It-branchens kunder stiller krav om it-sikkerhed
Softwarehuse skal ikke længere kun levere god software. På niveau med god projektledelse er it-sikkerhed blevet et konkurrenceparameter. Digitaliseringshuset Ditmer i Aarhus ændrede deres politik for samtlige medarbejdere. Og den opskrift anbefaler de nu andre i it-branchen.

Softwarehuse skal ikke længere kun levere god software. På niveau med god projektledelse er it-sikkerhed blevet et konkurrenceparameter. Digitaliseringshuset Ditmer i Aarhus ændrede deres politik for samtlige medarbejdere. Og den opskrift anbefaler de nu andre i it-branchen.
- It-sikkerhed er lige så vigtigt for vores kunder som god projektledelse og agil softwareudvikling. Mit råd til andre i vores branche er, at de skal få formuleret deres it-sikkerhedspolitik, sætte fokus på at implementere den og dermed give den et liv. Få fejlene frem, så de kan gøre noget ved dem. Det er en måde, der har virket for os, siger intern forretningskonsulent hos Ditmer, Danni Giørtz-Jørgensen.
Ditmer oplever i stigende grad, at deres kunder forventer, at de har styr på it-sikkerheden. Kundernes interesse i it-sikkerhed er i højsædet og voldsomt stigende på grund af den generelle trussel og GDPR-reglerne. Det er en tendens, de ser i deres branche.
Frygt for forsidehistorien
Det er netop kunderne, der har været årsag til det ekstra fokus på it-sikkerhed hos Ditmer. Og der er ingen tvivl om, at GDPR har været med til at øge efterspørgslen blandt deres kunder.
- Ingen ønsker at lande på forsiden af Ekstra Bladet. Vores kunder regner med, at vi også har helt styr på it-sikkerheden. Markedet viser os, at det er en klar konkurrencefordel at have gode processer for, at der kommer sikker software ud af det, vi gør. Kunderne ved godt, at de ikke kan tage det for givet ved alle leverandører, forklarer Danni Giørtz-Jørgensen.
Ditmer valgte at følge ISO 27001 standard tilbage i 2016. Det gav mulighed for at komme hele vejen rundt og mulighed for en revisorerklæring, der giver kunderne ro.
- Vi nedsatte en gruppe, der tog et længere kursus; vi læste en masse om det; vi gennemgik ISO 27001 slavisk for så at bygge vores it-sikkerhedspolitiske regler og procedurer op efter dem. Vi har fået det tilpasset vores egen organisation og derefter implementeret reglerne. Så det er ikke en standardløsning, men en skræddersyet løsning, som vi selv har indarbejdet, siger Danni Giørtz-Jørgensen.
ISO 27001gav ledelsen en tjekliste over alt, hvad der har med it-sikkerhed at gøre. Samtidig passer den med den struktur, revisionserklæringen følger og dermed det kvalitetsstempel, Ditmer skal bruge over for deres kunder som dokumentation. Samtidig har de brugt eksterne konsulenter fra Alexandra Instituttet til at komme med anbefalinger om nye tiltag.
Sådan finder man intern opbakning
GDPR har fyldt og fylder stadig meget for mange virksomheder. Det er vigtigt, men det er ikke altid det letteste at sælge ud i organisationen. Det kommer hurtigt til at handle om procedurer og retningslinjer udstukket fra øverste ledelse eller fra compliance manageren ovre i hjørnet. Så hvordan laver man en god it-sikkerhedspolitik, der sikrer en god balance mellem retningslinjer og smidighed i samarbejde mellem kolleger og kunder?
- Vi oplever, at it-sikkerhed er noget, der skal sælges godt internt. Det er nødvendigt, men indrømmet det er ikke altid lige der, hvor vores udviklere finder energien i forhold til det håndværk, de dyrker med at lave software. Vi oplever, de skal nudges mere for at få skabt interessen, og den første tid handlede det meget om at skaffe forståelse for vigtigheden for forretningen. Derfor er det også afgørende vigtigt, at der er klar ledelsesmæssig opbakning, forklarer Danni Giørtz-Jørgensen.
Derfor har Ditmer hele tiden fokus på det, der hedder ‘awareness’ i organisationen, så medarbejderne ved, hvad it-sikkerhedsgruppen og ledelsen har besluttet sig for, og hvad det betyder i hverdagen.
- For det er forretningskritisk det her. Både for os internt og for vores kunder. GDPR har sat fokus på, hvor vigtig it-sikkerhed er. Men det har Center for Cybersikkerhed, revisionsfirmaer og en række andre interessenter også. Alle forholder sig til, hvad truslen er lige nu. Der er stor respekt for, at vi skal udvikle sikre løsninger, der giver fortrolighed men også tilgængelighed, så systemerne kører. I takt med at virksomheder digitaliserer, bliver de ekstremt afhængige af, at deres systemer kører og er pålidelige, ellers kan de ikke løse deres opgaver, siger han. Så vi skal have fokus på både fortroligheden, integriteten og tilgængeligheden af vores og kundernes løsninger.
Politik og medarbejdere skal holdes ajour
For at bevare fokus på it-sikkerheden hos samtlige 50 medarbejdere har Ditmer udviklet et årshjul for det generelle arbejde med it-sikkerhed. Det fungerer også som en plan, der er med til at bestemme, hvad der laves awareness om.
- Vores årshjul giver typisk en anledning til at melde noget ud. Det giver os nogle naturlige emner, hvad der kommer over året. Og så er der alle de aktuelle sager. Senest var cookie-politik en anledning. Så tager vi op, at vi skal tjekke de websider, vi laver, så de ikke begår samme fejl, som andre lige er blevet kritiseret for, understreger Danni Giørtz-Jørgensen.
Ditmer arbejder med it-sikkerhed med alle 50 medarbejdere – fra udviklere til sælgere. Det er eksempelvis vigtigt, at sælgerne allerede har talt med kunderne om niveau for sikkerhed i løsningerne, inden der indgås en aftale, og udviklerne skal i gang med udviklingen. It-sikkerhed, der kommer ind i løbet af udviklingen, kan blive meget dyrere end sikkerhed, der er tænkt ind fra starten.
Balancen mellem for lidt og for meget
For kunden og for Ditmer er det vigtigt at ramme et passende sikkerhedsniveau for kunden og kundens behov.
- Det er en vigtig opgave at blive enige med kunderne om, hvor vi lægger snittet i forhold til kundens behov. Der er ingen grund til at bygge et Fort Knox, hvis kunden ikke har det behov. Niveauet skal være afstemt med, hvad behovene reelt er. Jo højere sikkerhed, jo dyrere bliver løsningen alt andet lige. Det har også tidligere været et ‘faktum’, at høj sikkerhed modarbejdede brugervenligheden, men jeg synes efterhånden, vi er kommet langt med at have nogle standardløsninger, der gør, at vi kan tilbyde høj sikkerhed til en rimelig økonomi og med god brugervenlighed. Vi kan rådgive kunden om, hvor de skal lægge niveauet, men det er i sidste ende kundens valg – dog har vi nogle minimumskrav, vi ikke vil afvige fra. Og det er en løbende snak, mens udviklingen sker. Det kræver åben dialog, understreger Danni Giørtz-Jørgensen.
Ditmer har arbejdet meget med at få en åben drøftelse af it-sikkerhed internt i virksomheden, og de bruger bl.a. en metafor fra flyverdenen: Hver gang der er en hændelse eller en nærved-hændelse, er det vigtigt at sige det – det udløser ikke en straf for medarbejderne, for det er vigtigt at få det på bordet, så alle kan lære af det.
- En ting er den formelle del, at medarbejderne er orienteret om politik og procedure, og de har skrevet under på, at de vil efterleve det efter bedste evne. Så er der stort og småt i praksis, siger Danni Giørtz-Jørgensen.
Det har Ditmer valgt at tage op på forskellig vis. De har eksempelvis lavet Kahoot på fællesmøde, hvor medarbejderne skulle forholde sig til dilemma i deres hverdag. For at få en fornemmelse af hvor de er.
- Det var interessant at se, at de, der svarede forkert, faktisk troede, de skulle passe endnu bedre på, end vores politik foreskrev, siger han.
Det er også dagligt en del af ledernes update eksempelvis nu, hvor alle arbejder hjemme. De sender gode råd ud om at være opmærksom på it-sikkerhed, også når de er derhjemme.
It-sikkerhed i et åbent miljø
Lige inden alle medarbejdere blev sendt hjem, havde Ditmer afsluttet et forløb med Alexandra Instituttet, der som eksterne observatører hjalp med at vurdere, hvilke faldgruber Ditmer stadig skal holde øje med. Det er noget, som de kan tage med sig derhjemme, men også når alle samles på kontoret igen.
- Vi fik en grundig og kompetent afrapportering med en række konkrete observationer og anbefalinger til nye tiltag – herunder tiltag af teknisk karakter, præcisering i regler og procedurer, awareness-tiltag osv. Det giver os et godt grundlag for at evaluere vores hidtidige indsats og inspiration til en række nye elementer, vi kan inddrage for at løfte os til næste niveau, forklarer Ditmers CEO, Morten Ditmer.
Alexandra Instituttet havde nogle observationer af, hvordan Ditmer bruger deres skriveborde, tavler og telefonsnak i åbne kontormiljøer, som var et sted, hvor de kunne sætte yderligere ind.
- Man kan faktisk altid blive bedre til awareness-delen. Vi kan kun anbefale at invitere Alexandra Instituttet indenfor, så de kan kaste deres eksterne blik på den praksis, der leves i hverdagen – og dermed be- eller afkræfte antagelser om, hvordan vi som medarbejdere agerer og ikke mindst give inspiration til at gøre det endnu bedre, siger Morten Ditmer.
Det handler om at forstå, hvorfor medarbejderen er i tvivl, og hvordan de kan arbejde bedst muligt.
Syv råd om it-sikkerhed på arbejdspladsen
- Udarbejd et årshjul, der naturligt kommer rundt om året i et it-sikkerhedsperspektiv
- Gør it-sikkerhed interessant for hele organisationen
- Skab hele tiden awareness, fx med konkurrencer på morgenmøder
- Brug eksterne konsulenter til at udfordre din it-sikkerhedspolitik og gør den skarp
- Find inspiration i en standard som eksempelvis ISO 27001
- Vær helt åben om fejl og mangler
- Få samtlige medarbejdere med fra sælgere til designere og udviklere
Billedtekst
For Ditmer i Aarhus er it-sikkerhedspolitikken en central del af kerneydelsen. De anbefaler en strategi, der sikrer en god balance mellem retningslinjer og smidighed i samarbejde mellem kolleger og kunder.
Nøgleord
Billeder
Information om Alexandra Instituttet
Åbogade 34 · Rued Langgaards Vej 7
8200 Aarhus N · 2300 København S
+45 70 27 70 12https://alexandra.dk
Om Ditmer
Ditmer er et digitaliseringshus bosat i Aarhus. De leverer komplette digitaliseringsydelser lige fra rådgivning om muligheder, indledende brugeranalyser og design til den færdige software er udviklet, implementeret og løbende skal optimeres. De er et hold af både tekniske specialister, kreative designere, visionære forretningsfolk, projektledere med styr på metoden og venlige supportere.
Følg pressemeddelelser fra Alexandra Instituttet
Skriv dig op her, og modtag pressemeddelelser på e-mail. Indtast din e-mail, klik på abonner, og følg instruktionerne i den udsendte e-mail.
Flere pressemeddelelser fra Alexandra Instituttet
Ny løsning giver virksomheder adgang til inspektion, der bidrager til grøn omstilling12.1.2023 10:21:56 CET | Pressemeddelelse
Sund & Bælt og Alexandra Instituttet lancerer gennem et partnerskab en innovativ løsning, der sikrer billigere inspektion og vedligeholdelse af betonkonstruktioner og forlænger levetiden af anlæg.
Alexandra Instituttet, Systemate og cVation sparker året i gang med grøn energi for tre-cifret millionbeløb4.1.2023 07:39:37 CET | Pressemeddelelse
Systemate vinder rammeaftale med Energinet for at sikre Danmarks grønne omstilling.
GeoAtlas Study giver unge mulighed for at arbejde med klima- og energikriserne8.12.2022 06:00:00 CET | Pressemeddelelse
En ny læringsplatform til ungdomsuddannelserne bringer tusindvis af geologiske, hydrogeologiske og geografiske data i spil. Det vil i sidste ende give en bedre oplevelse af naturgeografi og geologi, samt øge interessen for STEM-fagene.
SMVerne får nu råd til kunstig kundeintelligens5.12.2022 13:05:53 CET | Pressemeddelelse
Den, der forstår sine kunders adfærd og behov, kan give dem en meget bedre kundeoplevelse. Kunstig intelligens, der indsamler og analyserer kundedata, har hidtil været forbeholdt store, ressourcestærke firmaer. Det har Raptor Services lavet om på med Alexandra Instituttet: De licenserer deres AI-platform, så små og mellemstore virksomheder også får adgang til teknologien.
Nyt samarbejde skal cybersikre 100 industrivirksomheder7.11.2022 06:00:00 CET | Pressemeddelelse
Danske virksomheder digitaliserer i høj grad deres produkter og produktion. Det kan være med intelligente sensorer, der minimerer strømforbruget, eller med maskiner, der bliver koblet til internettet. Men den øgede digitalisering åbner også døren for hackere med onde hensigter – og det skal dansk erhvervsliv blive bedre til at håndtere.
I vores nyhedsrum kan du læse alle vores pressemeddelelser, tilgå materiale i form af billeder og dokumenter samt finde vores kontaktoplysninger.
Besøg vores nyhedsrum