Analysen i dette kapitel er bygget op om spørgerammens områder, dvs. de hovedoverskrifter, som interviewundersøgelsens spørgsmål falder ind under, jf. Bilag 1: spørgerammens vertikale dimension.
Om databearbejdningen og analysemetoden: se afsnit 5.2.2.
Hvordan har du oplevet implementeringsprocessen? (spm. 1.4)
| Svar | I | II | III |
|---|---|---|---|
| Svært at komme i gang | Tung proces for en lille organisation | God, positiv, sund proces | |
| Antal | C, I, N, P | A, G, H, M, S | B, F, J, L, N, R, T, U |
Tabel 2 - Implementeringsprocessen
Svarene på spørgsmålet fordeler sig nogenlunde ligeligt mellem dem, der har oplevet processen som svær og tung (I+II), og dem, der ser meget positivt på den (III).
Det er bemærkelsesværdigt, at hele 5 mindre organisationer eksplicit peger på, at processen har været tung for dem netop pga. organisationens størrelse (II). De nævner bl.a. ressourcer som et problem, og en enkelt stiller spørgsmålstegn ved relevansen af DS 484 for en lille organisation.
De, der ser positivt på processen, taler bl.a. om, at der har været stor lydhørhed og ledelsesopbakning i organisationen, og at processen har været velorganiseret.
Af de organisationer, der havde været i gang tidligere (med 2000-versionen af DS 484), udtaler 2 (O, X), at det var nemt at komme op på den nye version. Der var ikke tale om noget kvantespring med den nye standard, og det store arbejde var lavet. Andre 2 oplevede versionsændringen som irriterende (P) og besværligt (Q). Værktøjsmæssigt var det problematisk at skulle skifte over til den nye version midt i forløbet pga. tekniske konverteringsproblemer.
Hvad vurderer du som det væsentligste udbytte ved implementeringen? (spm. 1.5)
| Svar | I | II | III |
|---|---|---|---|
| Bevidsthed, erkendelse, forståelse, holdninger, opmærksomhed | Forbedring af sikkerhed, Sikkerhed tænkes ind i processer, Metodik, Struktur i sikkerhedsbeslutninger, Formaliseret procedure |
Skub i nogle beslutninger Ledelsesforankring og -fokus |
|
| Antal | A, B, D, H, I, K, L, M, O, P, S, T | B, C, F, E, H, I, K, N, Q, R, T | F, G, H, M, P, V |
Tabel 3 - Udbytte ved implementeringen
Svarene på dette spørgsmål falder også her i 3 kategorier. I 5 tilfælde svarer interviewpersonen med både svar I og II. Den øgede forståelse, erkendelse og opmærksomhed går i disse tilfælde hånd i hånd med det forbedrede, strukturerede sikkerhedsarbejde og dermed sikkerhedsniveauet.
Det er også værd at bemærke, at relativt mange har oplevet ledelsesforankringen som det væsentligste udbytte.
Selve standarden DS 484 får nogle ord med på vejen som en løftestang:
En (U) siger:
”Med 484 er det meget nemt at kommunikere med leverandørerne. Og ingen tilbudsgivere spørger: Hvorfor har I skrevet det?”
En anden (N) udtaler:
”Hvis der ikke var en 484 (…) ville jeg have været på Herrens mark og ville ikke være kommet så langt omkring, jeg ville ikke selv kunne proppe de relevante ting ind (…) 484 altså krumtappen i vores arbejde”
Og en tredje (Q):
”Og vi fik nogle tanker, som vi ikke havde fået uden 484”
En nævner, at standarden bruges som international reference.
Som et virksomt middel til at få sat skub i tingene i forhold til ledelsens fokus og erkendelsesprocessen nævnes IT- og Telestyrelsens benchmark-undersøgelse (V):
”Da vi fik benchmark fra IT- og Telestyrelsen, så fik vi øjnene op.”
Hvordan opleves det at skulle efterleve et normativt grundlag? (spm. 1.6)
| Svar | I | II | III | IV |
|---|---|---|---|---|
| Mere arbejde | For interviewperson: OK For organisationen: Svært |
Dagligdag ikke sværere Ingen forandring Ingen problemer |
Fint, god sikkerhedsmæssig skik, Fantastisk værktøj, Redskab, værktøj, hjælp |
|
| Antal | A, G, N, S | J, L, M, O, Q | B, C, F, H, K, P, U | E, R, T, V |
Tabel 4 - At efterleve et normativt grundlag
Hovedparten af de interviewede udtrykker, at det ikke er anderledes end normalt at arbejde med DS 484 (III). Man er vant til at være underlagt regelsæt:
”Vi har (…) en række direktiver, som vi i forvejen skal efterleve”
Nogle er eksplicit positive og betragter DS 484 som et nyttigt værktøj (IV).
3 ud af de 4, der udtaler, at det har givet mere arbejde (I), repræsenterer mindre organisationer.
Svarkategori II udgør dem, der på egne vegne er positive, samtidig med at de giver udtryk for, at det har været svært for organisationen at acceptere.
En (J) udtrykker det sådan:
”(…) opfattes som en bureaukratisk belastning, men er det ikke i virkeligheden”
En repræsentant (M) for en af de mindre organisationer siger:
”Det er nok svært især at acceptere kravet, at man skal (…) Men der er også meget godt i 484, gode råd. Godt, at man ikke selv skal opfinde…”
En anden (O) peger på, at
”Det har været lidt svært at få dem til at rette ind i forhold til en standard. Derfor kræver det ledelsesansvar”
Ud af de 5, der svarer II, har de 4 rollen som projektleder og den sidste rollen som projektdeltager. I de øvrige svarkategorier er rollefordelingen mere diffus.
Hvordan blev projektet ”solgt” internt? (spm. 2.2)
| Svar | I | II | III |
|---|---|---|---|
| Ej solgt | Ej solgt – ej nødvendigt:
|
|
|
| Antal | C, D, E, G, I, O, P, V | B, K, L, M, N, Q, U | A, F, H, J, R, T |
Tabel 5 - Internt salg af projekt
I 15 af organisationerne er projektet ikke blevet ”solgt” (I+II), heraf henviser ca. halvdelen til, at projektet var obligatorisk (II). Disse nævner Økonomiudvalgets beslutning, benchmark og rigsrevisionen som løftestænger for projektet.
Som en (Q) udtrykker det:
”Først da det blev et krav, gik det nemmere med at få direktionens opmærksomhed.”
Heroverfor står 6 af organisationerne, der - måske ikke helt fra starten men undervejs - bevidst har anvendt forskellige former for information, formidling og kommunikation i projektet (III). Det er værd at bemærke, at 4 ud af disse 6 hører hjemme i forsknings-, uddannelses- og kulturverdenen.
Hvordan har ledelsen udvist deres ejerskab og ansvar? (spm. 2.3)
| Svar | I | II | III | IV |
|---|---|---|---|---|
| Underskrift/ godkendelse (breve, sikkerheds-politik, skriftlige oplæg) |
Mere af navn end af gavn. Manglende indsigt, forståelse for opgaven. Set som et it-projekt |
Højt forankret | I høj grad | |
| Antal | A, C, P, Q, | D, E, G, L, M, T, V | B, K, L, O | F, H, I, J, N, R, S, U, X |
Tabel 6 - Ledelsens ejerskab og ansvar
En enkelt udtaler uforbeholdent, at ledelsesopbakningen har fungeret:
”Ledelsen har bakket mig op i forhold til at gennemføre ting, hvor medarbejderne ikke har kunnet leve med det. Her har ledelsen jo efterlevet sit ejerskab og bakket op” (S)
Flere peger på, at Rigsrevisionens besøg har været en motiverende faktor for ledelsen:
”Det er (…) motiverende, at Rigsrevisionen kommer og giver signal om vigtighed.” (H)
”Rigsrevisionen kritiserede direktionsengagementet, og det har klart hjulpet” (T)
Andre nævner benchmark-undersøgelsen som en øjenåbner hos ledelsen:
”Vores første benchmarkresultat (…) Målet var, at det skulle implementeres, og det så ikke så godt ud i ledelsesforankringen. Det røde lys blinkede, og så tog ledelsen ansvaret.” (M)
”Da vi fik benchmark fra IT- og Telestyrelsen, så fik vi øjnene op.” (V, jf. tidligere)
Har ledelsen erkendt sin rolle? (spm. 2.3.1)
På spørgsmålet om, hvorvidt ledelsen har erkendt sin rolle (spm. 2.3.1), svarer 6 ja, mens resten ikke svarer eksplicit.
Har nødvendige beføjelser og ressourcer fulgt med ansvar? (spm. 2.3.2)
| Svar | I | II |
|---|---|---|
| Nej, ingen ekstra ressourcer | Ja Ja, dedikeret stilling Ja, ekstern hjælp |
|
| Antal | A, E, H, J, P, T, U, V | B, C, D, F, G, I, K, L, M, O, R, S |
Tabel 7 - Beføjelser og ressourcer
Der er ikke mange, som svarer specifikt på spørgsmålet om beføjelser – de fleste svarer øjensynligt på ressourcedelen af spørgsmålet. En enkelt (S) nævner dog, at det havde været nemmere, hvis personaleansvaret også havde fulgt med; en anden (T) siger, at mandatet var ok.
Som det fremgår af tabellen, er der en lille overvægt af dem, der svarer, at de har fået de nødvendige ressourcer.
Modsat hvad man måske kunne forvente, fordeler de mindre organisationer sig nogenlunde ligeligt i de to svarkategorier.
13 af organisationerne nævner, at de har benyttet ekstern konsulentbistand i dele af forløbet. Det er værd at lægge mærke til, at der kun er 3 mindre organisationer (C, M, S) blandt disse 13.
Hvor har projektejerskabet og projektet organisatorisk været placeret? (spm. 2.4)
Svarene på spørgsmålet er ikke entydige. Det ser ud til, at nogle blander projektejerskab, og –ledelse, også hvor det ikke er en og samme person, der varetager de to roller. Det lader også til, at nogle opfatter den organisatoriske placering som værende identisk med et spørgsmål om, hvor selve arbejdet blev udført.
Når der tages højde for det, kan det konstateres, at flertallet af organisationerne (ca. 14) har haft projektet placeret eller har udført det i it-afdelingens regi. Dertil kommer, at 17 af de 26 interviewpersoner har eksplicit tilknytning til it, jf. tidligere.
Projektet tenderer med andre ord til at blive placeret og/eller udført i its regi.
De – i alt 6 - der direkte udtaler sig om betydningen af projektets placering, siger enten, at det ikke skulle have ligget i it’s regi, eller at det var positivt, at det ikke blev et it-projekt.
”(…) projektlederen skulle ikke have været it-chefen, for så bliver det for meget it. Det skal være it for forretningens skyld.” (A)
Positivt, at ”det ikke (er) havnet som et it-projekt.” (B)
En organisation (D), hvor projektet tidligere reelt havde været forankret hos it-driftschefen, som ”(…)prioriterede driften”, har oplevet en fordel ved at projektet blev flyttet ud af it:
”(…)fordel, at (…) kom ind, (…) var udenfor – ikke en it-mand. Det var en bedre model (…)
Vi har fået styr på det nu, vi har planer, og det skrider fremad. Er nok fordi jeg ikke er it-mand, men har (…) gode erfaringer med fortolkninger.”
I en anden organisation (N) har projektet organisatorisk ”haft sin egen eksistens”:
”Denne opgave kræver engagement og interesse, så det har haft betydning, at vi har kunnet sammensætte gruppen og ikke været bundet af et eksisterende kontor. Fordel at kunne se på det som noget tværfagligt. Vi ser det lidt udefra og lettere at anskue det som informationssikkerhed og ikke kun it – altså de mere abstrakte ting – vi sidder ude i forretningen og er ikke knyttet til de fx daglige tekniske ting.”
En anden organisation (S):
”For meget it-relateret og lidt sværere at komme igennem for hele organisationen og ikke kun i it. Det har været svært med nogle af tingene. Måske bedre at placere det hos samarbejdsudvalget, så de kunne følge med løbende. Det ville være mere effektivt.”
En it-chef med en utraditionel baggrund udtaler (T):
”Man finder det logisk, at det har ligget hos mig i it. Det er vigtigt, at jeg er inde over forretningsområderne og har gode kontakter. Der må ikke være barrierer mellem forretningen og it. Jeg er (…), og det gør det lettere at blive accepteret i miljøet. Det er værdifuldt.”
Det sidste udsagn kunne tyde på, at det er irrelevant om projektet ligger i it’s regi eller ej, men at det er den forretningsrelaterede tilgang, der er det afgørende. Eller med andre ord: Det er muligt at undgå, at det bliver et rent ’it-projekt’, også selv om det er placeret i it-afdelingen.
Blev der gennemført en foranalyse forud for selve projektet til at bedømme opgaven og vurdere omfanget i tid og ressourcer? (spm. 2.5)
Flertallet af organisationer – i alt 14 - svarer: Nej.
Det er påfaldende, at flere af dem, der svarer ja, henviser til gap analyser, handlingsplaner og benchmark. En enkelt henviser til ”en fin kravspecifikation”.
Det giver alt i alt et indtryk af, at man ikke er helt bekendt med begrebet foranalyse, med formålet med en sådan analyse og heller ikke med at gennemføre en.
Fandtes der sikkerhedsstrategier og -politikker i forvejen? (spm. 3.1)
| Svar | I | II | III |
|---|---|---|---|
| Nej | Ja | Delvis | |
| Antal | C, D, H, K, P, S, U | I, J, L, N, R, V | A, B, E, F, G, M, O, Q, T, X |
Tabel 8 - Sikkerhedsstrategier og -politikker
Langt hovedparten af organisationerne havde ikke eller havde kun delvis sikkerhedsstrategier og -politikker på forhånd. ’Delvis’ dækker over, at man havde en sikkerhedshåndbog eller en gammel it- politik, men ingen sikkerhedspolitik, eller at man havde nogle forældede, ikke gennemarbejdede dokumenter.
De, der svarer ja på spørgsmålet, er i klart mindretal. Samtidig kan det konstateres, at der ikke er nogen af de mindre organisationer iblandt ja-sigerne, dvs. de mindre organisationer svarer ’nej’ eller ’delvis’ og har dermed ikke haft opdaterede sikkerhedsstrategier og -politikker at tage udgangspunkt i.
Hvordan er arbejdet med udarbejdelsen/opdateringen af disse blevet gennemført? (spm. 3.2)
Hvem har deltaget? (spm.3.3)
| Svar | I | II | III |
|---|---|---|---|
| Startede fra scratch og/eller Stor opgave |
Projektleder og få andre | Ekstern konsulentbistand | |
| Antal | H, I, J, L, N, O, P | C, F, G, I, J, M, T, P, U | I, P, Q, U, X |
Tabel 9 - Udarbejdelse og opdatering af strategi og politik
Mange svarer, dels at man startede fra scratch – også dem, der havde noget i forvejen - og/eller at det var en stor opgave, dels at projektlederen har trukket et stort læs med skrivearbejdet enten helt alene eller i samarbejde med få andre. I denne sammenhæng har nogle desuden benyttet sig af ekstern konsulentbistand. Ingen af de mindre organisationer nævner i deres svar, at de har anvendt ekstern hjælp, jf. tabel 7.
En projektleder har oplevet det sådan:
”Jeg har været ’lonely rider’ og min chef” (O)
En projektdeltagers situation beskrives på denne måde:
”(…) kørt meget som enmandsopgave” (M) / ”enmandshær” (A)
Det påfaldende er, at de samstemmende udtalelser dels kommer fra to meget forskellige organisationer, dels fra to personer der både organisatorisk og projektmæssigt er vidt forskelligt placeret.
På spørgsmålet om, hvorvidt processen med udarbejdelsen/opdateringen har ført andet med sig (spm. 3.4), henviser 4 til bedre it-processer:
En (F) nævner ansvarsplacering i forbindelse med afklaring om fx ændringsstyring og vigtigheden af at få styr på backupkoncepter.
En anden (S) siger:
”Et helt afsnit handler om it, men vi valgte ofte at tage skridtet fuldt ud – ITIL”
En (T) udtaler:
”Systematik og en større forståelse for, at vi skal behandle digitale informationer systematisk – ITIL”
ITIL og CMDB[4] nævnes af en fjerde (under spm. 6.2) som et redskab til at skabe overblik over informationsaktiver (X).
Der er ikke et entydigt mønster i svarene på, hvilke organisationsenheder der har deltaget i projektarbejdet (spm. 4.1). 6 svarer ikke direkte på spørgsmålet. Af dem, der svarer, nævner 8 it-afdelingen. En enkelt af de større organisationer nævner, at også HR, Økonomi og Jura har været involveret, mens en af de mindre organisationer omtaler SU.
Fik projektdeltagerne allokeret den fornødne tid til at deltage i projektet? (spm.4.2)
| Svar | I | II | III |
|---|---|---|---|
| Nej | Ja | Intet svar | |
| Antal | A, E, H, I, J, L, O, P, S T, V, X | D, F, N, Q | B, C, G, K, M, R, U |
Tabel 10 - Projektdeltagerne til projektet
Hovedparten af de interviewede mener ikke, at der blev allokeret den fornødne tid til projektdeltagerne, 4 af dem er mindre organisationer. Blandt dem, der ikke svarer på spørgsmålet, er der meget naturligt et sammenfald med dem, der i store træk har kørt projektet alene, jf. tabel 9.
Blev der oprettet en informationssikkerhedsorganisation i forbindelse med implementeringen, eller fandtes en sådan i forvejen? (spm. 4.3)
| Svar | I | II | III |
|---|---|---|---|
| Nej | Ja – Blev oprettet | Fandtes i forvejen | |
| Antal | C, G, S, U | A, B, D, E, H, I, M, N, Q, R, T, X | F, J, K, L, O |
Tabel 11 - Informationssikkerhedsorganisation
I langt de fleste af organisationerne blev der oprettet en informationssikkerhedsorganisation i forbindelse med implementeringen (II). Det er typisk i de større organisationer, at der fandtes en i forvejen (III), mens flere af de mindre organisationer ikke havde en sikkerhedsorganisation formentlig hverken før eller efter projektet (I).
Hvilke arbejdsmetoder blev anvendt? (spm. 5.1)
| Svar | I | II |
|---|---|---|
| Intet svar eller svar: ”Ingen” | Projekt- og arbejdsgrupper, workshops med undervisning og hands on, møder i implementeringsudvalg, skabeloner, informationsmøder, vejledninger | |
| Antal | D, E, G, J, K, U, V | F, H, I, J, L, O, Q |
Tabel 12 - Arbejdsmetoder
Ca. 1/3 svarer enten ikke på spørgsmålet om, hvilke arbejdsmetoder der er anvendt, eller de nævner, at der ikke er brugt nogle specifikke metoder.
7 organisationer har tilsyneladende haft en mere struktureret tilgang og nævner bl.a.: Projekt- og arbejdsgrupper, workshops med undervisning og hands on, møder i implementeringsudvalg, skabeloner, informationsmøder, vejledninger. Det er bemærkelsesværdigt, at 5 af de 7 organisationer har deres rod i forsknings-, uddannelses- og kulturverdenen, ligesom de må siges at være vant til en projektorienteret arbejdskultur.
4 organisationer nævner, at de har brugt et egentlig værktøj (M, P, Q, R). Det kan ikke i sig selv siges at have været løftestang for implementeringen, tværtimod nævner en, at der var tekniske konverteringsproblemer i forbindelse med versionsskiftet (fra DS 484:2000 til DS 484:2005, jf. også tidligere), og en anden, at man er på udkig efter et andet værktøj (R).
Har ændringer af it-systemer eller arbejdsprocesser været nødvendige? (spm. 5.2)
| Svar | I | II | III | IV |
|---|---|---|---|---|
| Nej | Arbejdsprocesser ændret – lidt |
Arbejdsprocesser ændret - en del/meget |
It-systemer | |
| Antal | D, G, O | E, F, I, J, M, N, Q | A, B, K, S, U, X, T | I, P, T, U |
Tabel 13 - Ændringer af it-systemer eller arbejdsprocesser
14 af de interviewede svarer, at implementeringen af DS 484 har medført ændrede arbejdsprocesser. De fordeler sig nogenlunde ligeligt på, om der har været tale om enkelte (II) eller større ændringer (III).
De interviewede nævner følgende områder, der har været genstand for ændringer:
Langt hovedparten af ændringerne omfatter arbejdsprocesser og –procedurer, evt. i kombination med en ændring af et it-system (fx pauseskærmen, jf. ovenfor).
De 4, der decideret omtaler ændringer i et it-system, nævner alle kravet om systematisk logning – at det har skullet understøttes it-mæssigt.
Hvor meget tid/ressourcer har implementeringen af DS 484 taget? (spm. 5.3)
| Svar | I | II | III | IV |
|---|---|---|---|---|
| ½-1½ årsværk | 2-2½ årsværk | 3 årsværk | 6-7 årsværk | |
| Antal | G, K, M, O, T | C, F, N, S | A, H, I, L | J, Q |
Tabel 14 - Ressourcer til implementeringen
Halvdelen af de mindre organisationer (i alt 3) falder inden for svarkategori I. De har brugt 1-1½ år på implementeringen. 2 af organisationerne svarer mellem 6 og 7 årsværk. Det er ikke ensbetydende med, at der antalsmæssigt har været afsat mange ressourcer, blot at de 2 organisationer hører til dem, der har været i gang længe, dvs. før 2005.
Har det været nødvendigt at gå på kompromis i processen undervejs? (spm. 5.4)
| Svar | I | II |
|---|---|---|
| Nej | Ja | |
| Antal | A, B, C, K, L, R | D, E, F, G, H, I, J, M, N, O, P, Q, S, T |
Tabel 15 - Kompromis i processen
Majoriteten af de interviewede angiver, at det har været nødvendigt at gå på kompromis undervejs (II). I denne svarkategori ligger også de fleste af de mindre organisationer.
En repræsentant for en af de mindre organisationer (M) siger således:
”Jeg prøver at vurdere, hvilke krav der er ultimative, og hvor vi kan vælge (…) Grundlæggende har vi, der kender standarden, hele tiden følt, at det er skudt over målet i forhold til vores organisation.”
De udfordringer, der hyppigst peges på som anledning til kompromisserne, er
Herudover peger et par stykker (C, P) på udfordringerne i forbindelse med outsourcing:
”(…)system med ekstern leverandør er på vores netværk og er blevet taget med i vores system. Her kan der være ting, vi ikke kan leve op til i forhold til standarden, fx eksternes adgang og fysiske adgang.” (C)
”Jeg har brugt meget tid på outsourcing. Hvordan kan man følge op på sine outsourcingpartnere? Man skal følge op, men det er ikke nemt. Forslag: revisionserklæringer – og det er svært at få – trods kontrakt om det (…) det er en lang og sej kamp. Den slags situationer bliver til kompromisser (…) mange steder, fordi man ikke ved, hvor langt man kan/skal gå.” (P)
Fandtes der en opdateret oversigt over informationsaktiver og informationsejere forud for implementeringen? (spm. 6.1)
| Svar | I | II |
|---|---|---|
| Nej | Ja | |
| Antal | B, C, D, E, F, H, I, J, K, P, Q, T | A, G, L, M, N, O, R, S |
Tabel 16 - Oversigt over informationsaktiver
Det fremgår af svarene, at langt hovedparten af organisationerne startede implementeringen fra bunden af, dvs. man havde ikke en oversigt over informationsaktiver at tage udgangspunkt i.
Af de 8, der svarer ja, nævner de 5, at oversigten udelukkende omfattede it systemer.
Det generelle indtryk er, at de, der havde en oversigt på forhånd, ikke nødvendigvis også havde udpeget informationsejere eller i øvrigt brugte oversigten aktivt. Følgende udtalelse forekommer at være dækkende for tingenes tilstand inden implementeringen:
”Der var en oversigt (…) den var ikke systematisk og ikke implementeret. Der manglede ting, og der var ingen klassifikation. Den bestod oprindeligt kun af it-systemer” (S)
Hvordan er overblikket over informationsaktiver blevet skabt? (spm. 6.2)
4 af organisationerne har anvendt følgende fremgangsmåde:
Derudover er det lidt spredt, hvordan oversigten er blevet til:
Nogle har haft stor værdi ud af at få afdækket informationsaktiverne:
”(…) der findes skuffesystemer, som vi brugte, og det var hvad som helst (…) som var væsentligt, men kendtes ikke af it (…) nogle fik aha-oplevelser. Måske kom der yderligere 50% systemer frem i lyset” (L)
”Der dukkede også ting op, som vi intet anede om. Hele området med de analoge data var mere omfangsrigt, end vi vidste. Det er vores store udfordring.” (T)
”Alt har været gennemgået. Vi har tænkt og arbejdet i processer, men alligevel teknikfokuseret.” (J)
Hvilke former for informationsaktiver inkluderer oversigten, fx it-bårne, fysiske, medarbejdere, kontorer, beredskabsplaner? (spm. 6.3)
| Svar | I | II |
|---|---|---|
| Alt | It-systemer | |
| Antal | A, B, E, I, J, M, N, S, T | D, F, G, H, O, P, Q, X |
Tabel 17 - Typer af informationsaktiver inkluderet i oversigten
Svarene fordeler sig ligeligt mellem dem, der har udarbejdet en oversigt dækkende ’det hele’, og dem, der har en oversigt udelukkende over it-aktiver. Det er bemærkelsesværdigt, at der er en lille overvægt af de mindre organisationer, som har valgt at udarbejde en altomfattende oversigt (I).
Hvordan er placeringen af ejerskabet foregået? (spm. 6.4)
| Svar | I | II |
|---|---|---|
| Ejerskab hos it | Ejerskab uden for it | |
| Antal | G, O, T, X (system) | J, M, N, P, Q, X (data) |
Tabel 18 - Placeringen af ejerskab
En hel del har fået ejerskabet placeret ’ude’ i organisationen, typisk på kontorchef- eller afdelingschef-niveau.
Flere giver udtryk for, at det umiddelbart har været vanskeligt at arbejde med ejerskabsbegrebet. Det har været svært at forstå, hvad ejerskabet indebar, og dermed har processen med placeringen af ejerskabet også været tung:
”På det semantiske niveau har vi haft problemer – forklaringsproblemer, forståelsesproblemer. (…) Indimellem har det været vanskeligt at få ejerskabet på plads – rent umiddelbart – men ikke, når man taler med folk.” (C )
”Jeg har samlet sammen og kategoriseret ejerskaber, men det blev for kompliceret, i stedet vigtigt at spørge: Hvem har ansvaret?” (D)
”Det har givet anledning til en række diskussioner” (J)
”Det var lidt af en kamp at få systemejerskaberne på plads. Navne (…) fungerer ikke, men funktionerne (…) det fungerer godt.” (L)
”Systemejerne forstår ikke altid, hvad systemejerskabet indebærer. Nogle har fået sig noget af en overraskelse.” (R)
Men der er også nogle, der har været igennem en noget nemmere proces:
”Der har været få sværdslag. 90% var oplagte ejerskaber.” (E)
”Der var udpeget system- og dataejere, både af navn og af gavn. Nej (det har ikke været vanskeligt, red.)” (F)
”Vi havde systemejerskab (…) der var styr på ejerskab i forvejen” (P)
”Det fysiske var naturligt, og folk forstod dataejerskabsbegrebet med det samme. Systemejerskab forstod de ikke helt.” (T)
Efterleves ansvaret som informationsejer i dag? (spm. 6.5)
| Svar | I | II | III |
|---|---|---|---|
| Ja | Ikke endnu Ikke forstået Forståelse på vej Delvis |
Nej | |
| Antal | B, D, E, I, K, L, P, Q, R, T, U | C, J, M, N, S, X | G, H, O |
Tabel 19 - Ansvaret som informationsejer
Det er bemærkelsesværdigt, at så mange svarer utvetydigt ja på spørgsmålet om, hvorvidt ansvaret som ejer efterleves (I). Ligesom rigtig mange er på vej (II). Kun 3 svarer entydigt nej.
2 af dem, der ligger i svarkategori I, nævner risikovurderingen/-analysen som et middel til erkendelse og efterlevelse af ansvaret:
”Dem der har fået lavet risikovurdering er bekendte med deres ejerskab” (Q)
”Ja, det blev meget synligt, da vi lavede risikoanalysen. Ejerne skulle jo udføre en konsekvensanalyse.” (R)
Flere i svarkategori II peger på, at den fulde forståelse og bevidsthed ikke er helt på plads, men at den er undervejs:
”Ja, det mener jeg. Det er under opbygning. Forståelsen er på vej.” (J)
”Det tror jeg. Vi har en sikkerhedshåndbog, men jeg er ikke sikker på, om ejerne er fuldt bevidste om indholdet.” (S)
Følgende citat udtrykker holdningen hos dem i svarkategori III:
”Ejerskab skal ikke blot stå på papiret, der skal handling bag, og det kniber. Der er kulturelle barrierer og manglende forståelse for, at der skal ændringer til.” (O)
Med hvilken tilgang og metode er risikoanalysen foretaget? (spm. 7.1 og 7.3)
| Svar | I | II | III | IV |
|---|---|---|---|---|
| Forretningsmæssigt udgangspunkt/Ejer- og brugertilgang | Simpel og pragmatisk tilgang / hjemmelavet model |
Brug af standard it-værktøj til arbejdet med informationssikkerhed | Udgangspunkt i ’fortrolighed’ ’integritet’ ’tilgængelighed’ |
|
| Antal | B, G, J, M, N, O, X | C, E, G, H, I, K, M, O, R | (H), P, Q, T | B, F |
Tabel 20 - Metode til risikoanalyse
Det er tankevækkende, at så mange giver udtryk for, at de har haft en forretningsmæssig tilgang til risikoanalysen (I), og at rigtig mange fortæller, at de er gået pragmatisk til værks med udgangspunkt i en egenudviklet model (II). Der er visse gengangere i de to svarkategorier.
Flere (H, I, M, T) ytrer, at processen ikke var nem til en start. Blandt disse er der 2, som har taget udgangspunkt i værktøjets metode:
”(…) gået til opgaven ved at vælge en metode – (værktøj) har dog ikke virket. Så har vi søgt andre metoder. Men (…) for omfattende. (…) Vi har udviklet vores egen metode” (H)
”(…) vi ville bruge sikkerhedsportalen (…) for at vise vejen – den var meget besværlig. (…) Vi samlede de kritiske aktiver i bundter, og det blev samlet i et system (…) men det fungerer stadig ikke optimalt. Vi har derfor printet ud fra portalen. (…) (værktøj) er stadig ikke nem som metode” (T)
De, der typisk har deltaget i risikoanalysen, er system- og dataejerne (A, B, C, H, I, N, P, S), hvilket harmonerer med den forretningsmæssige tilgang. Flere har desuden benyttet sig af ekstern konsulenthjælp (F, I, M, P, X), og i 4 tilfælde har man involveret chefer (A, G, M, O).
Har det været vanskeligt at udføre cost-benefit vurderinger? (spm. 7.4)
| Svar | I | II | III |
|---|---|---|---|
| Der svares, men ikke på spørgsmålet | Ej udarbejdet C/B | Nej | |
| Antal | B, D, F, G, H, I, J, Q, R, S, T, X | C, D, E, G, H, L, M, O, Q | U |
Tabel 21 - Cost-benefit vurderinger
Svarene på dette spørgsmål forekommer ret diffuse. Kun en enkelt svarer direkte (III).
Resten svarer, men ikke på spørgsmålet, med udsagn som fx:
”Projektet lykkedes godt (…)” (B), ”Vi har intet endnu – og dog, vi har en masse procedurer…” (D), ”Nej, ikke endnu” (H), ”Ikke noget ekstraordinært” (F), ”Det har hos os ikke været så formelt (…) vi har alt på papir og kan godt tåle at gå ned” (G)
Det er påfaldende, at flere af de interviewede svarer, som om der blev spurgt om risikovurderinger og ikke om cost-benefit vurderinger (G, R, T, X).
Det giver en fornemmelse af, at forståelsen af begrebet cost-benefit vurdering er uklar - samme indtryk som svarene på spørgsmålet om foranalyse (spm. 2.5) giver.
Mange har tydeligvis ikke udarbejdet cost-benefit vurderinger (II).
Har risikoanalysen medført justeringer af sikkerhedsstrategien og virksomhedens risikovillighed? (spm. 7.5)
| Svar | I | II | III |
|---|---|---|---|
| Nej | Mangler afklaring og konklusion/ikke på niveau endnu | Ja | |
| Antal | E, P, T, U, X | F, G, H, I, J | B, M, R, S |
Tabel 22 - Justeringer af sikkerhedsstrategien og risikovillighed
De, der er kommet helt i mål med risikoanalysen (III), peger på nogle ret håndgribelige udbytter:
”(…) risikoforhold har været udløsende for de penge, der har været anvendt. Risikobeskrivelsen har udløst midler. Pengene følger med.” (B)
”(…) har fået nyt brugerstyringssystem, som gør brugerne unikke.” (M)
”Vi har også valgt at efterleve de skærpede krav, fordi med de data, vi håndterer, kan vi ikke nøjes med at håndtere de basale krav” (R)
”Vi fandt fx en dublering af et system, som fik backup, men hvor backup af andre systemer, som var mere kritiske, nu har fået højere prioritet (…) Vi købte ekstra backup-udstyr for at nå vores mål om at genskabe systemer (…) Vi blev opmærksomme på integritet af data, fx i vores økonomisystem, noget vi ikke kunne forstå, her forstod vi pludselig nogle data. Så vi laver nu flere løbende kontroltjek i systemerne for at dokumentere.” (S)
Mens de, der mangler afklaring og konklusion (II), forekommer mere desillusionerede:
”Der er risiko for sletning af data, men mangler afklaring” (F)
”Der mangler konklusion på risikovurderingsområdet. Altså en rapport, der viser, hvad der kom ud af denne gennemgang, og hvad vi vil prioritere. Bør afspejles i it-strategien (…) har ikke konkluderet og skabt sammenhæng til fx strategi” (I)
Fandtes der beredskabsplaner forud for projektet? (spm. 7.6)
| Svar | I | II | III | IV |
|---|---|---|---|---|
| Nej | Delvis: Spredt i organisationen – ikke koordineret | Ja: Non-it Brand og tyveri Forretnings-processer |
Ja: It | |
| Antal | A, B, C, D, F, G, I, L, O, S, T, X | E, J, K | H, M, P, R | Q |
Tabel 23 - Beredskabsplaner forud for projektet
Som det fremgår, har langt hovedparten af organisationerne stået på bar bund i forbindelse med beredskabsplanlægningen.
Hvilken betydning har risikoanalysearbejdet og resultatet haft på nye eller reviderede beredskabsplaner? (spm. 7.7)
| Svar | I | II | III |
|---|---|---|---|
| Beredskabsplaner er nu på plads | Beredskabsplaner endnu ikke helt udtømmende / arbejdet er stadig i gang | Stadig ingen beredskabsplaner | |
| Antal | L, O, P, T | A, B, E, F, H, I, J, K, M, S, X | C, D, G, R |
Tabel 24 - Nye eller reviderede beredskabsplaner
Det ses af svarene, at de fleste stadig er i gang med beredskabsplanlægningen.
Hermed et udpluk af sigende citater, der er karakteristiske for svarene i de 3 kategorier:
Svarkategori I:
”(…) en egentlig beredskabsplan eksisterede ikke i forvejen, dækkende alt, det har vi nu via DS 484, og den dækker hele pibetøjet” (T)
Svarkategori II:
”Vi er ikke helt med på beredskabsniveau endnu. Beredskabsplaner er det, vi er mindst parate med. Vi har dog gode nødprocedurer” (A)
”Beredskabsplaner for det daglige eksisterer også i beredskabsplanen, hvor man ved, hvem der gør hvad. (Der er) mangler i beredskabsplan (B)”
”Delvis, meget forskelligt rundt om (…). Der arbejdes videre på det. Har været nedprioriteret” (E)
”Vi har en masse i forhold til brand og tyveri. Men i forhold til it-systemer, nej, ikke på den måde. Vi tror på, vi kan få dem op. DS 484 har dog medført, at vi tænker i beredskabsplaner, fx køling ved nye servere” (H)
”Af det, vi mangler, halter det bl.a. med beredskab” (M)
”Vores svage punkt er beredskabsstyring. Også et organisatorisk problem at få forståelse for det (…) har selv skrevet på 95 % af en beredskabsplan. Den er strandet. Vi siger: Hvis vi kunne få ledelsens commitment med, så var vi færdige” (S)
Svarkategori III:
”(…) Grundlaget for at lave beredskabsplaner bliver dog bedre og bedre” (C)
”Nej, heller ikke for brand og vand. Disse procedurer er stadig et missing link (…) Det er svært, ikke?” (G)
Hvilke midler og metoder er der anvendt for at skabe awareness omkring informationssikkerhed? (spm. 8.1)
| Svar | I | II | III | IV | V |
|---|---|---|---|---|---|
| Intranet: vejledninger procedurer Fysisk materiale: Folder, musemåtte, pixi-bog, opslag, klistermærker |
Informations-møder Afd.-møder Kurser |
Kampagner Konkurrencer Quiz |
Orientering til nye medarbejdere | Ingen | |
| Antal | A, C, F, J, L, M, Q, R, S, X | A, D, H, I, L, O, R, T | B, J, M, P, Q | G, L, P, Q | E, K, N, U, V |
Tabel 25 - Midler og metoder anvendt til awareness
Det fremgår, at man generelt har anvendt en bred vifte af informations- og kommunikationskanaler i bestræbelserne på at skabe bevidsthed om informationssikkerhed. Og mange af organisationerne har benyttet flere forskellige midler.
Nogle af de interviewede indleder deres svar på spørgsmålet med udsagn som:
”(Vi er) ikke kommet til dette endnu” (C),”Vi har ikke grebet det an” (F), ”Vi har ikke gjort noget særligt” (G), ”Jeg tror, der udestår awareness-delen” (O)
Når de så uddyber svaret, viser det sig, at de alligevel har gjort meget. 3 af dem ligger endda i de mere formidlingstunge svarkategorier (I og II), mens blot 1 af dem holder sig til at orientere nye medarbejdere (svarkategori IV).
Umiddelbart virker det, som om denne gruppe undervurderer deres egen indsats.
Kun et mindretal har ikke fundet det nødvendigt at fokusere på at skabe bevidsthed om informationssikkerhed (V). De udtrykker, at de ikke har gjort noget specielt, og for deres vedkommende passer det. Nogle af dem siger, at der ikke var nogen grund til at øge bevidstheden om informationssikkerhed:
”(…) ingen grund til at lave reklame for det som sådan, det ville nok heller ikke have haft rigtig effekt” (K), ”De ved det godt i forvejen (…) Der er ikke behov for at fortælle igen, fordi folk er pligtopfyldende, og sådan er det bare, naturligvis skal vi gøre det” (U)
Mens andre antyder, at der måske burde være gjort noget, men som en af dem siger:
”Hvornår er nok nok?” (N)
Spørgsmålet om awareness-tiltag (spm. 8.1, tabel 25) hænger sammen med det tidligere spørgsmål om, hvordan projektet blev ”solgt” internt (spm. 2.2, tabel 5). Det handler i begge tilfælde om projektets interne markedsføring i kommunikativ og bevidstgørende forstand. Tidsmæssigt går spm. 2.2 på projektets forberedende fase, mens spm. 8.1 drejer sig om tiltagene undervejs i projektet. Det er derfor interessant at sammenligne svarene på de to spørgsmål.
Den gruppe, der ikke har haft fokus på at skabe bevidsthed undervejs i projektet (tabel 25, V), har heller ikke koncentreret sig om at ”sælge” projektet i starten (tabel 5, I-II). De, der har nedprioriteret formidling og kommunikation i løbet af projektet, har med andre ord også gjort det indledningsvis.
Det omvendte er derimod ikke tilfældet, tværtimod. I betragtning af, at hele 15 organisationer ikke ”solgte” projektet til en start (tabel 5, I+II), er det bemærkelsesværdigt, hvor mange der undervejs har taget hånd om at skabe bevidsthed om informationssikkerhed (tabel 25, I+II+III+IV).
Flere af de interviewede påpeger, at der i forvejen i organisationen var en høj bevidsthed om sikkerhed (C, O, S, T, U). De siger fx:
”Jeg hører oftest: ”det gør vi jo” (i forvejen)” (O), ”Det fandtes i forvejen, men er nu strammet op via 484” (S), ”(Bevidstheden) er høj i forvejen (…) Men folk falder jo hen” (T), ”De ved det godt i forvejen” (U)
Men det har ikke afholdt dem fra at gøre noget for at skærpe opmærksomheden. Kun en enkelt af dem ligger i svarkategori V (tabel 25).
Ud over de informations- og kommunikationskanaler, som tabel 25 afspejler, nævner de interviewede en række redskaber, som de har brugt i bevidstgørelsesøjemed:
Et par stykker peger på, at det er svært at få ressourcer til opfølgende aktiviteter (H, X).
Hvordan har organisationen reageret? (spm. 8.2)
Det gennemgående svar på dette spørgsmål er, at organisationen finder de indførte foranstaltninger irriterende og besværlige, men at der er forståelse for nødvendigheden af dem.
Et par citater til illustration af dette:
”Adgangskoder skal fx skiftes i dag, og det føles besværligt og nogle brokker sig, men det er få” (K)
”(…) det er irriterende for folk, at de ikke lige kan bruge fx nogle programmer, men de forstår godt hvorfor (…)” (S)
”(…) rollen som lokal administrator (…) skulle fjernes. Medarbejderne oplever, at man ikke frit kan downloade programmer. Folk har dog haft forståelse for det.” (F)
”De fleste forstår det, og nogle synes, der er besværligt” (P)
”Der har været god forståelse for, at sikkerhed er vigtig” (R)
Ud over regler for skift af password og manglende mulighed for at downloade programmer, nævner nogle stykker også, at organisationen har oplevet indførelsen af spam-filter som en generende restriktion.
Et fåtal nævner, at der ingen forståelse har været:
”(…) Vil helst være fri. Mener ikke, det er så vigtigt og nødvendigt (…) Det er noget, vi skal leve med. Det er nok holdningen” (A)
”En restgruppe medarbejdere, som enten ikke kan eller vil, gav anledning til møder og ekstra information. Ledelsen har så banket i bordet: I SKAL. Alle er på plads nu, også de mest stridbare (…)” (M)
Men som nævnt er det generelle indtryk, at der er forståelse i organisationerne for sikkerhedsforanstaltningerne. Flere steder har medarbejdere ikke bare accepteret, men ligefrem indoptaget og adopteret sikkerhedsudfordringerne:
”Tog en runde hos folk, forklarede hvorfor dette og hint var interessant, altså: ’what’s in it for me’ – altså en pragmatisk vinkel. Det virkede absolut. Folk ved nu, hvordan de skal agere. Og de skulle forstå, at hvis ting ikke virkede, er det ledelsens problem. Der er absolut sket en holdningsændring hos folk. (…) Generelt er folk flinke til at indrapportere, så det har i den grad rykket” (I)
”(…) helt klart bedre accept. Man ved, det kommer ovenfra. Men det kommer os også til gavn og tjener os alle. Men det er en stor opgave at synliggøre fordelene” (J)
”Det er interessant, når medarbejdere spontant henvender sig til os. Her mærker vi, at de tænker i sikkerhed, at de er aware. Det får de ros for, og så bliver de glade” (M)
”Folk er utroligt fornuftige, og dagligt får jeg henvendelser om gode råd og sikker adfærd.” (S)
Kan man yderligere øge bevidstheden hos medarbejderne? (spm. 8.3)
Det er karakteristisk, at flere af de interviewede peger på eksemplets magt som et tungtvejende pædagogisk middel til bevidstgørelse om informationssikkerhed. Eksempler på hændelser fra dagligdagen, hvor sikkerheden kompromitteres, er noget, man kan forholde sig til:
”Awareness er jo også en løbende proces, fx ud fra hændelser, som (jeg) bruger som læring – uden at løfte pegefingeren.” (L)
”Eksempel på printjob, der ligger i alle udbakker. Det er læring. Jeg har vist eksempler med spam-post. Så forstår folk, hvorfor det er godt at have et filter.” (P)
”Den bedste awareness er at benytte dagligdagens sikkerhedsspørgsmål for at få øget fokus.” (R)
”Ja, via eksempler. Det er et stærkt medie” (S)
En peger dog også på risikoen ved at ’overinformere’:
”Man skal passe på med ikke at være ’på’ for tit, for så bliver det den med Peter og ulven.” (O)
Hvordan måles implementeringsgraden hos jer? (spm. 9.1)
De få, der svarer direkte på spørgsmålet, nævner dels Rigsrevisionens besøg dels IT- og Telestyrelsens benchmark.
Hvad skønner du den til at være p.t.? (spm. 9.2)
| Svar | I | II | III | IV | V | VI |
|---|---|---|---|---|---|---|
| < 50% | 50-55% | 70-75% | 80% | 90-95% | 97%-100% | |
| Antal | G | C, D | F, I, M, N | B, J, L, O, Q, R, T | K, P, S | U, X |
Tabel 26 - Skøn på implementeringsgrad
Over halvdelen af de 19, der svarer, vurderer, at deres implementeringsgrad ligger i intervallet 70-80% (III+IV). Det harmonerer godt med, at der er gjort en relativt stor indsats for at øge bevidstheden i organisationerne (tabel 25). Samtidig er det udtryk for en realistisk vurdering: Der er stadig et stykke vej, før man er helt i hus med implementeringen, jf. fx de manglende beredskabsplaner, tabel 24.
En enkelt takserer implementeringsgraden til at være 100% og tilføjer:
”I princippet kan man ikke måle den slags (…) men man kan sige, at vi efterlever den 100%. Jeg har dog ingen revisorpåtegning.” (U)
Hvordan vedligeholdes implementeringen? (spm. 9.3)
I 16 af de i alt 23 interview fremgår det, at man tænker i vedligeholdelse af implementeringen. 1 svarer, at man ikke er nået til det endnu, mens der i de resterende 6 interview ikke figurerer svar på spørgsmålet.
Ligesom med tiltagene for at øge bevidstheden (tabel 25) er der også her tale om et bredt spektrum af virkemidler for at holde implementeringen ved lige.
Flere (C, J, Q) nævner også, at de har planer om at afholde kampagner.
Har nogen vundet, eller har nogen tabt som følge af implementeringen af DS 484? (spm. 9.4)
| Svar | I | II | III | IV |
|---|---|---|---|---|
| Ulempe: Tungere processer Besværlige krav |
Ulempe: Mistet muligheder, frihed, fleksibilitet |
Fordel: Større bevidsthed |
Fordel: Sikkerhedsniveau højnet |
|
| Antal | A, B, I, L, M, O, Q, T, X | F, K, M, S, T | A, C, I, K, L, O | B, E, F, K, M, Q, S, T, X |
Tabel 27 - Gevinster og tab ved implementeringen
Svarene på dette spørgsmål fordeler sig i to typer ulemper (I+II) og to typer fordele (III+IV).
De interviewede peger både på ulemperne og på fordelene. Der er ingen tvivl om, at arbejdet med informationssikkerhed har haft sin pris, men ingen siger, at prisen har været for høj i forhold til udbyttet. Tværtimod tipper svarene klart over til fordel for den positive vægtskål.
9 af de interviewede giver eksplicit udtryk for, at alle har vundet (D, C, F, H, J, P, R, S, T). De siger fx:
”Der er tale om en win-win.” (C)
”Vi vinder. Alle vinder” (D)
”Virksomheden samlet set vinder, der er skabt overblik og sikkerhed i sidste ende” (F)
”(…) alle har vundet noget – især på awareness. Prisen: Vi er blevet bombarderet med en række krav. Det har været irriterende og besværligt.” (I)
”(Organisationen) som sådan har vundet. Vi kunne ikke se os selv om et par år uden denne systematik. (…) Med sikkerhed mister man måske noget fleksibilitet. Vi skærper og skærper.” (T)
”Alle (…) har vundet qua den statslige beslutning, som har givet ledelsesmæssigt fokus.” (R)
”Vi skulle gerne alle have vundet (…) Nogle mener, de har tabt, fordi de har mistet fleksibilitet. Men hovedparten synes, det er supergodt.” (S)
Som et eksempel på at sikkerhedsniveauet er højnet, nævner en (B), at driftsstabiliteten er blevet bedre, og at backup virker. Desuden omtales, at ITIL og informationssikkerhed går hånd i hånd.
Selve DS 484 standarden får også her et par ord med på vejen:
”Havde vi ikke haft standarden , ville vi nok have brugt en konsulent” (E)
”Jeg har vundet ved at have en manual. Ellers ville jeg have haft svært ved at vide, hvor jeg skulle starte og slutte. Godt at have det samlet et sted” (N)
”Man slap for at opfinde den dybe tallerken. Og leverandørerne vinder såmænd også (…) 484 er fantastisk, når man skal lave udbudsmateriale” (U)
Standarden kommenteres naturligt nok også ved de næste par spørgsmål.
Hvilke ændringer kan du foreslå til DS 484 standarden? (spm. 9.5)
Hvad savner du i DS 484 standarden? (spm. 9.5.1)
| Svar | I | II | III |
|---|---|---|---|
|
Savner:
|
Savner:
|
|
| Antal | A, B, D, F, K, N, Q | A, F, H, I, K, L, P, R, T, V, X | B, G, M, P, S |
Tabel 28 - Ændringer til DS 484-standarden
Det er et gennemgående træk, at man har oplevet DS 484 som svær at gå til. Man har arbejdet en hel del med selve teksten og har haft forståelses- og forklaringsproblemer (I).
Standardens terminologi og struktur er genstand for en hel del kommentarer:
”Den var svær at gå til, og vi skulle selv først forstå den. Tog derfor kapitel for kapitel (…)” (N)
”(…) oversættelsen er ikke heldig. Begrebet informationsaktiv er jo det engelske asset. Brugen af ordet informationsaktiv er en regnskabsterminologi, som slet ikke passer ind i vores sprogbrug. Det påfører os en opgave med megen formidling og forklaring.” (H)
”Den er velformuleret, men ikke let forståelig, Mange ord er næsten identiske, og det virker forvirrende og tager tid at læse og forstå. DS skal tænke på, at en række forskellige brugere skal kunne læse det. Det kan godt gøres meget enklere og mere let forståeligt. Fx opdeling i kapitler. Det er også svært at få det fulde overblik – prøv at sætte cand.mag.er i dansk eller kommunikationsfolk på (…) opdel den i faser, lav en køreplan. Det ville også hjælpe med eksempler.” (K)
”Der er en række uklarheder om terminologi, og vi har forsøgt at definere (…)” (Q)
”Vi har valgt at benytte os af udtrykket ’it’ og ikke ’informations…’, som forvirrer folk. Men vores bestemmelser er forankret i informationssikkerhed.” (R)
”(…) savne(de) et kort overblik over, hvad 484 gik ud på, formuleret i menneskesprog. Jeg efterlyser et resume eller et sammendrag (…) der skal menneskesprog på, så man reelt forstår fx truslen om risiko for tab af data.” (V)
I forlængelse af, at man har haft vanskeligt ved at forholde sig til teksten, og i det hele taget indledningsvis haft svært ved at spore sig ind på projektets omfang og indhold, giver mange udtryk for, at de har savnet hjælpeværktøjer i bred forstand (II). Man efterlyser fx konkrete, operationelle vejledninger, standard skabeloner og paradigmer. Man ville også gerne have haft praktiske køreplaner og eksempler til brug for projektet.
En udtrykker det sådan:
”Der mangler mere om persondataloven og konkrete anvisninger, ITIL, man skal selv finde værktøjerne – og der er ingen best practices og ingen links.” (L)
Flere af de mindre organisationer har følt standardens omfang som en belastning og kunne godt have tænkt sig, at den var fleksibel i forhold til størrelsen af organisationen:
”Det er svært. Der er mange krav. Måske færre krav (…) på nogle af de punkter, for små virksomheder, at pege på alternative muligheder (…) når man er en lille virksomhed” (G)
”(…) man oplever, den kører på store organisationer og ikke (er) indpasset min organisations størrelse.” (M)
”Den dækker for stor en vifte af typer af organisationer og størrelser. Det er svært at være en lille organisation. Den burde være mere nuanceret og den burde indeholde anbefalinger på baggrund af fx størrelsen af organisationen. (…) Og hvor lægger man niveauet, altså hvad er nok. Er nok det, vi kan magte – og er det nok?” (S)
En enkelt af de mindre organisationer omtaler dog standarden som:
”(…) et fantastisk værktøj. Jeg kunne gå til direktionen og samtidig beskrive, at det var et krav. Fik direkte accept og støtte. Har ikke oplevet det som en belastning. DS 484 passer godt til (organisationens) størrelse” (T)
Flere andre ytrer sig positivt om standarden, jf. også tidligere:
”Den har været god til at løfte noget” (B)
”(…) kan godt lide den. (Der er ) ikke behov for revision, den er rigtig god, fordi den er skrevet, som den er, og handler om det, den gør” (J)
En peger på en del mangler i standarden, bl.a. en klarere temaopdelt struktur, og giver udtryk for, at det havde været rart med en afgrænsning af beredskabsopgaven fx i form af et eksempel på en beredskabsplan. Men slutter alligevel af med at sige:
”Vi er glade for standarden. Den har gjort hverdagen nemmere.” (X)
Hvad er behovet fremover med hensyn til den fællesstatslige indsats inden for informationssikkerhed? (spm. 9.6)
Flere nævner, at gryden skal holdes i kog (H, C, Q), og at der ligger en udfordring i forbindelse med SLA (Service Level Agreement), hvor sikkerhed skal tænkes ind. Man foreslår også, at benchmark gentages (J, R).
Man ser frem til en central styring som en mulig løftestang og forventer sig mere standardisering på området i form af bl.a. fælles regelsæt og politikker, som kan genbruges (M, O), operationelle driftshåndbøger og skabeloner (P, T), en fælles opfattelse og forståelse af sikkerhedsbegrebet (O) og et fælles risikostyringsværktøj med opgørelse af aktiver og klassifikationer (L, O, R).
Nogle (N, X) nævner behovet for at inspirere hinanden og udveksle erfaringer, også om teknik.
[4] CMDB: Configuration Management DataBase. En hovedhjørnesten i ITIL. Holder styr på alle aktiver og deres indbyrdes relationer.
Denne side er kapitel 6 af 6 til publikationen "Erfaringer fra implementeringen af DS 484".
Version nr. 1.0 af 01-05-2009
© IT- og Telestyrelsen 2009