Sikkerhed har strategisk topprioritet i det offentlige

Af Henrik Malmgreen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Styrkelse af indsatsen i forhold til it-sikkerhed ryger direkte ind på en førsteplads for såvel de offentlige topledere som deres it-direktører og digitaliseringschefer. Næppe helt overraskende efter konklusionen i sidste års udgave af ”IT i praksis” om, at it-sikkerhed skal sikres i praksis - ikke kun på papiret.

Sammenlignes der med den private sektor er reaktionen mere afdæmpet hos forretningsledelsen, hvor problemstillingen henvises til en sjetteplads og dermed til midten på listen over vigtige tiltag. Den høje prioritering kan derfor forekomme som en overreaktion for den offentlige sektor.

”Sikkerhed er altid en afvejning af risiko. Topledelsens risikovillighed er faldet fra 2014 til 2015, så det nu kun er 16 procent af toplederne, der har en risikovillighed over middel, og derfor øges risikoen for udbredelse af nulfejlskultur. Og en nulfejlskultur er hverken ud fra et effektiviserings- eller innovationsperspektiv fordelagtigt.

På et overordnet samfundsmæssigt plan er det imidlertid utrolig vigtigt, at den digitale tillid til samfundets digitale fundamenter opretholdes. Ellers vil ikke alene den offentlige sektor, men også den private sektor blive sat væsentlig tilbage. Her spiller f.eks. NemID, beskyttelse af borgernes og virksomhedernes vitale data og adgang til it-systemer i døgnets 24 timer en afgørende betydning, siger Ejvind Jørgensen fra Rambøll Management Consulting.

Der er stadig forbedringer, der kan laves, når det gælder sikkerhed.

”IT i praksis” viste sidste år, at i såvel offentlige som private virksomheder var it-sikkerhed relativt højt prioriteret, men at det for ofte fandt sted som en disciplin, der kun implementeres som retningslinjer og ikke afprøves. En betydelig del af virksomhederne gennemførte ikke tekniske test af it-sikkerhed eller test af, hvorvidt medarbejdere i og uden for it-organisationen reelt kan anvende og efterlever de givne retningslinjer.

”Test handler både om at opnå viden om, hvorvidt de givne rammer efterleves på ønsket vis, men også - og ikke mindst - om at opnå viden om årsagerne til, det ikke sker. Kun på den måde kan virksomhedens sikkerhedspolitik og de tekniske sikkerhedstiltag, der anvendes, tilpasses således, at brugerne efterlever sikkerhedskravene i praksis”, siger Mikael Munck fra Dansk IT, idet han glæder sig over, at det offentlige efter alt for mange sager om læk af borgernes data har skruet op for sikkerheden. 