Netógnir: Þróun eða stöðnun
Talsvert hefur verið rætt um netógnir, tölvuinnbrot, upplýsingaöryggi, gagnaleka og annað slíkt undanfarin misseri. Ljóst er að slíkar ógnir eru að þróast gríðarlega hratt og það er umfangsmikið verkefni fyrir fyrirtæki, einstaklinga, þjóðir og stofnanir að halda í við þá þróun. Hvernig er hægt að bregðast við þessum síbreytilegu og auknu áhættum á árangursríkan og skilvirkan hátt?
Í hugum margra hafa fjárfestingar og fjármunir sem fara í upplýsingaöryggi verið „nauðsynlegur kostnaður“ líkt og iðgjöld trygginga eru, skili engu nema eitthvað komi uppá og eini ávinningur vinnunnar sé að útbúa handbækur til að uppfylla einhverjar ytri reglur eða kröfur. Ef sýn stjórnenda á upplýsingaöryggi er þannig er ávalt verið að bregðast við fortíðinni en ekki verið að undirbúa sig fyrir framtíðina. Því er talsverð hætta á að fjármunum og tíma sé varið í atriði sem eigi ekki lengur við í rekstri og umhverfi fyrirtækisins.
Skilvirkari og árangursríkari nálgun er að taka mið af stefnu, aðstæðum og kröfum hvers fyrirtækis og framkvæma aðstæðumiðað áhættumat. Til að slíkt geti tekist þarf að: Afla upplýsinga jafnt innan sem utan fyrirtækisins, bæði tæknilegra sem og rekstrarlegra upplýsinga; Greina upplýsingar og ráðast í hnitmiðaðar aðgerðir byggðar á grundvelli þeirrar greiningar.
Bætt upplýsingaöryggi felst ekki alltaf í því að gera meira og fylla inn í gátlistana. Það skilar meiri ávinningi með minni tilkostnaði að grípa til aðgerða sem eru í takt við markmið, stefnu og þróun fyrirtækisins og auka um leið skilvirkni og öryggi.
Það er því ekki ástæða til að stökkva til og framkvæma hluti sem mögulega eru óþarfir eða óskilvirkir. Árangursríkara er að staldra við og greina stöðuna og grípa svo til aðgerða. Greining og aðgerðir af þessu tagi taka tíma og því ekki eftir neinu að bíða.
Tryggvi R. Jónsson, CISA
Höfundur er liðsstjóri Áhættuþjónustu Deloitte á Íslandi
og sérfræðingur í upplýsingaöryggi.