it sikkerhed og databeskyttelse

Fremtidens rapportering gør op med nul-fejls-kultur

Kravene til it-sikkerhed og personoplysninger er voksende, men vi ser stadig, at it-leverandører på disse områder beroliger kunderne med en årlig erklæring. Fremtidens rapportering vil ske langt hyppigere og potentielt meget mere detaljeret. Det er der en række gode grunde til.

Tolv eller atten måneder er meget lang tid i it-sikkerhedens verden. Ganske enkelt fordi trusselsbilledet ændrer sig meget hurtigt, og fordi en stor it-installation er igennem mange ændringer, opdateringer og udrulninger i en periode af den længde. Alligevel ser vi stadigvæk, at nogle it-leverandører fastholder en årlig ekstern revisorerklæring som dokumentation til kunderne om, at it-sikkerheden er i orden. Men hvis både installation og trusselsbillede ændrer sig løbende, så er en sådan erklæring måske snarere et øjebliksbillede, og derfor ikke synderligt beroligende.

Rapportering af tilgængelighed

Hvis vi skeler til et område som oppetid/tilgængelighed, så har nogle leverandører taget konsekvensen af kontraktens krav om fx en oppetid på 99,99 pct. Denne KPI indgår automatisk i den løbende rapportering. Måske endog med en automatisk beregning af hvor meget givne hændelser reducerer næste faktura i overensstemmelse med kontraktens ordlyd. Jeg tror, at fremtidens rapportering af it-sikkerhed og håndtering af personoplysninger kommer til at bevæge sig i samme retning. Frem for at kunderne en gang om året får en erklæring om, at den pågældende leverandør, hosting-partner, cloud-leverandør har styr på sin backup, sit katastrofeberedskab og sin patch-proces, så får kunderne adgang til opdateret information hver uge, måned, kvartal – eller måske dagligt – af det faktiske konkrete billede. Hvilke problemer? Hvordan er de løst? Hvilken status har vi på relevante KPI’er?

Drop nulfejls-kultur

Hvis man som datacenter har godt styr på sin installation – herunder it-sikkerhed og privacy om personoplysninger – så har man defacto sandsynligvis forladt en nulfejlskultur. Trusselsbilledet er reelt så komplekst, at nul fejl er en utopi. Sådan er det for øvrigt med al menneskelig aktivitet, og jo mere kompleks jo værre. Det er klogere at stræbe efter at eliminere risici end at opnå nul fejl. Den årlige revisorerklæring kan måske ligefrem virke som sovepude, så snart man har den, fordi man jo får papir på at være ”god nok”. Omvendt, hvis man alligevel har gjort op med nul-fejls-kulturen, så kan man jo lige så godt dele ens faktiske arbejde med it-sikkerhed og beskyttelse af personoplysninger med de kunder, som har den allerstørste interesse i at have en knivskarp leverandør.

Hændelsesregistrering er et skridt på vejen

Den kontinuerlige rapportering – eventuel med høj detaljeringsgrad – vil for langt de fleste kunder udgøre en større defacto-sikkerhed, end at datacenteret består en årlig eksamen. Inden for GRC-området generelt ser vi en langt større åbenhed for at arbejde med hændelser og registrering af hændelser. Det ligger i lige linje til den rapportering, som vi behøver inden for it-sikkerhed. Det gælder for øvrigt også den rapportering, som Data Protection Officers brændende kommer til at ønske sig om brugen og beskyttelsen af personoplysninger.

License-to-operate

Hvis jeg var DPO eller CSO i en virksomhed, så ville jeg stille krav til it-afdelingen og til eksterne leverandører om at give mig det reelle billede af det faktiske arbejde nede i dagligdagens maskinrum. Hvorfor skulle man nøjes med mindre? Mit gæt er at om få år, så er den slags online-rapportering en ”license-to-operate”. Kulturelt bygger det tillid mellem kunde og leverandør, og det erstatter nul-fejls-kultur.