IT er et topplederansvar på lik linje som strategi, budsjett og organisasjonsutvikling. For mange bedrifter er data, informasjon og kompetanse en vesentlig del av verdiene. Derfor er IT-sikkerhet ikke bare en øvelse i å tette hull ettersom de oppdages, det bør være en strategi for å sørge for at hullene ikke oppstår. I den strategien er sikkerhetsrapporter et viktig verktøy.

En sikkerhetsrapport vil oppsummere status på bedriftens IT-infrastruktur. Bakgrunnen for rapporten er en gjennomgang av hvilke aktive tiltak bedriften har gjort og eventuelt også simulerte angrep som tester både teknisk sikkerhet og de ansattes rutiner for å unngå å «gå i fella».

Rapporten vil gi en sikkerhetsscore som gir et direkte mål på endring i sikkerhet fra rapport til rapport. Slik kan du enkelt måle effekten av de tiltak som ble foreslått i tidligere rapporter. I rapporten ser du også den direkte, positive effekten av eksisterende tiltak, for eksempel ved at den tallfester antall inngående mail som er blitt stoppet av sikkerhetssystemene.

Jevnlige sikkerhetsrapporter gir oppdatert sikkerhet

Vi anbefaler ny sikkerhetsrapport fire til seks ganger i året.

Grunnen til det er at utviklingen drives fram i et voldsomt tempo av store, kriminelle organisasjoner. Det betyr at det nivået på IT-sikkerhet som var tilstrekkelig for noen måneder siden, kan være utdatert nå. Den gode nyheten er at Microsoft og andre leverandører følger opp med nær daglige oppdateringer. Dermed har du som MS365-abonnent alle de gode verktøyene i kassa, men det er bedriften selv som velger – eller ikke velger – å ta i bruk nye verktøy og oppdateringer.

Også styret bør lese sikkerhetsrapporten

Selv om det er daglig leders oppgave å forvalte bedriftens verdier, anbefaler vi at også styret involveres i IT-sikkerhet på lik linje med andre strategisk viktige områder, spesielt i bedrifter der det som ligger på serverne utgjør en stor del av bedriftens verdier.