| |
It-sikkerhed er at styre virksomhedens risici ved brug af itEn risiko er her de forretningsmæssige konsekvenser af en hændelse, der skader et it-aktivs tilgængelighed, integritet eller fortrolighed.
 En risiko er bestemt af tre faktorer:
(1) sandsynligheden for en given trusselskildes angreb (omfatter også uheld og forsyningssvigt),
(2) graden af sårbarhed,
(3) det resulterende værditab.
Styring af virksomhedens risici kræver dermed viden om afhængigheden af it, trusselsbilledet, sårbarheden og konsekvensen af sikkerhedsbrud.
Med den viden kan virksomheden fastlægge et relevant sikkerhedsniveau og give retning for arbejdet med sikkerhed i en it-sikkerhedspolitik.
Den operationelle del af øvelsen er løbende at forebygge, opklare, begrænse og udbedre mulige skader. Og at gøre det på et lønsomt grundlag. Det betyder, at mindre risici kan accepteres. Virksomheder med en samfundsmæssig nøgleposition bør dog, af hensyn til sig selv og andre (image og etik), overveje andet og mere end egen driftsøkonomi, inden evt. fravalg af mulige sikringstiltag. It-sikkerhed er en tværgående ledelsesopgaveIt-sikkerhed er målbart; men det er ikke et produkt eller mål i sig selv. God it-sikkerhed er en vedvarende proces, som tager afsæt i virksomhedens overordnede målsætninger og kræver fokus på både politik, processer, mennesker og teknologi.
Der er flere måder at varetage styringen af en virksomheds it-sikkerhed på. En af dem er at skubbe ansvaret over på it-afdelingen alene. Det kan føre til leverandørstyret fokus på tekniske tiltag. God it-sikkerhed er også at styre den menneskelige risikofaktor. Det kræver en fælles indsats på tværs af organisationen, hvor alle tager et medansvar.
| | | |