Softwarehuse skal ikke længere kun levere god software. På niveau med god projektledelse er it-sikkerhed blevet et konkurrenceparameter. Digitaliseringshuset Ditmer i Aarhus ændrede deres politik for samtlige medarbejdere. Og den opskrift anbefaler de nu andre i it-branchen.

- It-sikkerhed er lige så vigtigt for vores kunder som god projektledelse og agil softwareudvikling. Mit råd til andre i vores branche er, at de skal få formuleret deres it-sikkerhedspolitik, sætte fokus på at implementere den og dermed give den et liv. Få fejlene frem, så de kan gøre noget ved dem. Det er en måde, der har virket for os, siger intern forretningskonsulent hos Ditmer, Danni Giørtz-Jørgensen.

Ditmer oplever i stigende grad, at deres kunder forventer, at de har styr på it-sikkerheden. Kundernes interesse i it-sikkerhed er i højsædet og voldsomt stigende på grund af den generelle trussel og GDPR-reglerne. Det er en tendens, de ser i deres branche.

Frygt for forsidehistorien

Det er netop kunderne, der har været årsag til det ekstra fokus på it-sikkerhed hos Ditmer. Og der er ingen tvivl om, at GDPR har været med til at øge efterspørgslen blandt deres kunder.

- Ingen ønsker at lande på forsiden af Ekstra Bladet. Vores kunder regner med, at vi også har helt styr på it-sikkerheden. Markedet viser os, at det er en klar konkurrencefordel at have gode processer for, at der kommer sikker software ud af det, vi gør. Kunderne ved godt, at de ikke kan tage det for givet ved alle leverandører, forklarer Danni Giørtz-Jørgensen.

Ditmer valgte at følge ISO 27001 standard tilbage i 2016. Det gav mulighed for at komme hele vejen rundt og mulighed for en revisorerklæring, der giver kunderne ro.

- Vi nedsatte en gruppe, der tog et længere kursus; vi læste en masse om det; vi gennemgik ISO 27001 slavisk for så at bygge vores it-sikkerhedspolitiske regler og procedurer op efter dem. Vi har fået det tilpasset vores egen organisation og derefter implementeret reglerne. Så det er ikke en standardløsning, men en skræddersyet løsning, som vi selv har indarbejdet, siger Danni Giørtz-Jørgensen.

ISO 27001gav ledelsen en tjekliste over alt, hvad der har med it-sikkerhed at gøre. Samtidig passer den med den struktur, revisionserklæringen følger og dermed det kvalitetsstempel, Ditmer skal bruge over for deres kunder som dokumentation. Samtidig har de brugt eksterne konsulenter fra Alexandra Instituttet til at komme med anbefalinger om nye tiltag.

Sådan finder man intern opbakning

GDPR har fyldt og fylder stadig meget for mange virksomheder. Det er vigtigt, men det er ikke altid det letteste at sælge ud i organisationen. Det kommer hurtigt til at handle om procedurer og retningslinjer udstukket fra øverste ledelse eller fra compliance manageren ovre i hjørnet. Så hvordan laver man en god it-sikkerhedspolitik, der sikrer en god balance mellem retningslinjer og smidighed i samarbejde mellem kolleger og kunder?

- Vi oplever, at it-sikkerhed er noget, der skal sælges godt internt. Det er nødvendigt, men indrømmet det er ikke altid lige der, hvor vores udviklere finder energien i forhold til det håndværk, de dyrker med at lave software. Vi oplever, de skal nudges mere for at få skabt interessen, og den første tid handlede det meget om at skaffe forståelse for vigtigheden for forretningen. Derfor er det også afgørende vigtigt, at der er klar ledelsesmæssig opbakning, forklarer Danni Giørtz-Jørgensen.

Derfor har Ditmer hele tiden fokus på det, der hedder ‘awareness’ i organisationen, så medarbejderne ved, hvad it-sikkerhedsgruppen og ledelsen har besluttet sig for, og hvad det betyder i hverdagen.

- For det er forretningskritisk det her. Både for os internt og for vores kunder. GDPR har sat fokus på, hvor vigtig it-sikkerhed er. Men det har Center for Cybersikkerhed, revisionsfirmaer og en række andre interessenter også. Alle forholder sig til, hvad truslen er lige nu. Der er stor respekt for, at vi skal udvikle sikre løsninger, der giver fortrolighed men også tilgængelighed, så systemerne kører. I takt med at virksomheder digitaliserer, bliver de ekstremt afhængige af, at deres systemer kører og er pålidelige, ellers kan de ikke løse deres opgaver, siger han. Så vi skal have fokus på både fortroligheden, integriteten og tilgængeligheden af vores og kundernes løsninger.

Politik og medarbejdere skal holdes ajour

For at bevare fokus på it-sikkerheden hos samtlige 50 medarbejdere har Ditmer udviklet et årshjul for det generelle arbejde med it-sikkerhed. Det fungerer også som en plan, der er med til at bestemme, hvad der laves awareness om.

- Vores årshjul giver typisk en anledning til at melde noget ud. Det giver os nogle naturlige emner, hvad der kommer over året. Og så er der alle de aktuelle sager. Senest var cookie-politik en anledning. Så tager vi op, at vi skal tjekke de websider, vi laver, så de ikke begår samme fejl, som andre lige er blevet kritiseret for, understreger Danni Giørtz-Jørgensen.

Ditmer arbejder med it-sikkerhed med alle 50 medarbejdere – fra udviklere til sælgere. Det er eksempelvis vigtigt, at sælgerne allerede har talt med kunderne om niveau for sikkerhed i løsningerne, inden der indgås en aftale, og udviklerne skal i gang med udviklingen. It-sikkerhed, der kommer ind i løbet af udviklingen, kan blive meget dyrere end sikkerhed, der er tænkt ind fra starten.

Balancen mellem for lidt og for meget

For kunden og for Ditmer er det vigtigt at ramme et passende sikkerhedsniveau for kunden og kundens behov.

- Det er en vigtig opgave at blive enige med kunderne om, hvor vi lægger snittet i forhold til kundens behov. Der er ingen grund til at bygge et Fort Knox, hvis kunden ikke har det behov. Niveauet skal være afstemt med, hvad behovene reelt er. Jo højere sikkerhed, jo dyrere bliver løsningen alt andet lige. Det har også tidligere været et ‘faktum’, at høj sikkerhed modarbejdede brugervenligheden, men jeg synes efterhånden, vi er kommet langt med at have nogle standardløsninger, der gør, at vi kan tilbyde høj sikkerhed til en rimelig økonomi og med god brugervenlighed. Vi kan rådgive kunden om, hvor de skal lægge niveauet, men det er i sidste ende kundens valg – dog har vi nogle minimumskrav, vi ikke vil afvige fra. Og det er en løbende snak, mens udviklingen sker. Det kræver åben dialog, understreger Danni Giørtz-Jørgensen.

Ditmer har arbejdet meget med at få en åben drøftelse af it-sikkerhed internt i virksomheden, og de bruger bl.a. en metafor fra flyverdenen: Hver gang der er en hændelse eller en nærved-hændelse, er det vigtigt at sige det – det udløser ikke en straf for medarbejderne, for det er vigtigt at få det på bordet, så alle kan lære af det.

- En ting er den formelle del, at medarbejderne er orienteret om politik og procedure, og de har skrevet under på, at de vil efterleve det efter bedste evne. Så er der stort og småt i praksis, siger Danni Giørtz-Jørgensen.

Det har Ditmer valgt at tage op på forskellig vis. De har eksempelvis lavet Kahoot på fællesmøde, hvor medarbejderne skulle forholde sig til dilemma i deres hverdag. For at få en fornemmelse af hvor de er.

- Det var interessant at se, at de, der svarede forkert, faktisk troede, de skulle passe endnu bedre på, end vores politik foreskrev, siger han.

Det er også dagligt en del af ledernes update eksempelvis nu, hvor alle arbejder hjemme. De sender gode råd ud om at være opmærksom på it-sikkerhed, også når de er derhjemme.

It-sikkerhed i et åbent miljø

Lige inden alle medarbejdere blev sendt hjem, havde Ditmer afsluttet et forløb med Alexandra Instituttet, der som eksterne observatører hjalp med at vurdere, hvilke faldgruber Ditmer stadig skal holde øje med. Det er noget, som de kan tage med sig derhjemme, men også når alle samles på kontoret igen.

- Vi fik en grundig og kompetent afrapportering med en række konkrete observationer og anbefalinger til nye tiltag – herunder tiltag af teknisk karakter, præcisering i regler og procedurer, awareness-tiltag osv. Det giver os et godt grundlag for at evaluere vores hidtidige indsats og inspiration til en række nye elementer, vi kan inddrage for at løfte os til næste niveau, forklarer Ditmers CEO, Morten Ditmer.

Alexandra Instituttet havde nogle observationer af, hvordan Ditmer bruger deres skriveborde, tavler og telefonsnak i åbne kontormiljøer, som var et sted, hvor de kunne sætte yderligere ind.

- Man kan faktisk altid blive bedre til awareness-delen. Vi kan kun anbefale at invitere Alexandra Instituttet indenfor, så de kan kaste deres eksterne blik på den praksis, der leves i hverdagen – og dermed be- eller afkræfte antagelser om, hvordan vi som medarbejdere agerer og ikke mindst give inspiration til at gøre det endnu bedre, siger Morten Ditmer.

Det handler om at forstå, hvorfor medarbejderen er i tvivl, og hvordan de kan arbejde bedst muligt.

Syv råd om it-sikkerhed på arbejdspladsen

1. Udarbejd et årshjul, der naturligt kommer rundt om året i et it-sikkerhedsperspektiv
2. Gør it-sikkerhed interessant for hele organisationen
3. Skab hele tiden awareness, fx med konkurrencer på morgenmøder
4. Brug eksterne konsulenter til at udfordre din it-sikkerhedspolitik og gør den skarp
5. Find inspiration i en standard som eksempelvis ISO 27001
6. Vær helt åben om fejl og mangler
7. Få samtlige medarbejdere med fra sælgere til designere og udviklere

Billedtekst

For Ditmer i Aarhus er it-sikkerhedspolitikken en central del af kerneydelsen. De anbefaler en strategi, der sikrer en god balance mellem retningslinjer og smidighed i samarbejde mellem kolleger og kunder.