Brancheanalyse:

Alle veje fører til Rom…

06 november 2019

Ivan Sommer , Manager |

Ligesom Romerriget for et par tusinde år siden havde brolagte veje spredt ud over Europa, så vigtige informationer kunne føres tilbage til Rom, magtens centrum, sådan er der også mange analogier til nutidens informationssamfund.

Boligorganisationerne konsolideres og bliver til større og større enheder, samtidig med at boligmassen øges. Dette afføder naturligt flere lejere og flere informationer, der skal behandles og beskyttes.

Et stigende antal lejere hører til gruppen af udsatte borgere, og dermed sker der behandling af følsomme data i stort omfang. Det betyder opbevaring og behandling af følsomme oplysninger, der i de forkerte hænder kan bruges til formål, der absolut ikke er i boligorganisationens interesse. Og sikkerhedsbrud i kølvandet heraf kan blive ganske omkostningstungt og imageskadende.


Halvdelen af alle cyberangreb er forårsaget af medarbejderfejl

Konsolideringerne betyder selvfølgelig også flere medarbejdere i boligorganisationerne, selv om der sker en vis grad af rationalisering ved samme lejlighed. Med dette forhold taget i betragtning skal man være opmærksom på, at mere en 50 procent af alle cyberangreb eller brud på informationssikkerheden sker med en medarbejder involveret.

Denne involvering behøver ikke at være resultat af ond vilje, men kan blot være et resultat af en travl hverdag, hvor der ikke udvises den nødvendige skepsis over for fx links, vedhæftede filer i e-mails eller charmerende ”pårørende”, der lige skal have en uskyldig oplysning om en lejer eller et lejemål. Metoderne til at fiske informationer er mange og ofte kreative og dygtigt lavet.

Samtidig med konsolideringen af organisationer sker der en digitalisering og automatisering af flere funktioner, hvor lejeren kan servicere sig selv 24/7, uden at organisationen skal stille en ressource til rådighed. En del af disse digitaliserede funktioner varetages måske af en samarbejdspartner eller er mere eller mindre automatiserede – fx måleraflæsninger med efterfølgende forbrugsafregninger.

Og endeligt bliver boligorganisationerne mødt med flere og flere lovkrav til, hvordan organisationen skal drive sine aktiviteter – fx loven om ghettodannelse.


Alle veje fører tilbage til øgede krav om informationssikkerhed

Alle de ovenstående forhold fører, som vejene i Romerriget, tilbage til det samme punkt – et øget krav til informationssikkerheden.

Informationssikkerhed er i dag ikke kun et spørgsmål om at have orden i brugerrettighederne og en solid firewall. Det gælder i lige så høj grad om at have sikkerheden i orden inden for murerne i forhold til medarbejdere og i forhold til, at medarbejderne løbende uddannes til at have en helt naturlig og sund holdning til informationssikkerhed, og hvordan denne opretholdes i en travl dagligdag.

For slet ikke at tale om de krav boligorganisationerne skal stille til deres leverandører af diverse services, det kræver informationssikkerhed på højt niveau – dette kan fx være, de it-services boligorganisationen tilbyder sine lejere såsom e-mailfunktioner, TV-pakker, streaming-tjenester og webservices i forskellige formater og på forskellige platforme. Det kan være vagtværn, der med kameraer bl.a. overvåger boligområder og styrer adgangsforhold til bygningerne. Listen er lang og omfattende, hvilket belaster boligorganisationerne i forhold til at sætte ressourcer af til at føre tilsyn med alle disse serviceleverandører og ikke mindst udfordre dem på deres sikkerhed i forhold til de erklæringer, man modtager.

De fleste boligorganisationer vil forhåbentligt sige, at de har 100 procent styr på sikkerheden, og det har de sikkert også. Men vi tænker, det kan være ganske fint at kunne dokumentere dette på nøjagtigt samme måde, som man helt naturligt dokumenterer, at man har styr på økonomien. Få en uvildig tredjepart til at undersøge og teste at sikkerheden nu også rent faktisk er så god og stærk, som I går og tror til dagligt.

Denne dokumentation kan omfatte alt lige fra simple sårbarhedsscanninger og diverse penetrationstests, der tester på it-området, til mere omfattende øvelser inden for social engineering, hvor også personalet sættes på prøve.

For med en lille omskrivning fra Peter Plys, der siger, ”hvis man ikke ved, hvor man er, og hvor man skal hen – så kan det være ligegyldigt, hvilken retning man tager”.

Fra BDO’s side kommer vi gerne ud og tager en uforpligtende snak om, hvilken retning der giver mening i forhold til, hvor I befinder jer på den stadige rejse mod øget informationssikkerhed.