Maj 31 2008

Först risk sedan säkerhet

Publicerad av under Risk,Säkerhet

CSO skriver att nio av tio IT-chefer har uppfattningen att IT-säkerhet betraktas som del av kärnverksamheten och minst lika viktig som andra IT-projekt av den egna ledningen.

Grundproblemet är att IT-säkerhet har en tendens att handla om teknik och teknikprojekt; med andra ord antivirus och brandväggar som visserligen är konkret nog för att påvisa vad en investering ger, men abstrakt nog för att ha problem att påvisa det egentliga värdet för affärsverksamhetens kärnverksamhet. För de flesta organisationer är IT inte en kärnverksamhet utan en av flera stödjande enheter som jobbar gemensamt för att affärsverksamheten skall uppnå de uppsatta målen.

Vidare så lär det knappast vara IT-säkerhet som bolagsstyrelsen fokuserar på utan eventuella risker och hur dessa kan minimeras, hanteras och kontrolleras. Det är här IT-säkerhet kommer in som en del av riskhanteringen och inte tvärtom vilket det oftast har en tendens att bli för många företag. Möjligen är det intressantare att diskutera IT-säkerhet på teknisk nivå än att diskutera riskpåverkan. Men utan riskpåverkans analys blir svårt att påvisa vad som skall uppnås och därmed faller man snabbt över på tekniska diskussioner.

Bruce Schneier berör även detta på sin blogg i artikeln How to Sell Security där han tar upp att den mänskliga naturen ligger till hinder för hantering av risk. Detta genom att människan överlevnads strategi hellre accepterar mindre förtjänster än risken för en större förtjänst, och därmed även risken för större förluster. Av natur så undviker vi helt enkelt risk något som även förklaras genom prospektteorin som utvecklades av Nobellprisvinnaren Daniel Kahneman och hans kollega Amos Tversky.

Man måste tänka risk innan man kan definiera säkerhetsaktiviteter.

Kim Haverblad

Inga kommentarer ännu

Trackback URI | Kommentars RSS

Lämna kommentar

Du måste vara inloggad för att lämna kommentar.