08.09.2013 Views

Last ned pdf her... (2,1 Mb) - Norsk senter for prosjektledelse - NTNU

Last ned pdf her... (2,1 Mb) - Norsk senter for prosjektledelse - NTNU

Last ned pdf her... (2,1 Mb) - Norsk senter for prosjektledelse - NTNU

SHOW MORE
SHOW LESS

Create successful ePaper yourself

Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.

<strong>for</strong>eslås og helst gjennomføres tiltak <strong>for</strong> alle<br />

trusler som ligger uten<strong>for</strong> akseptabelt område<br />

i risikomatrisen. Effekten av disse tiltakene<br />

skal følges opp både underveis og i etterkant.<br />

Effekten en slik prosess vil normalt være vanskelig<br />

å overskue <strong>for</strong>di den fører til reduserte<br />

tap ved en ulykke og ikke direkte merinntekter.<br />

Når ulykken skjer, og det vil den før eller<br />

siden, vil effekten av å ha ting på plass være<br />

av uvurderlig betydning <strong>for</strong> bedriften.<br />

Hva bør man gjøre<br />

Det er etter hvert en del større bedrifter som<br />

har fått øynene opp <strong>for</strong> at de faktisk kan sitte<br />

på en tikkende IKT-bombe. De fleste løser<br />

dette ved å be IKT-enheten gjennomføre<br />

System<br />

utilgjengelig?<br />

Uvedkommende<br />

får tilgang<br />

Feil info<br />

innput?<br />

Nå kan du bli PRINCE2 ®<br />

Nå kan du bli PRINCE2 <br />

<br />

Metier Academy er den første akkrediterte tilbyderen av opplæring og<br />

® ® Metier Academy y er den første akkrediterte erte tilbyderen av opplæring ring og<br />

og<br />

®<br />

®<br />

<br />

<br />

<br />

Opplæringen gjennomfører ennomfører du i ditt eget et tempo som e-læring!<br />

<br />

<br />

® <br />

prosessbasert tilnærming innen <strong>prosjektledelse</strong> med<br />

<br />

<br />

sitt utspring i Storbritannia og er i dag standard innen<br />

<br />

<br />

penetrasjonstesting og diverse andre sikkerhetstiltak<br />

knyttet mot utvalgte enkeltsystemer.<br />

Dette er ikke veien å gå. For det første dekker<br />

penetrasjonstesting bare en liten del av trusselbildet.<br />

Dessuten vet normalt IKT-enheten lite<br />

om hvilke systemer som er kritiske <strong>for</strong> bedriften<br />

og hvilke trusler som finnes.<br />

Start heller med å gjennomføre en grovanalyse<br />

samt en analyse på <strong>for</strong>retningsnivå som<br />

beskrevet over. Bare på den måten får man sett<br />

systemene i sammenheng med det som er viktig<br />

<strong>for</strong> bedriften, nemlig <strong>for</strong>retningsdrift og<br />

tjenesteleveranser. Saken er blant annet at et<br />

tilsynelatende ikke-kritisk system lett kan bli<br />

superkritisk dersom det <strong>for</strong> eksempel leverer<br />

data til en kritisk prosess som ikke klarer seg<br />

uten disse dataene. Stopp i transport av data<br />

Svikt<br />

(som påvirker<br />

prosessen)<br />

Annet?<br />

Når?<br />

Hvor lenge?<br />

(infrastruktur) vil i slike tilfeller være like<br />

kritisk som datasystemene selv.<br />

En annen grunn til at man skal starte med<br />

analyser på <strong>for</strong>retningsnivå er at man da også<br />

får in<strong>for</strong>masjon om hvor<strong>for</strong> en mulig hendelse<br />

vil være kritisk <strong>for</strong> bedriften. Når man<br />

vet dette kan man også vurdere om det finnes<br />

alternative løsninger i tilfelle krise; som <strong>for</strong><br />

eksempel manuelle operasjoner, bruk av<br />

alternativ IKT-løsning etc.<br />

Noe av det viktigste man oppnår med å<br />

gjennomføre en reell ROS-analyse på denne<br />

måten, er å finne de baken<strong>for</strong>liggende årsakene<br />

til mulige hendelser. Kanskje er det ikke<br />

manglende testing eller mangelfull brannmur<br />

som er årsaken, men mangelfulle retningslinjer,<br />

organisatoriske mangler, mangelfull<br />

kommunikasjon mellom IKT-enhet og <strong>for</strong>retningsenhetene<br />

eller tilsvarende som er den<br />

egentlige årsaken til at noe galt kan skje.<br />

Spørsmål man bør stille seg er; vet man hva<br />

en hendelse faktisk vil kunne koste bedriften?<br />

Vet man hva som vil kunne skje om uvedkommende<br />

får tilgang på sensitiv in<strong>for</strong>masjon?<br />

Vet man hvilke konsekvenser en hendelse<br />

vil kunne ha <strong>for</strong> bedriftens omdømme? Når<br />

man bryter lover og regler? I det hele tatt; vet<br />

man hva som vil kunne skje dersom et<br />

datasystem stopper? Er man i tvil bør man<br />

gjennomføre en relevant analyse.<br />

Metier Academy AS<br />

Hoffsveien 70B<br />

<br />

<br />

<br />

Prosjektledelse nr. 2 -2009 15

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!