- Det gør man da ikke, vel? It-systemerne skal jo bare køre, og det gør det jo som oftest også, og skal vi sikre os mere, skal vi jo bare købe ekstra af alle systemer, for så har vi jo sikret os. Men det koster jo penge!
Sådan er der nok mange der tænker, når talen falder på it-nedbrud og minimeringen heraf. Mange virksomheder tænker nok også, at når nu it-systemerne har kørt fint i de seneste par år, så kører de nok også i de næste par år.
Sagen er bare, at sådan er det typisk ikke. Nogle gange går det godt – og det er heldigvis det der ofte sker, men andre gange går det bare ikke.
Et eksempel
I Revi-IT kommer vi ud i mange danske virksomheder og foretager review af deres it-systemer – enten i forbindelse med vores samarbejdspartneres (revisorer) finansielle revision, eller i forbindelse med at virksomheden har bedt os foretage en analyse af virksomhedens systemer mhp. erklæringsafgivelse (måske efter revisionsstandard 3411) eller rådgivning om dette eller hint. Og her ser vi mange løsninger på fysisk sikring, logisk adgangssikring (altså kodeord og andre måder at få adgang til programmer og data). F.eks. har vi set, at servere være placeret på toiletter og i rygerum, og at små post-it-lapper med kodeord er placeret på skærmen.
Årsagerne er mange
De nærmere grunde til at virksomheder til tider er lidt sløsede i forhold til hvordan deres it-systemer er placeret og konfigureret er mange, og årsagerne er typisk de samme som hvorfor vi i privat regi ikke altid sørger for at rydde op i bilen, sørge for at skifte udstødningen i tide osv. Når vi skal på bilferie, så plejer vi at rydde pænt op i bilen, sende den til en mekaniker for at få en form for sikkerhed for at bilen ikke går i stykker halvvejs nede i Italien, og det er jo som konsekvens af, at vi har foretaget en risiko- og konsekvensanalyse af, at hvis der går hul på bilens udstødning og at den så ikke kan køre videre, så er planen ændret; børnene på bagsædet græder, klokken er 2 om natten og der er intet værksted i nærheden, uvisheden af om denne situation rykker på om vi kan komme videre ned til vores hotel – og måske er ægtefællen heller ikke videre imponeret. Denne forestilling gør vi os allerede inden vi tager af sted, for vi vælger at forebygge ved at sende bilen på værksted for at få skiftet hvad der nu end skal skiftes for at bilen nu klarer hele turen.
Det samme er der mange der ikke gør i virksomhederne – altså omkring vores it-systemer. I eksemplet omkring bilferien har vi vurderet, at det er en høj prioritet for os, at ferien går som planlagt, og siden ”værktøjet” hertil bl.a. er bilen har vi vurderet at bilen i sig selv udgør en risiko, hvor en konsekvens af denne risiko er ovenstående eksempel. Vi vælger derfor at minimere risikoen for at få en bedre chance for en god ferie uden ubehagelige overraskelser.
Tager vi ovenstående eksempel og overfører på it-drift i virksomheden, vil det se sådan ud: Det er vigtigt for virksomheden at der så tit som muligt at adgang til lagersystemet. Vi er bevidste om at der kan være en række risici forbundet med hvordan realiteterne er omkring vores it-systemer, og reelt er vi også bevidste om at vi nok ikke er bevidste om alle risici, og siden vi helst ser at systemerne kører nærmest hele tiden, lader vi nogle fagkyndige se på om alt er som det skal være samt foretage en analyse af, at hvis nu der er noget der går galt, så kan vi gøre det og det, for at udbedre. Og herudover har vi foretaget en vurdering af, at hvis f.eks. lagersystemet er nede, så har det de og de konsekvenser for vores forretning.
Et andet eksempel
En virksomhed der sælger varer via sin hjemmeside og via telefon, afskediger sin eneste it-medarbejder. Medarbejderen bliver så gal at han – inden han forlader virksomheden i vrede - vælger at trække alle harddiske ud af virksomhedens servere, hvilket gør, at lagersystem (ca. 1.000 artikler ryger gennem lagersystemet hver dag), hjemmeside, data på server mv. er væk. Det har en ubehagelig konsekvens for virksomheden.
Havde virksomheden foretaget en analyse af de risici, der har været ved at drive dens forretning, havde de set, at der var en række risici forbundet med at lade virksomhedens eneste it-medarbejdere drive it-systemerne egenhændigt. Ikke fordi der nødvendigvis skulle være konsulenter involveret, men det havde været rart for virksomheden i denne situation, at der forelå en beredskabsplan for hvem virksomheden kunne ringe til i denne situation, hvilke harddisk-typer der var installeret i servere, hvor backup-bånd ligger osv.
Alt havde naturligvis ikke været meget bedre i dette eksempel hvis virksomheden havde foretaget en risikoanalyse samt havde en beredskabsplan i hus, men der havde uden tvivl været nogle forhold der var lidt nemmere at håndtere.
Risikoanalyse og beredskabsplanlægning
Det lyder måske lidt ”farligt” det hele, men i virkeligheden er det bare sund fornuft:
• Er der en risiko ved at have vores servere placeret der hvor de er? Kan vi leve med den risiko? Kan vi gøre noget for at minimere denne risiko?
Denne cyklus kan så fortsætte for alle mulige andre scenarier, der nu er relevant for virksomheden.
Samtidig er det også vigtigt at lade pragmatismen råde, for man kan forestille sig mange trusler og risici som måske er lettere teoretiske (f.eks. nedstyrtede fly og stormfloder), så se det også sådan:
- Identificer virksomhedens forretningsgange
- Prioriter disse, og se hvilke it-systemer (og andre manuelle processer) der understøtter disse forretningsgange
- Oplist it-systemerne (altså helt ned til enkeltkomponenter) og giv dem ”point” alt efter hvor vigtige de reelt er for virksomhedens vigtige forretningsgange.
- Vurder om virksomheden kan ændre på den underliggende proces for at sikre driftsstabiliteten af forretningsgangen.
Mange gange finder man som virksomhed ud af, at man er mere afhængig af f.eks. en internetforbindelse, end hvad man var klar over, og måske virksomheden så bedre kan se fornuften i, at der indkøbes en ekstra internetforbindelse, når denne underliggende proces er så vigtig for en overliggende forretningsgang.
Afrunding
Træerne vokser som bekendt ikke ind i himlen. Det er bevist mange gange tidligere. Men når virksomheden tjener penge, er det fordi der er et behov, og det behov stopper jo ikke bare fordi virksomheden kommer ud for et uheld vedr. drift af deres it-systemer. Så går kunderne måske bare et andet sted hen.
Ved at virksomheden udarbejder – og løbende vedligeholder – både en risikoanalyse og en beredskabsplan, har virksomheden taget skridt til at minimere mulige risici – og mange gange (er Revi-IT’s erfaring) er der flere risici, end hvad virksomheden lige er klar over.
Se mere på www.revi-it.dk
Denne artikel er skrevet af Martin Brogaard Nielsen, der er ledende it-revisor, CISA, samt adm. direktør i Revi-IT A/S. Revi-IT er en statsautoriseret revisionsvirksomhed, der udelukkende arbejder med it-revision og it-ledelsesrådgivning, herunder gennemgang af generelle it-kontroller, erklæringsafgivelse ifm. revisionsstandard RS 315, 330, 3000 og 3411, rådgivning ifm. risikoanalyser, beredskabsplanlægning, it-sikkerhedspolitikker m.m.
