Der findes mange forskellige former for tiltag, som virksomheder kan udføre for at beskytte deres informationer og deres forretning. Lige fra klassiske eksempler som firewalls og antivirus, backup/restore til sikkerhedspolitik og it-beredskab, til en række mere eller mindre avancerede teknologier. Modellen viser en række eksempler på tiltag.
For at få struktur på alle disse tiltag deler vi dem op i Fysiske & tekniske tiltag – det er den nederste halvdel på modellen, og Administrative tiltag og processer, som er den øverste halvdel.
Dernæst deler vi dem op vertikalt, så vi på venstre side har det man kalder Forebyggende tiltag – det er de tiltag der nedsætter jeres sandsynlighed for en hændelse. I højre side har vi alle de tiltag, som man kalder Udbedrende tiltag. Det er dem, der hjælper jer igennem en hændelse, når den måtte ske. Altså tiltag der skal sikre, at når der sker en hændelse, så er konsekvenserne ikke uacceptabel for virksomheden. Nogle tiltag kan virke både forebyggende og udbedrende.
Modellen kalder vi for skydeskiven. Den har flere interessante anvendelsesmuligheder:
- Mulighed for mere sikkerhed for pengene - ”Return of security investments”
- Risikovurdering (eller mere præcist sårbarhedsvurdering)
- Klar kommunikation
Mere sikkerhed for pengene - Return of security investments (ROSI)
Der skal være balance mellem øverste og nederste halvdel. En masse tekniske tiltag der ikke styres løbende og hvor ansvar måske ikke er placeret, giver ringe sikkerhed til virksomheden. Omvendt kan de administrative processer selvfølgelig heller ikke stå alene, for de giver ingen sikkerhed uden de tekniske og fysiske tiltag.
På samme måde skal der være balance mellem højre og venstre side. Da det virker mere proaktivt, er det umiddelbart fristende at prioritere de forebyggende – altså sandsynlighedsreducerende – tiltag. Men det kan samtidigt være dyrt og I kan aldrig få sandsynligheden for hændelser helt ned på 0,00%. Derfor giver det værdi for virksomheden, at man forbereder sig på at hændelser kan forekomme.
Forberedelserne sikrer at det ikke ”gør lige så ondt” på virksomheden, fx at man kommer hurtigere igennem et uheld den dag det måtte ske. Mest sikkerhed for pengene får I derfor ved at sigte I midten – altså ved at sikre en balance mellem de fire kvadranter.
Enklere sårbarhedsvurdering
Den næste anvendelse af skydeskiven er når I skal vurdere jeres sårbarhed. En sårbarhedsvurdering er del af en risikovurdering og –analyse.
Den enkle måde I kan udføre sårbarhedsvurdering på er ved at bruge en kendt modenhedsskala. I hvert kvadrant skal I vurdere modenheden af jeres tiltag i forhold til relevante trusler. Højest modenhed svarer til højest sikkerhed, altså flest og bedst optimerede tiltag. Men for høj sikkerhed kan være lige så forkert som for lav sikkerhed; det kommer jo an på jeres virksomhed, jeres risikoappetit og jeres ambitionsniveau på sikkerhedsområdet. Men det gælder for alle virksomheder at I får mest sikkerhed for pengene ved at ramme i midten af skydeskiven, og det betyder at I med fordel kan tilstræbe nogenlunde samme modenhedsniveau i hvert af de fire kvadranter.
Klar kommunikation:
Du kan bruge skydeskiven til at forklare dine kollegaer og ledelse hvad informationssikkerhed er, hvordan man bedst beskytter sig og hvordan man får mere sikkerhed for pengene. Skydeskivens visuelle indtryk gør budskabet nemmere at huske.