Utöver den kontroll av ADB-verksamheten som sker inom ramen för det ekonomiska revisionsarbetet bör revisorn även ta en alltmer aktiv del i ADB-säkerhetsarbetet. Det hävdar Per Hoving, ADB-säkerhetschef vid Saab-Scania.
Framförallt gäller det kontrollen av att det säkerhetsarbete som utförs står i samklang med den policy som ligger till grund för företagets verksamhet.
Oavsett inom vilken del av vårt samhälle man är verksam, har den omfattande datoriseringen redan haft stor betydelse och kommer att få en ännu större betydelse framöver.
Datoriseringen har många ansikten. Den har dels inneburit att många manuella arbeten har kunnat mekaniseras och dels medfört att många arbeten i dag utförs på ett sätt som inte var möjligt före datorns inträde på scenen. Vi får heller inte glömma att datoriseringen i sig själv har medfört att många olika typer av arbeten har tillkommit, arbeten som inte existerar i ett odatoriserat samhälle. Vad skall t ex en ADB-säkerhetschef göra om det inte finns någon ADB?
Det näst intill totala datorberoendet i vårt samhälle och i dess olika delar som företag och myndigheter är i sig en tillräcklig motivationsfaktor för ett omfattande ADB-säkerhetsarbete. Eller, som man kan sammanfatta några av Sårbarhetsberedningens slutsatser: Vårt samhälle kan inte fungera utan ett omfattande ADB-stöd, vare sig i fred eller i krig.
Motivation för ADB-säkerhetsarbete
Eftersom datoriseringens omfattning är något som alla och envar i dag är medvetna om, är det relativt lätt att också få de flesta att inse att datorstödet inte bara behövs nu, utan också i morgon.
Härav följer att funktions- och kapitalskyddsinriktade säkerhetsinsatser spontant efterfrågas av de flesta datoranvändare.
Riktigt lika självklart är det inte att användarna har en spontan och naturlig efterfrågan på dataskyddande insatser. Ofta behövs det en både bred och djup diskussion innan ljuset tänds, d v s innan det står klart för var och en hur enkelt det är att tjuvläsa andras information eller att s a s titta över axeln på de legala användarna i ett ADB-system.
Den då och då uppflammande debatten omkring olika personregister har dock varit en god draghjälp i motiveringsarbetet. Inte minst har den pekat på den ömma punkten att det kanske inte alltid går att lita på en användare bara för att han eller hon är behörig i ADB-systemet. Förståelsen för att det måste vara skillnad på behörighet och behörighet växer alltmer för varje gång integritetsdebatten aktualiseras.
Ett område där det inte behövs någon insats alls för att motivera ADB-användarna är inom kvalitetsområdet. Det finns knappast någon som kan acceptera att det blir fel på den datorlagrade informationen. Vad som kan vara något svårare är att få den rätta förståelsen bland systembyggarna för denna användarnas syn.
Det förekommer ju trots allt fortfarande att motsvarigheten till de manuella rutinernas verifieringskedjor är bristfälliga eller saknas. Gapet mellan användarnas förväntningar och systembyggarnas insatser inom det här området måste med all nödvändighet överbryggas och det med det snaraste. Inte minst den ökande efterfrågan på alltmer avancerade ADB-hjälpmedel kopplat till en trots allt relativt ringa insikt i hur dessa hjälpmedel fungerar, talar för en allt större seriositet inom kvalitetssäkerhetsarbetet.
Ansvar för ADB-säkerheten
Precis som inom all annan verksamhet så följer ansvaret för ADB-säkerheten med linjeansvaret. Det betyder att det normalt finns en linjeavdelning som skall känna ett ansvar för säkerhetsarbetet för varje ADB-system.
Av tradition lider emellertid användarna ute på linjen ofta av den förutfattade meningen, att det är den systemförvaltande avdelningen, d v s ADB-avdelningen, som är ansvarig för ADB-säkerhetsarbetet. Det är naturligtvis både rätt och fel. Det är rätt såtillvida som att ADB-avdelningen naturligtvis ansvarar för säkerheten inom sin egen verksamhet, men det är fel att förutsätta att en avdelning som förvaltar en annan avdelnings ADB-system automatiskt också ansvarar för det ADB-säkerhetsarbete som krävs.
Skall ADB-avdelningen sköta ADB-säkerhetsarbetet på egen hand, så måste systemägarna först ha avtalat med ADB-avdelningen att så skall vara fallet. Dessutom måste de säkerhetskrav som skall gälla ha specificerats av systemägarna/användarna, inte av ADB-avdelningen.
Som stöd och hjälp i detta arbete skall de båda parterna ha hjälp av den som har ansvaret dels för att specificera vilka skyddsmål som gäller för olika ADB-verksamheter och dels för att kontrollera måluppfyllelsen i skyddsarbetet: ADB-säkerhetschefen.
Organisation av ADB-säkerhetsarbetet
Av det som sagts ovan framgår det med all önskvärd tydlighet att det är många parter som deltar i ADB-säkerhetsarbetet. För att inte någon del av helheten skall bli försummad, eller rent av bli bortglömd, måste arbetet med policybildning, metodutveckling, säkerhetsanalyser, definition av skyddsnivåer, implementering av skyddstekniker etc ske på ett välstrukturerat sätt.
Ledstjärnan skall vara att var och en i företaget tar hand om den del av helheten som naturligt faller inom det egna ansvarsområdet. Här finns det emellertid ett litet problem. Det är inte alltid så att alla berörda har samma uppfattning om vad som ligger inom det egna respektive de andras ansvarsområden.
Utöver vad som sagts ovan om motiv och motivation så behöver varje företag klarlägga gränserna mellan olika linje- och stabsfunktioners ansvar för det totala ADB-säkerhetsarbetet. Och detta på ett sätt som eliminerar risken för att ett delområde misshanteras eller glöms bort.
De direkt berörda kontrahenterna är:
ADB-säkerhetschefen, som ansvarar för policybildning för ADB-säkerhetsarbetet, initierar metodutvecklingsinsatser, definierar skyddsmål och kontrollerar måluppfyllelsen inom ADB-avdelningen och hos användarna.
ADB-chefen, som ansvarar för att ADB-säkerhetsarbetet inom hans/hennes avdelning är av rätt kvalitet. Dessutom ansvarar ADB-chefen för att användarnas förväntningar på ett adekvat säkerhetsskydd inom ADB-avdelningen infrias.
ADB-avdelningens säkerhetsman, som ansvarar för att resultatet av säkerhetsanalyserna på ADB-avdelningen och ute hos användarna omsätts i adekvata skyddsinsatser och ansvarar för att säkerhetsinsatserna inte degenererar över tiden. Han/hon skall också följa utvecklingen på den externa metod- och hjälpmedelssidan så att det egna ADB-säkerhetsskyddet kontinuerligt utvecklas i takt med de egna skyddsbehoven och med hjälp av de mest lämpade metoderna och teknikerna.
Användarna, som dels har ansvaret för den del av ADB-säkerheten som skall hanteras lokalt och dels skall förse ADB-avdelningen med erforderliga uppgifter om behov av och krav på säkerhetsinsatser inom den del av ADB-systemet som inte administreras av användarna själva. Det skall också vara en naturlig del i användarnas säkerhetsarbete att alla förändringar i behovs- och kravhänseende omgående skall meddelas till ADB-avdelningen.
Revisorn, som utöver den kontroll av ADB-verksamheten som sker inom ramen för det ekonomiska revisionsarbetet även bör ta en alltmer aktiv del i den erforderliga kontrollen av att det ADB-säkerhetsarbete som utförs står i samklang med den policy som ligger till grund för företagets verksamhet. Med andra ord, förvaltar ADB-chefen och
ADB-säkerhetschefen företagets pund rätt?
Genomförande av ADB-säkerhetsarbetet
Efter det som sagts om organisation av ADB-säkerhetsarbetet, är det relativt enkelt att beskriva hur ADB-säkerhetsarbetet skall genomföras. Var och en skall göra vad på dem ankommer.
Riktigt så enkelt låter det sig tyvärr inte uttryckas i det verkliga livet.
Beroende på hur det egna företaget ser ut organisatoriskt och också beroende på vilka personer som återfinns i de olika rutorna i organisationsschemat, kommer det reella ADB-säkerhetsarbetet att få anpassas till de aktuella förutsättningarna.
Ledmotivet för genomförandet skall vara att alla kontrahenter skall både få och lämna ifrån sig den information som behövs för att ADB-säkerhetsarbetet skall bli lyckosamt och hålla sig inom de ekonomiska ramar som har angetts. Det betyder att olika former av styrgrupper och samrådsgrupper måste bildas, så att alla nödvändiga kontaktvägar hålls öppna och att alla berörda vet vilka övriga som deltar i arbetet och hur arbetsuppgifterna skall fördelas.
Per Hoving, ADB-säkerhetschef, SAAB-Scania AB