Last ned pdf her... (2,1 Mb) - Norsk senter for prosjektledelse - NTNU
Last ned pdf her... (2,1 Mb) - Norsk senter for prosjektledelse - NTNU
Last ned pdf her... (2,1 Mb) - Norsk senter for prosjektledelse - NTNU
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>for</strong>eslås og helst gjennomføres tiltak <strong>for</strong> alle<br />
trusler som ligger uten<strong>for</strong> akseptabelt område<br />
i risikomatrisen. Effekten av disse tiltakene<br />
skal følges opp både underveis og i etterkant.<br />
Effekten en slik prosess vil normalt være vanskelig<br />
å overskue <strong>for</strong>di den fører til reduserte<br />
tap ved en ulykke og ikke direkte merinntekter.<br />
Når ulykken skjer, og det vil den før eller<br />
siden, vil effekten av å ha ting på plass være<br />
av uvurderlig betydning <strong>for</strong> bedriften.<br />
Hva bør man gjøre<br />
Det er etter hvert en del større bedrifter som<br />
har fått øynene opp <strong>for</strong> at de faktisk kan sitte<br />
på en tikkende IKT-bombe. De fleste løser<br />
dette ved å be IKT-enheten gjennomføre<br />
System<br />
utilgjengelig?<br />
Uvedkommende<br />
får tilgang<br />
Feil info<br />
innput?<br />
Nå kan du bli PRINCE2 ®<br />
Nå kan du bli PRINCE2 <br />
<br />
Metier Academy er den første akkrediterte tilbyderen av opplæring og<br />
® ® Metier Academy y er den første akkrediterte erte tilbyderen av opplæring ring og<br />
og<br />
®<br />
®<br />
<br />
<br />
<br />
Opplæringen gjennomfører ennomfører du i ditt eget et tempo som e-læring!<br />
<br />
<br />
® <br />
prosessbasert tilnærming innen <strong>prosjektledelse</strong> med<br />
<br />
<br />
sitt utspring i Storbritannia og er i dag standard innen<br />
<br />
<br />
penetrasjonstesting og diverse andre sikkerhetstiltak<br />
knyttet mot utvalgte enkeltsystemer.<br />
Dette er ikke veien å gå. For det første dekker<br />
penetrasjonstesting bare en liten del av trusselbildet.<br />
Dessuten vet normalt IKT-enheten lite<br />
om hvilke systemer som er kritiske <strong>for</strong> bedriften<br />
og hvilke trusler som finnes.<br />
Start heller med å gjennomføre en grovanalyse<br />
samt en analyse på <strong>for</strong>retningsnivå som<br />
beskrevet over. Bare på den måten får man sett<br />
systemene i sammenheng med det som er viktig<br />
<strong>for</strong> bedriften, nemlig <strong>for</strong>retningsdrift og<br />
tjenesteleveranser. Saken er blant annet at et<br />
tilsynelatende ikke-kritisk system lett kan bli<br />
superkritisk dersom det <strong>for</strong> eksempel leverer<br />
data til en kritisk prosess som ikke klarer seg<br />
uten disse dataene. Stopp i transport av data<br />
Svikt<br />
(som påvirker<br />
prosessen)<br />
Annet?<br />
Når?<br />
Hvor lenge?<br />
(infrastruktur) vil i slike tilfeller være like<br />
kritisk som datasystemene selv.<br />
En annen grunn til at man skal starte med<br />
analyser på <strong>for</strong>retningsnivå er at man da også<br />
får in<strong>for</strong>masjon om hvor<strong>for</strong> en mulig hendelse<br />
vil være kritisk <strong>for</strong> bedriften. Når man<br />
vet dette kan man også vurdere om det finnes<br />
alternative løsninger i tilfelle krise; som <strong>for</strong><br />
eksempel manuelle operasjoner, bruk av<br />
alternativ IKT-løsning etc.<br />
Noe av det viktigste man oppnår med å<br />
gjennomføre en reell ROS-analyse på denne<br />
måten, er å finne de baken<strong>for</strong>liggende årsakene<br />
til mulige hendelser. Kanskje er det ikke<br />
manglende testing eller mangelfull brannmur<br />
som er årsaken, men mangelfulle retningslinjer,<br />
organisatoriske mangler, mangelfull<br />
kommunikasjon mellom IKT-enhet og <strong>for</strong>retningsenhetene<br />
eller tilsvarende som er den<br />
egentlige årsaken til at noe galt kan skje.<br />
Spørsmål man bør stille seg er; vet man hva<br />
en hendelse faktisk vil kunne koste bedriften?<br />
Vet man hva som vil kunne skje om uvedkommende<br />
får tilgang på sensitiv in<strong>for</strong>masjon?<br />
Vet man hvilke konsekvenser en hendelse<br />
vil kunne ha <strong>for</strong> bedriftens omdømme? Når<br />
man bryter lover og regler? I det hele tatt; vet<br />
man hva som vil kunne skje dersom et<br />
datasystem stopper? Er man i tvil bør man<br />
gjennomføre en relevant analyse.<br />
Metier Academy AS<br />
Hoffsveien 70B<br />
<br />
<br />
<br />
Prosjektledelse nr. 2 -2009 15