksomhederne at bruge fl ere kræfter på vurderingen af de risici, man er udsat for, og få lavet en formel risikoanalyse, så de får afdækket, hvad der er kritisk og derfor kan vælge, hvilke risici man vil gøre noget ved, og hvilke man vil leve med.

Konsulent Sune Mortensen, KPMG, peger også på vigtigheden af at se it som noget strategisk, og tilføjer, at de virksomheder, der forstår det også klarer sig bedre:

"Der er stadig ledelser, der ser it alene som omkostninger, men man bør vende det og se, hvordan man kan bruge it aktivt til f.eks. at understøtte virksomhedens vækst og skabe konkurrencefordele."

Det kan f.eks. ske ved at bringe it ind i beslutningsprocesserne omkring de forretningsmæssige forhold på et tidligt tidspunkt, så it funktionen får indsigt i de overvejelser, der senere vil få betydning for og være udfordringer til it-afdelingen.

Virksomhedsopkøb er et eksempel. Her spiller it-integration en betydelig rolle, men det er ofte også en kompleks opgave at få systemerne til at fungere sammen - og det kan give anledning til mange og langvarige bryderier, hvis løsning af opgaven er handicappet af, at der ikke har været tilstrækkeligt med information fra starten.

En model til at lette samspillet mellem it-afdeling og resten af virksomheden er, at it-afdelingen ser resten af virksomheden som en kunde. Der er eksempler på it-afdelinger, der ligefrem har en 'account manager', hvis opgave det er at afdække kundernes behov og ønsker.

Et andet vigtigt element er, at man har tilstrækkelige sikringsmekanismer og procedurer for kontrol:

"Hvis man har et uklart kontrolmiljø, bliver det sværere at sikre overensstemmelse mellem it-strategi og forretningsstrategi, ligesom det bliver sværere at prioritere risiciene, siger Sune Mortensen."

Outsourcing

Ideen om outsourcing af it-opgaverne kan synes attraktiv for virksomhederne både ud fra en økonomisk betragtning og for at opnå større fleksibilitet.

Men man må tage stilling til den afhængighed, virksomheden får til leverandøren og om man anvender it-løsninger, der er tilrettede i en sådan grad, at den store specialviden, medarbejdere i it-afdelingen har, vil være vanskelig at erstatte.

Der er fire helt essentielle forhold omkring outsourcing, man skal forholde sig til, mener Sune Mortensen:

1. Hvad koster det?
2. Hvad vil man anvende de frigivne aktiver til?
3. Hvilke ulemper vil outsourcing medføre?
4. Hvad bliver de samlede omkostninger?

Hertil kommer 'bløde værdier' som kunde- og medarbejdertilfredshed. Det bliver ofte berørt luftigt i forbindelse med aftalens indgåelse, men ikke klart defineret:

Klare aftaler er en forudsætning for gode leverandøroplevelser, siger Sune Mortensen, der tilføjer at de 'bløde værdier' også bør afspejles i det virksomheden betaler, ligesom man skal have mulighed for at måle på den del af leverandørens ydelser.

I forbindelse med outsourcing er det også vigtigt at være opmærksom på it-sikkerhed, herunder at leverandøren som minimum lever op til kundens it-sikkerhedskrav.

”Kunden skal være opmærksom på at leverandøren ikke nødvendigvis lever op til dennes sikkerhedsbehov, men mindre disse indgår som en del af kontrakten. For at sikre at leverandøren efterlever de aftalte krav, kan det være en god ide at få udarbejdet en såkaldt 3411 revisionserklæring, hvor en uafhængig revisor udtaler sig om leverandøren lever op til de aftalte krav,” siger Michael Clement.