Mange organisationer har gjort et godt stykke arbejde, når det kommer til at købe teknologi til informationssikkerhed, såsom antivirus, firewall og spamfiltre. Men før du købte antivirusprogrammet, vidste du faktisk, hvorfor du købte det, og hvilket formål programmet skulle opfylde? Var svarene baseret på en risikovurdering? Var ledelsen i din organisation enige om, hvordan man måler antivirusprogrammets succes?
Hvis din organisation oplever problemer, da de forsøgte at besvare disse typer spørgsmål, vil det også være svært at vurdere værdien af initiativet. Det betyder, at du ikke ved, om det er værd at bruge ressourcer på eller ej.
Din organisation skal have tiltag på plads for at kunne vurdere effektiviteten af de teknologier, der er investeret i. Det kan f.eks. gøres gennem KPI’er. En KPI vil dog kun være effektiv, hvis du handler, når du bemærker, at noget ikke lever op til den forventede plan. Her er cyklussen Plan-Do-Check-Act et nyttigt værktøj til periodisk at kontrollere dine KPI’er og evaluere, om der er ting, der bør ændres. Måske giver jeres dyre månedlige anti-virus-system ingen effekt, og der er et billigere produkt på markedet, som er værd at prøve i stedet. Måske er det slet ikke anti-virus, der er vejen frem.
Der er ingen ‘one-size-fits-all’-løsninger inden for IT-sikkerhed. En stor lufthavn har andre behov end en lille detailbutik. Når man bestemmer, hvilke praksis, kontroller og programmer der skal investeres i, skal beslutningerne altid være baseret på organisationens egen situation.
Hvis du gerne vil lære om, hvordan du sikrer, at din virksomhed overholder GDPR, så kan du læse om det her.