Hvem har ansvaret for IT-sikkerheden i din virksomhed? Din IT-leverandør eller dig selv?

Flere og flere danske virksomheder anvender IT-leverandører i store dele af værdikæden, særligt i forbindelse med drift, udvikling og vedligeholdelse af virksomhedens IT. Men har disse IT-leverandører dermed ansvaret for kundens IT-sikkerhed? Jeg oplever, at det er lige netop her, at problemet opstår… Hverken leverandører eller kunder er skarpe nok på hvordan ansvaret er fordelt. Her opridser jeg mit bud på hvorfor ansvarsfordelingen kikser – og jeg kommer med indspark til, hvordan din virksomhed undgår at lande i denne problematik.



Manglende afstemning i kunde-leverandør-forholdet


Jeg oplever, at der ofte er en forventning blandt danske virksomheder om, at det er IT-leverandørens ansvar og opgave at sørge for, at der bliver opretholdt en effektiv IT-sikkerhed i kundens virksomhed. Samtidig oplever jeg, at der er en klar intention fra leverandørernes side om, netop at fraskrive sig dette ansvar. Dette fører til at der i mange tilfælde ikke er en afstemt aftale imellem kunde og leverandør om placeringen af ansvaret for IT-sikkerheden. Den manglende afstemning kan have store konsekvenser for en virksomhed, hvis der fx opstår et problem med en server, hjemmesiden eller andet grundet manglende sikkerhedsforanstaltninger.



Årsager til at ansvaret falder i mellem to stole


Jeg har tre bud på, hvad problematikken kan skyldes i det enkelte tilfælde. Nogle gange er en af årsagerne i spil – nogle gange er det alle tre. Måske du kan nikke genkendende til et eller flere?


1. Uformelle aftaler og tillid


Kunde-leverandør-forholdet er præget af uformelle aftaler og tillid, og der er ikke (eller kun meget lidt) fokus på sikkerhed i aftaleforholdet. Jeg hverken kan eller skal blande mig i udformningen af aftaler.  Jeg kan blot konstatere, at IT-sikkerheden ofte ikke har fyldt meget i diskussionen frem til aftaleunderskrift, og derfor har parterne ofte en forventning til, at den anden part varetager IT-sikkerheden.


2. Forventning om at leverandøraftalen dækker mere, end den faktisk gør


Hvilke dele af IT-drift og -sikkerhed er en del af aftalen? Det kan godt være, at man har en leverandør til at hoste servere og systemer. Men hvad med arbejdsstationerne? Hvad med de mobile enheder? Og hvad med netværk og udstyr på virksomhedens lokation? Hvem sørger for det?

Leverandøren kan kun tage ansvar for de elementer, som indgår i leverancen. Realiteten er bare at langt de færreste angreb starter i et datacenter, hvor sikkerheden (ofte) er på et vist niveau. Langt oftere starter de på en arbejdscomputer eller en lokal server, hvor der ikke er styr på den basale sikkerhed (som f.eks. opdateringer).


3. Manglende viden om IT og IT-sikkerhed hos medarbejderne


Medarbejderne mangler viden og kompetencer ift. IT og IT-sikkerhed. Rigtig mange medarbejdere anvender udstyr og systemer uden at have den grundlæggende forståelse for, hvordan deres adfærd kan påvirke virksomhedens IT-sikkerhed.



Sådan sikrer du klare linjer mellem dig og din IT-leverandør


1. Få styr på hvor din leverandørs ansvar stopper, og hvor dit ansvar starter


Der er behov for mere fokus på IT-sikkerhed i aftalerne med IT-leverandører. Man er nødt til at åbne diskussionen med sin(e) leverandører om hvilke tiltag, der er etableret fra deres side, og hvordan ansvaret er placeret. Det er især vigtigt at få en åben dialog om, hvor leverandørens ansvar stopper, og kundens eget ansvar starter. Det er min erfaring, at det kun giver et bedre samarbejdsforhold, når disse linjer er trukket klart op, inden skaden er sket frem for efter (- hvor der kan være behov for at ”pege fingre” og ”vaske hænder” – noget som i bund og grund hverken gavner hverken kunde eller leverandør).



2. DIT ansvar at have styr på DIN virksomheds IT-sikkerhed


Det er nødvendigt, at du som kunde accepterer, at en del af ansvaret altid i sidste ende ligger hos dig. Derfor er du nødt til at implementere tiltag, som kan styrke de områder, hvor leverandøren ikke har nogen mulighed for det. Det kan eksempelvis aldrig være leverandørens ansvar, at en medarbejder klikker på en vedhæftet fil eller et skadeligt link i en e-mail. Det er kun virksomheden selv, der kan påtage sig dette ansvar.

Løsningen på denne type hændelser findes ikke i at investere i tekniske tiltag. Det kræver derimod klart kommunikerede retningslinjer til medarbejderne og løbende træning og uddannelse i IT-sikkerhed.



Drop mirakelkuren – god IT-sikkerhed starter med afklaring


God IT-sikkerhed starter med, at man får afklaret internt og med samarbejdspartnere hvem, der har ansvar for hvad. Det gode ved den øvelse er, at den ikke koster andet end tid. Men i en verden, hvor det går stærkt, og hvor diverse producenter lover 100% sikkerhed, hvis bare man køber deres produkt, så ender det ofte med, at denne tid ikke bliver taget. Det er simpelthen for fristende at købe mirakelkuren og så håbe på, at den virker… Det kan jeg godt forstå!

Udfordringen er bare, at det forholder sig med IT-sikkerhed som med det meste andet. Hvis det er for godt til at være sandt, så er det det nok også.


Derfor vil min anbefaling altid være, at både kunder og leverandører først og fremmeste bruger tid på at løse spørgsmålet om IT-sikkerheden – eller betale nogen for at hjælpe med det. Og at man husker på, at IT-sikkerhed ikke er noget, som kan løses udelukkende med mere teknik.

Har du haft en oplevelse, der minder om det, jeg beskriver? Eller har du nogle erfaringer, du gerne vil dele? Byd endelig ind.


Rasmus Vinge er medstifter af og CEO i CyberPilot. CyberPilot fokuserer på at hjælpe de virksomheder, som allerede har indset at IT-sikkerhed = risiko og håndtering heraf. Det gør vi ved at fokusere på de tiltag, som har størst værdi ift. de investerede ressourcer. Og vi gør det på en pragmatisk måde, så det kommer til at virke i praksis!


Følg os her på hjemmesiden eller på LinkedIn. Vi kommer løbende med råd og vejledning til, hvordan man som dansk virksomhed med simple skridt kan arbejde med IT-sikkerhed, og hvordan man sørger for at anvende sine ressourcer mest effektivt.

Comments are closed.