Dette er tydeligvis et PR stunt fra Steen og Jesper, og resultatet er dybt pinligt. Hvorfor tales der om "sund fornuft" i punkt 1, uden at f.eks. "risikoanlyse" eller "sikkerhedskrav" er nævnt een eneste gang? Sund fornuft er slet ikke relateret til det job en IT-sikkerhedschef bør udføre. Punkt 3 taler til slut-brugere mens resten lader til at være rettet mod et andet publikum. Punkt 4 bør udføres af driftspersonalet, ikke af en IT-sikkerhedschef. Punkt 5 antyder at folk mangler information om trusler og sårbarheder. Dette er sjældent tilfældet. Ofte er det resourcer, støtte fra ledelsen og både forretningsmæssig og teknisk forståelse der mangler. Punkt 8 og 9 giver ingen brugbare råd. Der er stor forskel på at "spørge ind til sikkerheden" og rent faktisk være i stand til at teste et produkt. Punkt 10 mener de forhåbenligt ikke alvorligt. Skulle en virksomhed virkeligt bruge alt dennes energi på sikkerhed uden at analysere hvor man skal starte, hvordan man skal implementere mest relevant sikkerhed for den mindste pris og indsats eller hvornår man har nået målet? Hvornår skulle virksomheden så lige have mulighed for at tjene penge? Pinlig og ubrugelig. ================================================================ Subject: Pressemeddelelse: IT-sikkerhedschefens nytårsfortsætter Pressemeddelelse: IT-sikkerhedschefens nytårsfortsætter To førende sikkerhedseksperter, Steen Bendtsen, Computer Associates, og Jesper Lundorf, Netværk Danmark har igen i år sammensat en liste med relevante nytårsfortsætter for danske IT-sikkerhedschefer. IT-sikkerhedschefens nytårsfortsætter: 1. De største sikkerhedsbrister sker i samspillet mellem it-sikkerheden og den fysiske sikkerhed. Jeg vil bruge min sunde fornuft og sikre, at der ikke opstår laguner mellem vores IT-sikkerhed og den fysiske sikkerhed. 2. Medarbejdere og brugere handler sjældent i ond vilje, når sikkerheden kompromitteres - det skyldes ofte manglende indsigt. Jeg vil derfor prioritere en tidssvarende og faglig uddannelse omkring både fysisk sikkerhed og IT-sikkerhed. 3. Jeg vil ikke svare på hverken spam eller junk-mail, eller reflektere på mail, korrespondance, chat samt hjemmesider, som ikke efterlever et minimum af sikkerhed og god etik. 4. Jeg vil lave en liste over al vores software som løbende holdes opdateret. Listen skal være mit arbejdsredskab til at identificere og modvirke sikkerhedshuller. 5. Jeg vil prioritere tidlig varslet overvågning i det nye år, da forskellen på fiasko og succes ofte hænger sammen med, hvor hurtigt man agerer. 6. Jeg vil anmelde alle indbrud og indbrudsforsøg på både netværk og PCér. Jeg vil undgå selv at forsøge mig som politimand, idet jeg blot ødelægger de mulige brugbare spor som det rigtige politi skal bruge. 7. Jeg vil undersøge om min egen virksomhed i år er blevet valgt til fjernlager. Fordi jeg ved at en del fra subkulturen vælger at gemme deres "værktøjer" og andet på andres store harddiske. 8. Jeg vil huske på, at nye produkter sjældent kommer med indbygget sikkerhed. Jeg vil som det naturligste spørge ind til sikkerheden, hver gang jeg overvejer et nyt produkt og ikke implementere uden at have en tilstrækkelig sikkerhedsløsning parat. 9. Jeg vil huske på, at nogen altid finder på en måde til at misbruge og kompromittere nye produkter. Jeg vil derfor antage en god portion naturlig skepsis over for et påstået sikkerhedsniveau. 10. Jeg vil ikke leve mit liv på de IT-kriminelles betingelser, men jeg vil sikre, at det bliver så vanskeligt som overhovedet muligt at misbruge vores systemer og medarbejdere. Steen Bendtsen er Business Technologist hos Computer Associates og arbejder med alle aspekter af IT-sikkerhed. Jesper Lundorf har 18 års erfaring fra politiet. Senest hos Politiets Efterretningstjeneste i IT-efterforskningsenheden. Nu arbejder han som direktør hos Netværk Danmark. Kontakt gerne: Steen Bendtsen Business Technologist Computer Associates Tlf.: 45 47 41 41 Jesper Lundorf Direktør Netværk Danmark Tlf.: 61 62 70 64 For yderligere information kontakt: Steen Bendtsen Tlf.: 45 47 41 41 E-mail.: steen.bendtsen@ca.com Eller læs mere på http://www.ca.com