IT- og Telestyrelsen It risk management i private og offentlige organisationer i Danmark. 2006

It risk management i private og offentlige organisationer i Danmark. 2006 E-mail info@pk-sikkerhed.dk s. 1 af 36

Indholdsfortegnelse 1. Indledning... 3 1.1. Undersøgelsens formål og rammer... 3 1.2. Konklusioner og anbefalinger... 3 1.3. Undersøgelsens opbygning og rapportens struktur... 6 1.4. Undersøgelsens grundlag... 6 1.4.1. Deltagende organisationer... 6 1.4.2. Undersøgelsens forløb... 8 2. Karakteristik af it-anvendelsen... 10 2.1. Organisationernes kritiske anvendelse af it... 10 2.1.1. Udveksling af data med leverandører og kunder... 10 2.1.2. Forretningsprocessers afhængighed af it... 11 2.2. It proces-modenhed... 12 3. It-sikkerhedsområdets opmærksomhed... 14 3.1. Organisationens begrundelse for at arbejde med it-sikkerhed... 14 3.2. Organisatorisk placering... 16 4. Konsekvensvurderinger... 20 4.1. Samlet vurdering.... 20 4.2. Ejerskab i forhold til trusler... 21 4.3. Konsekvensvurdering - tilgængelighed, fortrolighed, integritet... 23 5. It-sikkerhedsindsatser... 24 5.1. It risk Management... 24 5.2. Organisering af sikkerhedsarbejde... 26 5.2.1. Formalisering... 27 5.3. Medarbejdernes sikkerhedsadfærd... 31 5.4. It-sikkerhedsindsats ift. it-modenhed... 33 6. Brug af ekstern ekspertise... 34 6.1. Kontrol og evaluering af it-sikkerhed... 34 6.2. Viden om it-sikkerhed... 35 6.3. Outsourcing af sikkerhed... 35 E-mail info@pk-sikkerhed.dk s. 2 af 36

1. Indledning 1.1. Undersøgelsens formål og rammer Undersøgelsen over danske organisationers praksis indenfor styring af risici knyttet til itanvendelsen er udarbejdet for It & Telestyrelsen af Parkegaard & Kristensen Sikkerhed. Undersøgelsesperioden var september oktober 2006. Undersøgelsen har haft to overordnede formål: at få overblik over danske private og offentlige organisationers opmærksomhed og indsats på it-sikkerhed som en væsentlig del af en organisations risk management, og derved at fastlægge metoder, der gør det muligt at monitorere organisationernes indsats indenfor itsikkerhed i forhold til organisationernes størrelse, industritilhør m.v. Resultatet af undersøgelsen dokumenteres med indeværende rapport. Som følge af undersøgelsens perspektiv med fokus på at opsamle erfaring indenfor de to overordnede formål, har mængden af deltagende været indsnævret. Undersøgelsens talmateriale baseres således på 534 deltagende organisationer; hvilket er for snævert til at foretage analyser på delmængder af materialet. Undersøgelsesmaterialet er udarbejdet i et samarbejde mellem It & Telestyrelsen, et udvalg nedsat af Dansk Industris sikkerhedsforum ITEK, samt Parkegaard & Kristensen Sikkerhed. Undersøgelsen omfatter såvel private organisationer som offentligt ejede institutioner og organisationer, der i det følgende omfattes af fælles termen organisation. 1.2. Konklusioner og anbefalinger Afhængighed af it De deltagende organisationer i undersøgelsen udtrykker entydigt, at anvendelsen af informationsteknologi har afgørende betydning for såvel kommunikation med omverdenen, de administrative funktioner såvel som de væsentlige forretningsprocesser.. Stort set alle organisationer vurderer, at de administrative funktioner i afgørende grad er afhængige af it. I forhold til kommunikation med kunder og leverandører anses e-mail for at have en væsentlig større betydning end andre former for it-understøttet kommunikation. De processer, som organisationerne i størst omfang er afhængige af forretnings- eller kerneprocesserne, har en afhængighed af it, der stiger med organisationens størrelse. Afhængigheden er meget markant for de fleste organisationstypers vedkommende. Forsyningssektoren er den sektor, der angiver den mindste følsomhed for kerneprocesserne. E-mail info@pk-sikkerhed.dk s. 3 af 36

Organisationernes begrundelse for at adressere it-sikkerhed hænger i høj grad sammen med ønsket om at beskytte it-anvendelsen; således markerer over halvdelen af respondenterne, at det er den primære årsag til it-sikkerhedsinitiativer. Hensynet til vækstplaner og hensynet til kunder udgør i en tredjedel af organisationerne bevæggrunden for it-sikkerhedsinitiativer. Kommentar Undersøgelsen viser, at afhængigheden af it er så stor, at it udgør en kritisk forudsætning for organisationernes evne til at gennemføre deres daglige processer og dermed opfylde deres mål. Styring af it-området Betragtes organisationernes praksis for regulering af de processer, der omhandler it-anvendelsen viser undersøgelsen at jo større organisationen er, i desto større grad er der fastlagt og formaliseret styringsprocesser for it-anvendelsen. Set i forhold til de enkelte industrigrupper er det mest markante udsving industrivirksomheders lave interesse for området. Sammenlagt har 62 % af organisationerne indført en praksis for styring af it-området. Kommentar Organisationernes praksis for styring af it-området er væsentlig for evnen til at indføre og fastholde sikkerhedsinitiativer. Undersøgelsen viser, at der er taget en række initiativer for at styre it-området, men også at der er markante forskelle mellem organisationerne afhængig af størrelse og industrigruppe. For de grupper, der markerer sig svagt i undersøgelsen, bør der ydes en indsats for at gøre opmærksom på betydningen af at styre processerne i it-området. It risk management I undersøgelsen konstateres det, at alene omkring halvdelen af de deltagende organisationer har gennemført en egentlig styring af it-sikkerhedsområdet og at under 10 % har indført styring af såvel it-processer som it-sikkerhed. Der er forskellig praksis afhængig af organisationens størrelse og tilhør til industrigruppe: De større organisationer har flere processer på plads end de mindre. Specielt forsyningssektoren markerer sig med høj grad af styring. Respondenterne i undersøgelsen udtrykker tydeligt, at ledelsens interesse for området ikke er stor: Den indsats, der gøres for at dokumentere kravene til sikkerhed i form af sikkerhedspolitikker etc. fører ikke nødvendigvis til, at man får kravene omsat i praksis. Kommentar Det lave ledelsesengagement for it-sikkerhed er problematisk i forhold til den store betydning som it-anvendelsen spiller for organisationerne. Det er et ledelsesansvar, at sikre organisationernes værdier og evne til at opfylde de primære mål. E-mail info@pk-sikkerhed.dk s. 4 af 36

Formalisering og organisering Et af de undersøgte forhold er, i hvilket omfang der er indført sikkerhedsstyring og sikkerhedsregler: Der kan iagttages en klar tendens til at organisationerne er bedre til at beskrive krav og regler end til at udmønte det i egentlige implementeringer af sikkerhedsforanstaltninger. Specielt blandt de største organisationer er der en klar tendens til, at jo større organisationen er, desto større er forskellen med beskrivelsesgrad og implementering i praksis. Kun knap halvdelen af de deltagende organisationer har indført en formaliseret styring af deres itsikkerhed i form af sikkerhedspolitikker, retningslinier, udvalg m.v. Sammenlagt viser undersøgelsen at ledelsens opmærksomhed på og opbakning bag gennemførelse af sikkerhedspolitikkerne i praksis er meget lav. Næsten ¾ af de deltagende organisationer har ikke etableret et it-sikkerhedsudvalg, der skal behandle og vurdere de sikkerhedsmæssige tiltag. Virksomheder i Energi og Vandforsyningssektoren er bedst til at gennemføre en formaliseret sikkerhedsstyring. Dernæst følger offentlige servicevirksomheder samt gruppen af erhvervs- og finansielle servicevirksomheder. Kommentar Indførelsen af de formelle rammer for sikkerhedsstyring i form af it-sikkerhedspolitkker m.m. er kun gennemført hos halvdelen af de deltagende organisationer. Ledelsens engagement og opmærksomhed på it-sikkerhedsområdet ses som en væsentlig forudsætning for og del af de initiativer, der skal medføre at intentioner omsættes i praksis. Der er dermed behov for at gøre opmærksom på ledelsens betydning for indsatsen for itsikkerhed både i forhold til at indføre styringsværktøjer og i forhold til at understøtte den praktiske indførelse. Ressourceindsats Næsten alle organisationer har ansat personale til at håndtere sikkerhedsområdet og der er etableret direkte bånd fra sikkerhedslederen til organisationens øverste ledelse. Men det må også konstateres at jo større organisationerne bliver, desto længere væk kommer den sikkerhedsansvarlige fra den direkte kontakt til direktionen. Kommentar Den it-sikkerhedsansvarliges mulighed for at gøre den øverste ledelse opmærksom på væsentlige problemer er vigtig for at sikre upartiskhed og indgriben. Det kan derfor synes problematisk, at jo større en organisation er, jo længere væk kommer den sikkerhedsansvarlige fra den øverste ledelse. Trusler og beskyttelse Et af de trusselsscenarier, der kan medføre store konsekvenser for organisationerne, og hvor respondenterne ikke finder at der ikke er tilstrækkelige sikringsmekanismer på plads, er forbundet med medarbejderne og den adfærd de udøver. Under halvdelen af de deltagende organisationer har præciseret kravene til hvorledes it-sikkerhed i forhold til medarbejdernes adfærd skal håndteres. Det fremgår af undersøgelsen, at det er et område med lav ledelsesopmærksomhed. E-mail info@pk-sikkerhed.dk s. 5 af 36

De øvrige trusselsområder personer udenfor organisationen, fejl ved hardware og software og hændelser, der stammer fra forhold udenfor organisationens rækkevidde ses alle at kunne medføre alvorlige konsekvenser men også, at organisationerne i stort omfang føler sig beskyttet mod disse trusler. Kommentar Opmærksomheden på den uheldige indflydelse medarbejdernes adfærd tilsigtet som utilsigtet kan få på it-anvendelsen ses at være meget lav og i stor grad uden tilstrækkelig beskyttelse. Det er et område, hvor organisationerne bør sætte ind i forhold til den kultur og forståelse medarbejderne har for anvendelse af it. 1.3. Undersøgelsens opbygning og rapportens struktur Undersøgelsen var fastsat til at omfatte organisationer indenfor følgende af Danmarks Statistiks industrigrupper: Gruppe 2: Industri Gruppe 3: Energi og vandforsyning Gruppe 5: Handel, hotel og restauration Gruppe 6: Transportvirksomhed, post og tele Gruppe 7: Finansiering og forretningsservice Gruppe 8: Offentlige og personlige tjenester Undersøgelsen omfatter følgende størrelsesgrupper: 50 99 medarbejdere 100 199 medarbejdere 200 499 medarbejdere 500 - medarbejdere Det samlede antal respondenter blev 534. Rapporten gengiver i tabel og figurform observationer for de enkelte analyseområder med kommentarer på de specifikke og mere generelle forhold. Der er kun foretaget enkelte undersøgelse på tværs af industri- og størrelsesgrupperne, da en respondentgruppe på 500 ikke åbner mulighed herfor. 1.4. Undersøgelsens grundlag 1.4.1. Deltagende organisationer Hensigten med den foretagne undersøgelse har ikke været at foretage en statistisk dækkende vurdering af alle virksomhedsgrupper i Danmark. Udover at fravælge enkelte industrigrupper er E-mail info@pk-sikkerhed.dk s. 6 af 36

der foretaget en række selektioner, som gør at materialet i forhold til størrelsesgrupper og industrigrupper ikke er fuld repræsentativ. De foretagne valg er, 1. Mindre organisationer under 50 indgår ikke, da undersøgelsens spørgeområder ikke forventes at dække de forhold, der gælder i disse organisationer 2. Organisationer mellem 50 og 199 er overrepræsenteret, for at få så dækkende en undersøgelse af denne gruppe som muligt 3. Energisektoren har fået særlig vægt, da den har afgørende betydning for det øvrige samfundslivs evne til at gennemføre de daglige processer Med et grundlag på 534 organisationer i respondentgruppen vurderes talmaterialet at være tilstrækkeligt til at give indtryk af sammenhænge indenfor størrelses- og industrigrupper, men ikke for yderligere opdelinger eller tværanalyser. Indenfor gruppen af offentlige servicevirksomheder er 79 af 105 deltagende organisationer helt eller delvist ejet af det offentlige. Øvrige organisationer i denne gruppe er privatejede skoler o. lign. Udvælgelsen af organisationer blev foretaget på baggrund af den statistiske fordeling ifølge Danmarks Statistik og de ovenfor angivne selektionskriterier. Størrelses Gruppe 50-99 100-199 200-499 500+ Statistik ref. 47,19 % 24,06 % 16,21 % 12,54 % Resultat 48,13 % 28,09 % 15,54 % 8,24 % Konsekvensen af opprioriteringen af grupperne indtil 199 medarbejdere medførte en underrepræsentation for specielt gruppen fra 500 medarbejdere og opefter. Repræsentativiteten for denne gruppe er således lav. Industri (2) Danmarks Statistik industrigruppering Energi & vand forsyning (3) Handel (5) Transport (6) Finansiel & erhvervsservice (7) Offentlig service virksomhed (8) Statistik ref. 26,03 % 0,48 % 20,92 % 6,90 % 19,47 % 26,19 % Resultat 31,46 % 5,24 % 19,10 % 7,68 % 16,85 % 19,66 % Fordelingen af organisationer indenfor industrigrupperne viser, at grupperne ved erhvervs- og finansiel service, offentlige service-virksomheder, samt til dels handel og serviceindustrien er underrepræsenteret. Der deltager hhv. 102, 90 og 105 fra de tre grupper. E-mail info@pk-sikkerhed.dk s. 7 af 36

Danmarks Statistik Gruppe Industri (2) Energi & vand forsyning (3) Handel (5) Transport (6) Finansiel & erhvervsservice (7) Offentlig service virksomhed (8) Total Størrelsesgrupper 50-99 100-199 200-499 500+ Total 14,61 % 11,24 % 5,24 % 0,37 % 31,46 % 78 60 28 2 168 2,62 % 1,12 % 1,12 % 0,37 % 5,24 % 14 6 6 2 28 11,05 % 5,43 % 1,69 % 0,94 % 19,10 % 59 29 9 5 102 4,12 % 2,25 % 0,94 % 0,37 % 7,68 % 22 12 5 2 41 9,36 % 3,56 % 2,81 % 1,12 % 16,85 % 50 19 15 6 90 6,37 % 4,49 % 3,75 % 5,06 % 19,66 % 34 24 20 27 105 48,13 % 28,09 % 15,54 % 8,24 % 100,00 % 257 150 83 44 534 Sammenlagt giver materialet et udgangspunkt for vurderinger af de enkelte størrelsesgrupper og industrigrupper med de anførte forbehold. Til gengæld er antallet af deltagende organisationer for snævert til krydsvurderinger mellem delgrupperinger eller vurderinger af grupperinger indenfor f.eks. en størrelsesgruppe. 1.4.2. Undersøgelsens forløb Proces Undersøgelsen blev gennemført som telefoninterviews på baggrund af en selektion af organisationer som anført under 8.1. Henvendelsen til de udvalgte organisationer blev indledt med et brev til den it-ansvarlig chef, hvor It & Telestyrelsen præsenterede undersøgelsen og dens målsætninger og orienterede organisationen om, at den var udvalgt til deltagelse. Efterfølgende blev der taget telefonisk kontakt til de udvalgte organisationer. Der blev opnået kontakt til 1815 organisationer og gennemført i alt 540 interviews. Af de 1275 afslag blev den manglende deltagelse typisk begrundet et af følgende svar: Jeg kan ikke afsætte tid til deltagelse Det har ikke vores interesse at høre om, så vi ønsker derfor heller ikke at deltage Det er ikke oplysninger vi ønsker at give ud Det har ikke vi ikke interesse i Respondenterne Betegnelse respondenter er anvendt om de personer, der har besvaret undersøgelsens spørgsmål. E-mail info@pk-sikkerhed.dk s. 8 af 36

Det ses, at respondenterne typisk udgøres af den it-ansvarlige eller sikkerhedsansvarlige chef. Kun i meget begrænset omfang (6 %) har respondenterne plads i direktionen. Størrelses Gruppe Respondenternes rolle i organisationen 50-99 100-199 200-499 500+ Total Direktionsmedlem 10 % 2 % 4 % 0 % 6 % Ansvar for andre forhold end It 2 % 2 % 8 % 0 % 2 % Ansvarlig for It 71 % 69 % 60 % 50 % 67 % Ansvarlig for it-sikkerhed 12 % 21 % 26 % 48 % 20 % Øvrig 4 % 7 % 2 % 2 % 4 % Hovedtotal 100 % 100 % 100 % 100 % 100 % E-mail info@pk-sikkerhed.dk s. 9 af 36

2. Karakteristik af it-anvendelsen It risk management skal ses i forhold til, hvor kritisk it-anvendelsen er for de enkelte organisationer. I indeværende undersøgelse er det vurderet, hvilken betydning organisationernes it-anvendelse har for afviklingen af deres kerneprocesser såvel som for udførelsen af administrative rutiner. Endvidere er det undersøgt, hvor betydende de forskellige former for it-understøttet kommunikation med kunder og leverandører er. Undersøgelsen omfatter endvidere en karakteristik af organisationernes modenhed indenfor en række af kerneområderne i it-management. 2.1. Organisationernes kritiske anvendelse af it Respondenterne blev bedt om at karakterisere såvel den eksterne som den interne afhængighed af it. For den eksterne afhængighed indgik udvekslingen af data med hhv. leverandører og kunder. For den interne afhængighed blev der skelnet mellem anvendelsen af it til såvel generelle formål som til specifikke forhold for den enkelte organisations væsentlige forretningsprocesser. 2.1.1. Udveksling af data med leverandører og kunder Respondenterne blev for de IKT (informations kommunikations teknologi) understøttede kommunikationsformer mail, web, edi samt andre ikke-specificerede former bedt om at karakterisere afhængigheden af kommunikationen med såvel kunder som leverandører. Det er ikke muligt at definere nærmere hvad kundebegrebet omfatter det kan være forholdet mellem en organisation og andre organisationer (business to business) eller mellem en organisation og slutkunden (business to consumer). Mail vurderes af respondenter som den mest kritiske kommunikationsform for såvel leverandør- som kunderelationer med henholdsvis 56 og 61 %, der har vurderet det som meget kritisk (afhængighed 4-5). Web-baserede løsninger er den lavest vurderede kommunikationsform i kommunikationen med kunder: 80 % Kommunikation m. kunder Afhængighed Stigende skala mail web edi andet 1 7 % 65 % 50 % 31 % 2 12 % 15 % 16 % 13 % 3 25 % 11 % 14 % 24 % 4 29 % 6 % 10 % 20 % 5 27 % 4 % 10 % 13 % 100 % 100 % 100 % 100 % angiver det som laveste afhængighedstrin 1 til 2 og 10 % som trin 4-5. I kommunikationen med leverandører har web en lidt større rolle (64 % som afhængighed 1 til 2) og 14 % som trin 4-5. E-mail info@pk-sikkerhed.dk s. 10 af 36

Edi-løsninger spiller forsat en rolle for organisationerne: således vurderer knap 20 % den som meget vigtig for relationen til såvel kunder som leverandører. Under andet gemmer sig diverse typer af udveksling af data, der ikke omfattes af mail, web eller edi. For kunde-relationer vurderes det af 20 % det som væsentligt og for leverandør-relationer af 18 %. Kommunikation m. leverandører Afhængighed Stigende skala mail web edi andet 1 5 % 44 % 56 % 45 % 2 11 % 20 % 14 % 16 % 3 23 % 22 % 13 % 22 % 4 37 % 11 % 8 % 10 % 5 24 % 3 % 10 % 8 % 100 % 100 % 100 % 100 % Set i forhold til andelen af markeringer indenfor afhængighedsskalaen har den it-understøttede kommunikation med andre organisationer højere betydning end i relationer med kunder 2.1.2. Forretningsprocessers afhængighed af it Respondenterne blev bedt om at vurdere deres administrative rutiner, dvs. almene processer som skrive, regne og kommunikere, i forhold til it-anvendelsen. Sammenlagt karakteriserer 95 % af deltagerne anvendelsen som værende meget afhængig af it (afhængighed 4 eller 5). Gruppen af de største organisationer udtrykker at deres administrative rutiner er helt afhængige af it. Administrative rutiners afhængig af it Afhængighed Størrelses Gruppe Stigende Gns. skala 50-99 100-199 200-499 +500 org. 1 0 % 1 % 0 % 0 % 0 % 2 0 % 1 % 1 % 0 % 1 % 3 4 % 5 % 5 % 0 % 4 % 4 30 % 26 % 17 % 30 % 27 % 5 65 % 68 % 77 % 70 % 68 % 100 % 100 % 100 % 100 % 100 % Vurderes administrative rutiners afhængighed af it indenfor de enkelte industrigrupper, fremkommer et billede, hvor afhængigheden entydig er meget stor: Grupperne af offentlig serviceorganisation, energi samt transport-sektoren har angivet den højeste grad af afhængighed, mens de øvrige sektorer ligger omkring 93-95 % i afhængighedsniveau 4 til 5. Afhængighed Stigende skala Administrative rutiners afhængighed af IT Danmarks Statistik Gruppe Finansiel Energi & & vand erhvervsservice forsyning Handel Transport (3) (5) (6) (7) Industri (2) Offentlig service virksomhed Gns. (8) org. 1 0 % 0 % 0 % 0 % 1 % 0 % 0 % 2 1 % 0 % 0 % 0 % 1 % 1 % 1 % 3 7 % 0 % 6 % 2 % 4 % 0 % 4 % 4 25 % 36 % 25 % 34 % 22 % 30 % 27 % 5 68 % 64 % 69 % 63 % 71 % 69 % 68 % total 100 % 100 % 100 % 100 % 100 % 100 % 100 % E-mail info@pk-sikkerhed.dk s. 11 af 36

Respondenterne blev endvidere bedt om at vurdere kerneprocesser i forhold til afhængigheden af it. Kerneprocesser er forretningsprocesser, der er afgørende betydning for en organisations virke og dermed dens evne til at opfylde de forretningsmæssige mål. Der ses en kraftig afhængighed af it i forhold til organisationens størrelse; jo større organisation er, desto mere markant fremstår det, at organisationens kerneprocesser er afhængige af it: Det kan være et udtryk for manglende bevidsthed om dette forhold blandt de mindre organisationer, samt at jo større en organisation er, desto mere udbredt og funderet er dens anvendelse og afhængighed af it. Kerneprocessers afhængighed af it Størrelses Gruppe Afhængighed Stigende skala 50-99 100-199 200-499 +500 Gns. org. 1 1 % 1 % 2 % 0 % 1 % 2 4 % 4 % 2 % 2 % 3 % 3 22 % 24 % 21 % 7 % 21 % 4 36 % 36 % 20 % 27 % 33 % 5 37 % 34 % 54 % 64 % 41 % 100 % 100 % 100 % 100 % 100 % Betragtes afhængigheden af de organisationsspecifikke it-systemer i forhold til industrigrupper er der visse forskelle med betydning for kerneprocesserne: I gruppen af industrivirksomheder samt hos de offentlige servicevirksomheder har 6-8 % angivet, at it ikke spiller nogen betydende rolle. Organisationerne i forsyningssektoren angiver alle at it har en fra middel til væsentlig betydning. Afhængighed Stigende skala Industri (2) Kerneprocessers afhængighed af it Danmarks Statistik Gruppe Finansiel Energi & & vand erhvervsservice forsyning Handel Transport (3) (5) (6) (7) Offentlig service virksomhed Gns. (8) org. 1 2 % 0 % 1 % 0 % 1 % 1 % 1 % 2 6 % 0 % 2 % 0 % 1 % 5 % 3 % 3 23 % 36 % 20 % 20 % 14 % 23 % 21 % 4 38 % 46 % 40 % 34 % 22 % 23 % 33 % 5 32 % 18 % 37 % 46 % 61 % 49 % 41 % I alt 100 % 100 % 100 % 100 % 100 % 100 % 100 % Gruppen af organisationer indenfor finansiel og erhvervsservice samt offentlige servicevirksomheder har markeret den højeste afhængighed af it. 2.2. It proces-modenhed It procesmodenhed er det omfang, der er fastlagt procedurer for en række væsentlige processer i itafviklingen. Respondenterne blev bedt om at karakterisere omfanget af, hvorvidt der var indført faste procedurer for hhv. support, drift og udvikling. E-mail info@pk-sikkerhed.dk s. 12 af 36

Set i forhold til en mulig bedst score på 100 % er den gennemsnitlige itmodenhed 62, hvor gruppen med færrest ansatte placerer sig 3 % point under og gruppen med over 500 ansatte 5 % point over gennemsnittet. 100 90 80 70 60 62 It-modenhed Industrigrupper 59 63 63 68 50 Alle emner 50-99 ansatte 100-199 ansatte 200-499 ansatte +500 ansatte Betragtes it-modenheden i forhold til industrigrupper fremstår der et meget ensartet billede for alle grupper, hvor dog industrivirksomhederne ligger under gennemsnittet. 100 90 80 70 60 50 It-modenhed Industrigrupper 62 59 Alle emner Industri 63 61 Vand og energi Handel 64 63 64 Transport Finans og erhvervsservice Offentlig servicevirksomh. E-mail info@pk-sikkerhed.dk s. 13 af 36

3. It-sikkerhedsområdets opmærksomhed For at kunne vurdere, i hvilket omfang it-sikkerhedsområdet har opmærksomhed i de undersøgte organisationer, blev respondenterne bedt om at karakterisere it-sikkerhed i forhold til hvilke årsager organisationerne har til at beskæftige sig med it-sikkerhed reference-forholdet for den it-sikkerhedsansvarlige den formelle organisering af it-sikkerhedsområdet ressourceallokering til it-sikkerhedsområdet 3.1. Organisationens begrundelse for at arbejde med it-sikkerhed Respondenterne blev bedt om at tage stilling til 6 forskellige årsager til hvorfor it-sikkerhed er et tema i den pågældende organisation. I nedenstående tabel vises angivelserne i forhold til hvor ofte den enkelte faktor er angivet. Det fremgår, at organisationerne oftest arbejder med it-sikkerhed grundet ønske om at beskytte deres it-anvendelse. Derefter følger hensynet til organisationens vækstplaner og pålæg fra revisionen. Efterfølgende kommer hensynet til kunder og leverandører. Det eksterne hensyn vækstplaner og krav fra samarbejdspartnere udgør tilsammen 33 % af årsagerne. Dårlige erfaringer ses kun at spille en minimal rolle i arbejdet med it-sikkerhed. Billedet er imidlertid ikke entydigt set i forhold til organisationernes størrelse: Revisionens rolle er vigtigere desto større organisationen er. Til gengæld udgør hensynet til vækstplaner en lidt større rolle i de mindre organisationer end i de største. Hensynet til kunder, leverandører eller andre partnere ses kun at spille en begrænset rolle for respondenterne. Størrelses Gruppe Baggrund for fokus på itsikkerhed 100-50-99 199 200-499 +500 Gns.org Organisationen ønsker at beskytte anvendelse af data, udstyr og andet it 35 % 34 % 35 % 35 % 35 % It-sikkerhed er vigtig for gennemførsel af organisationens vækstplaner 21 % 22 % 22 % 18 % 21 % Der har været store problemer med itsikkerheden (virus el.lign.) 5 % 4 % 4 % 0 % 4 % Det er pålagt af revisionen 19 % 23 % 22 % 27 % 21 % Det er et krav fra kunder, leverandøren el. anden kontakt 12 % 12 % 13 % 14 % 12 % Andre grunde 7 % 6 % 5 % 6 % 6 % 99 % 101 % 101 % 100 % 99 % E-mail info@pk-sikkerhed.dk s. 14 af 36

Der er en række forskelle mellem de forskellige industrigrupper i forhold til hvorfor organisationer beskæftiger sig med it-sikkerhed: Baggrund for fokus på itsikkerhed Industri (2) Danmarks Statistik Gruppe Energi & vand forsyning Handel (3) (5) Transport (6) Finansiel & Offentlig erhvervsservice virksomhed service (7) (8) Gns.org. Organisationen ønsker at beskytte anvendelse af data, udstyr og andet it 37 % 44 % 33 % 37 % 32 % 33 % 35 % It-sikkerhed er vigtig for gennemførsel af organisationens vækstplaner 22 % 14 % 25 % 19 % 21 % 19 % 21 % Der har været store problemer med itsikkerheden (virus el.lign.) 4 % 3 % 6 % 4 % 5 % 3 % 4 % Det er pålagt af revisionen 21 % 27 % 18 % 23 % 18 % 24 % 21 % Det er et krav fra kunder, leverandøren el. anden kontakt 9 % 8 % 10 % 15 % 15 % 17 % 12 % Andre grunde 7 % 3 % 7 % 3 % 9 % 4 % 6 % 100 % 99 % 99 % 101 % 100 % 100 % 99 % Industrivirksomheder vurderer hensynet til vækstplaner meget højt, men er til gengæld ikke underlagt større krav fra samarbejdspartnere. Energisektoren fremhæver tydeligt hensynet til beskyttelse af data og it-udstyr samt pålægget fra revisionen. Vækstplaner ses derimod at ikke at spille en større rolle. For offentlige servicevirksomheder er krav fra kunder, leverandører eller andre meget tydelig formentlig et udtryk for det statslige mål om indførelse af DS 484 i alle statslige organisationer. Handel og service fremhæver i større omfang end de øvrige grupper hensynet til organisationens vækstplaner måske et udtryk om forøget anvendelse af e-handel. E-mail info@pk-sikkerhed.dk s. 15 af 36

3.2. Organisatorisk placering For at kunne bedømme omfang og styrke af indsatsen indenfor It risk management er organisationernes allokering af ressourcer til sikkerhedsområdet og den organisatoriske placering af samme inddraget i undersøgelsen. Referenceforhold Referencen for den ansvarlige for it-sikkerhed er væsentlig og retter sig såvel mod den øverste ledelse som it-området: Der skal være tilstrækkelig opmærksomhed i den øverste ledelse på itsikkerhed, og behandlingen af it-sikkerhed bør uafhængig af forhold, der knytter til daglig it-drift. Størstedelen af de sikkerhedsansvarlige 2/3 - er i direkte reference til direktion og enkelte (3 %) direkte til bestyrelsen. Dermed har sikkerhedsområdet en direkte adgang til den øverste ledelse. Men det ses også, at det er forhold, der er stærkt afhængige af organisationernes størrelse: Der ses en tydelig tendens til jo større organisationen bliver, desto længere væk kommer den it-sikkerhedsansvarlige fra den direkte adgang til direktionen. Den større afstand til beslutningstagerne kan udgøre et problem for prioritering af sikkerhedsområdet og for behandling af sager af tværgående karakter. Hvem refererer den Størrelsesgruppe ansvarlige for informations- 100-200- Gns. sikkerhed til 50-99 199 499 +499 org. Anden instans 5 % 7 % 10 % 11 % 7 % Bestyrelsen 1 % 4 % 5 % 2 % 3 % Direktionen 75 % 66 % 57 % 50 % 67 % It-ansvarlig chef 19 % 23 % 29 % 36 % 23 % Hovedtotal 100 % 100 % 100 % 100 % 100 % Denne problematik bliver specielt aktuel for de organisationer, hvor reference-forholdet er direkte til den it-ansvarlige chef. Blandt 36 % af de store organisationer mod 19 % af de mindre er dette tilfældet. Der ses en række forskelle mellem hvordan de forskellige industrigrupper griber organiseringen af it-sikkerhed an: Danmarks Statistik Gruppe Finansiel & erhvervsservice (7) Energi og vandforsyning Hvem refererer den Energi & er den sektor, der i størst ansvarlige for vand omfang har angivet, at den informations- Industri forsyning Handel Transport sikkerhed til (2) (3) (5) (6) it-sikkerhedsansvarlige har direkte adgang til direktionen. Den direkte reference til den it-ansvarlige chef er mest markant i grupperne 5 til 8, hvor specielt offentlige servicevirksomheder med 30 % adskiller sig. Offentlig service virksomhed Gns. (8) org. Anden instans 11 % 0 % 5 % 5 % 8 % 5 % 7 % Bestyrelsen 2 % 0 % 3 % 0 % 4 % 3 % 3 % Direktionen 68 % 89 % 69 % 68 % 62 % 63 % 67 % It-ansvarlig chef 19 % 11 % 24 % 27 % 26 % 30 % 23 % Hovedtotal 100 % 100 % 100 % 100 % 100 % 100 % 100 % Det skal bemærkes, at den direkte reference til anden instans end direktion eller bestyrelse ikke hindrer, at den it-sikkerhedsansvarlige i særlige tilfælde kan henvende sig til den øverste ledelse. E-mail info@pk-sikkerhed.dk s. 16 af 36

Organisering og ressource-allokerering Respondenterne blev bedt om at beskrive, i hvilket omfang man har afsat ressourcer til at forestå it-sikkerhed samt hvorledes området er organiseret. Det fremgår, at der en direkte sammenhæng mellem størrelse og tilstedeværelsen af en sikkerhedsenhed: Jo større organisation, desto hyppigere er ansvaret for opgaven formaliseret i en enhed. Og, desto større organisation, jo større er tendensen til at ansvaret deles mellem flere forskellige enheder. Materialet rummer ikke mulighed for at vurdere, hvorvidt denne tendens skyldes hensyn til funktionsadskillelse mellem f.eks. teknisk it-sikkerhed og normativ it-sikkerhed. Placering af ansvaret for informationssikkerhed hos en eller flere enheder? 50-99 Størrelses Gruppe 100-200- 199 499 +500 Der ses en række forskelle mellem industrigrupperne i forhold til, hvordan sikkerhedsarbejdet er organiseret, idet der dog skal tages hensyn til fraværet af store organisationer i grupperne 2 til 7: Gns. Nej, vi har ikke en eller flere enheder med direkte ansvar for informationssikkerhed. 19 % 10 % 13 % 6 % 14 % Vi har en enhed, der er ansvarlig for både at fastlægge niveau, gennemføre beskyttelse samt sikre opfølgning. 63 % 69 % 63 % 51 % 63 % Ansvaret er spredt mellem to eller flere enheder. 19 % 21 % 24 % 43 % 22 % 100 % 100 % 100 % 100 % 100 % Placering af ansvaret for informationssikkerhed hos en eller flere enheder? Industri (2) Danmarks Statistik Gruppe Finansiel & erhvervsservice Transport (6) (7) Energi & vand forsyning Handel (3) (5) Offentlig service virksomhed (8) Gns. Nej, vi har ikke en eller flere enheder med direkte ansvar for informationssikkerhed. 15 % 7 % 12 % 15 % 18 % 13 % 14 % Vi har en enhed, der er ansvarlig for både at fastlægge niveau, gennemføre beskyttelse samt sikre opfølgning. 67 % 38 % 68 % 65 % 74 % 52 % 63 % Ansvaret er spredt mellem to eller flere enheder. 17 % 55 % 20 % 21 % 8 % 35 % 22 % 100 % 100 % 100 % 100 % 100 % 100 % 100 % Tilstedeværelsen af en sikkerhedsenhed, herunder også spredningen på flere enheder, ses mest markant i Energisektoren, hvor der er større spredning på flere enheder end i de øvrige industrigrupper. Herefter følger gruppen af offentlige servicevirksomheder, hvor 35 % har spredt E-mail info@pk-sikkerhed.dk s. 17 af 36

ansvaret på flere enheder. De øvrige industrigrupper tenderer hyppigere til at samle ansvaret i en sikkerhedsorganisation, hvor gruppen af finansielle og erhvervsservice virksomheder er mest markant med 74 %. Denne gruppe har også det højeste fravær af en sikkerhedsorganisation. I allokeringen af interne ressourcer til sikkerhedsområdet ses en tydelig og, ikke overraskende, tendens til, at jo større organisationen er, desto hyppigere har man allokeret egentlige stillinger til sikkerhedsområdet. E-mail info@pk-sikkerhed.dk s. 18 af 36

Det bemærkes, at næsten alle respondenter angiver at have allokeret ressourcer i form af fuldtidsstillinger til it-sikkerhedsområdet kun i gns. 5 % er dette ikke tilfældet. Der er stor grad af sammenfald mellem ressourceallokeringen i de tre mindste størrelsesgrupper. Der er en tydelig forskel mellem de næststørste organisationer og så gruppen af de største organisationer i forhold til, hvor mange stillinger, der allokeres til sikkerhedsarbejde. Gruppen af organisationer op til 499 ansatte udviser større grad af overensstemmelse med de mindre organisationer end de større. Størrelses Gruppe Antal itsik.medarb. 100-200- Gns 50-99 199 499 +500 org. 0 7 % 5 % 4 % 2 % 5 % 1-3 52 % 56 % 56 % 43 % 53 % 4-6 33 % 31 % 31 % 39 % 32 % 7-10 5 % 5 % 5 % 7 % 5 % 11-4 % 4 % 5 % 9 % 4 % 100 % 100 % 100 % 100 % 100 % Ressourceallokeringen til sikkerhedsområdet på tværs af industrigrupperne viser i forhold til de gennemsnitlige værdier enkelte bemærkelsesværdige forskelle: Antal it-sik. medarb. Industri (2) Danmarks Statistik Gruppe Energi & vand forsyning Handel (3) (5) Transport (6) Finansiel & Offentlig erhvervsservice virksomhed service (7) (8) Gns.org. 0 5 % 0 % 7 % 7 % 8 % 3 % 5 % 1-3 54 % 39 % 55 % 41 % 59 % 53 % 53 % 4-6 31 % 46 % 31 % 39 % 26 % 35 % 32 % 7-10 5 % 0 % 5 % 10 % 4 % 5 % 5 % 11-5 % 14 % 2 % 2 % 3 % 4 % 4 % 100 % 100 % 100 % 100 % 100 % 100 % 100 % Organisationerne i Forsyningssektoren har alle allokeret personale til it-sikkerhed og i et større omfang end de øvrige grupper. Fremstillingsvirksomheder, handel, transport og specielt gruppen med erhvervs- og finansielservice er de grupper, hvor der i mindst omfang er ansat it-sikkerhedspersonale. E-mail info@pk-sikkerhed.dk s. 19 af 36

4. Konsekvensvurderinger Respondenterne blev anmodet om at vurdere, indenfor hvilke områder trusler ville kunne få størst betydning for hhv. informationsaktivernes tilgængelighed, fortrolighed og integritet. Samtidig blev man bedt om at vurdere i hvilket omfang, organisationerne havde etableret tilstrækkelig beskyttelse mod de pågældende trusselsområder. Endelig blev man bedt om at vurdere, hvorvidt der for de pågældende trusselsområder var fastlagt et ejerskab i organisationen. Trusselskategorierne omfatter: Internt personale/medarbejdere Eksterne personer Fejl v. informationsaktiver (hardware og softwarefejl) Makroforhold Respondenterne blev ikke bedt om at vurdere sandsynligheden af, hvorvidt en given trussel bliver til virkelighed eller i hvilket omfang organisationerne har oplevet problemer indenfor de pågældende trusselskategorier. 4.1. Samlet vurdering. Af nedenstående figur fremgår for hvert af de 4 trusselsområder, i hvilket omfang konsekvenserne af et sikkerhedsbrist kan få alvorlige konsekvenser i forhold til tilgængelighed, fortrolighed og integritet. Over 50 % af respondenterne vurderer, at det interne personales adfærd kan have alvorlige konsekvenser for fortroligheden og tilsvarende vurderer over 40 %, at det kan have alvorlige konsekvenser for integriteten. 60,0% 50,0% 40,0% 30,0% 20,0% 10,0% 0,0% Internt personale Konsekvensvurdering - samlet Eksterne personer Fejl v. informationsaktiver Makroforhold Tilgængelighed Fortrolighed Integritet Over 50 % af respondenterne vurderer, at eksterne personers adfærd kan få alvorlige problemer for tilgængeligheden af informationsaktiver, medens konsekvenserne for hhv. fortrolighed og integritet vurderes lidt lavere. E-mail info@pk-sikkerhed.dk s. 20 af 36

For fejl ved informationsaktiverne vurderes konsekvenserne at være størst for tilgængeligheden, medens fortrolighed og integritet vurderes noget lavere. Noget tilsvarende gør sig gældende for makroforhold, hvor tilgængeligheden markant vurderes som det område, hvor uheld kan få størst konsekvens. 4.2. Ejerskab i forhold til trusler For hver af de angivne trusselskategorier blev respondenterne anmodet om at karakterisere ejerskabet: Det fremgår, at der er betydelig forskel mellem forholdet til trusler afhængig af organisationens størrelse; desto større organisation desto højere grad af organisatorisk opmærksomhed. Det fremgår af tabellen, at det specielt er de tre mindste organisationskategorier, hvor der ikke er taget stilling til hvem der er ansvarlig for at adressere risici; omkring 50 % af de mindre organisationer har ikke taget aktiv stilling til trusler. Til gengæld bemærkes også, at blandt de største organisationer har 76 % taget stilling til truslerne med efterfølgende placering af ansvar. Det efterlader dog 24 %, hvor det ikke har fundet sted og sammen med de øvrige størrelsesgrupper er der i alt 50 % af organisationerne, hvor en organisatorisk forankring ikke finder sted. Endelig bør forskellen mellem de næststørste og største organisationer i forhold til behandling af trusler mod it-afviklingen bemærkes; organisationerne i den næststørste gruppe ligner på dette område mere de mindre organisationer end organisationerne i den største gruppe. Vurderes organisationernes stillingtagen til trusler, der kan forbindes med det interne personales adfærd (medarbejdere) fremgår det, at de tre mindste organisationsstørrelser kun i begrænset omfang har taget Størrelseskategori Ejerskab i forhold til det samlede trusselsbillede 50-99 100-199 200-499 +500 Gns. org. Truslen er ikke drøftet 24 % 17 % 14 % 13 % 20 % Truslen er drøftet 28 % 39 % 34 % 11 % 30 % Truslen er drøftet og ansvaret er organisatorisk placeret 49 % 44 % 52 % 76 % 50 % 100 % 100 % 100 % 100 % 100 % Størrelses Gruppe Trusler stammende fra internt personale 50-99 100-199 200-499 +500 Gns. org. Truslen er ikke drøftet 31 % 21 % 20 % 16 % 25 % Truslen er drøftet 30 % 39 % 39 % 16 % 33 % Truslen er drøftet og ansvaret er organisatorisk placeret 39 % 40 % 40 % 68 % 42 % Hovedtotal 100 % 100 % 100 % 100 % 100 % stilling til og allokeret ansvar. Hos organisationerne i den største kategori har 68 % placeret et ejerskab. E-mail info@pk-sikkerhed.dk s. 21 af 36

Et tilsvarende billede som for eksterne personer ses ved trusler, der stammer fra fejl ved it-aktiver. Men der må dog konstateres en mindre forankring for truslen hos de store organisationer (75 % mod 82 %). For trusler, der stammer fra forhold udenfor organisationernes kontrol, er de gns. værdier på samme niveau som de foregående trusselstyper. For de to mindste størrelsesgrupper bemærkes det, at i under 50 % af tilfældene har man allokeret ansvar for makrotrusler. De mindre organisationer er i Størrelses Gruppe højere grad opmærksomme på Trusler stammende fra 100-200- Gns. trusler, der kan forbindes med eksterne personer end trusler der har forbindelse med eksterne personer Truslen er ikke drøftet Truslen er drøftet 50-99 21 % 26 % 199 16 % 39 % 499 13 % 36 % +500 14 % 5 % org. 18 % 29 % medarbejderes adfærd. Der er Truslen er drøftet og ansvaret er organisatorisk placeret 53 % 45 % 51 % 82 % 53 % en meget markant forskel Hovedtotal 100 % 100 % 100 % 100 % 100 % mellem organisationerne i den største gruppe hvor 82 % har placeret et ansvar og så de øvrige grupper. Trusler if. fejl i Størrelses Gruppe informationsaktiver (hardware/software) 50-99 100-199 200-499 +500 Gns. org. Truslen er ikke drøftet 21 % 14 % 12 % 11 % 17 % Truslen er drøftet 26 % 36 % 32 % 14 % 29 % Truslen er drøftet og ansvaret er organisatorisk placeret 53 % 50 % 56 % 75 % 54 % Hovedtotal 100 % 100 % 100 % 100 % 100 % Trusler udenfor organisationens kontrol (makroforhold) Størrelses Gruppe Internt ejerskab: 50-99 100-199 200-499 +500 Gns. org. Truslen er ikke drøftet 23 % 18 % 12 % 11 % 19 % Truslen er drøftet 29 % 40 % 29 % 9 % 30 % Truslen er drøftet og ansvaret er organisatorisk placeret 49 % 42 % 60 % 80 % 51 % Hovedtotal 100 % 100 % 100 % 100 % 100 % For de 4 trusselskategorier bemærkes det, at trusler stammende fra medarbejderne i væsentlig mindre omfang har fundet en organisatorisk opmærksomhed end de 3 øvrige kategorier. Det gælder både om der er taget stilling til truslen, og hvorvidt man har fastlagt et organisatorisk ansvar for at behandle denne. E-mail info@pk-sikkerhed.dk s. 22 af 36

4.3. Konsekvensvurdering - tilgængelighed, fortrolighed, integritet Vurderes de tre konsekvensområder tilgængelighed, fortrolighed og integritet i forhold til hvorvidt der er etableret beskyttelse på de fire trusselsområder hvor konsekvenserne er størst, fremkommer nedenstående billede: Truslerne mod it-aktivers tilgængelighed vurderes af respondenterne til at være størst fra eksterne personer og fra makroforhold; respondenterne angiver også at have indført beskyttelse mod disse forhold. Til gengæld udtrykker lidt under en femtedel af organisationerne, at der for fejl ved informationsaktiver ikke er tilstrækkelige beskyttelse. relativt vurdering 50,0% 40,0% 30,0% 20,0% 10,0% 0,0% Tilgængelighed respondenters vurdering af betydning stor konsekvens, tilstrækkelige værn stor konsekvens, utilstrækkelige værn Internt personale Eksterne personer Fejl v. informationsaktiver Makroforhold For trusler med betydning for fortroligheden, vurderer mange af organisationerne, at specielt internt personale og eksterne personer kunne forårsage problemer med store konsekvenser. De fleste vurderer, at der er tilstrækkelig beskyttelse mod trusler fra eksterne personer. Omkring en tredjedel vurderer, at man ikke er beskyttet mod det interne personales adfærd. relativt vurdering 50,0% 40,0% 30,0% 20,0% 10,0% 0,0% Fortrolighed respondenters vurdering af betydning stor konsekvens, tilstrækkelige værn stor konsekvens, utilstrækkelige værn Internt personale Eksterne personer Fejl v. informationsaktiver Makroforhold Respondenterne vurderer ikke, at fejl fra de 4 trusselstyper kan få så store konsekvenser for integritet som for fortroligheden eller tilgængelighed. I stort omfang mener organisationerne at være beskyttet mod disse trusler. De største trusler mod integriteten vurderes at komme fra internt personale eller eksterne personer. relativt vurdering 50,0% 40,0% 30,0% 20,0% 10,0% 0,0% Integritet respondenters vurdering af betydning stor konsekvens, tilstrækkelige værn stor konsekvens, utilstrækkelige værn Internt personale Eksterne personer Fejl v. informationsaktiver Makroforhold E-mail info@pk-sikkerhed.dk s. 23 af 36

5. It-sikkerhedsindsatser I undersøgelsen er det valgt at karakterisere graden af risikostyring eller It risk management i forhold til henholdsvis den praksis der er for opmærksomhed på risici, dels i forhold til i hvilket omfang man har struktureret indsatsen mod risici. Endelig er det valgt at medtage et af indsatsområderne, sikkerhedskulturen, i vurderingen af organisationernes It risk management. De tre områder er således: 1. It risk management praksis 2. Struktureringen af it-sikkerhed 3. Sikkerhedskulturen i organisationen For hvert af områderne opstilles der en niveau-vurdering for det samlede område med udgangspunkt i en skala RIF -, der viser omfanget af henholdsvis formaliserede krav (R), implementering (I) og ledelsesmæssig forankring (F) Hvor punkterne 1 og 2 er af mere generel karakter for sikkerhedsindsatsen er sikkerhedskulturen medtaget, da den i stadigt stigende omfang udgør et særligt fokusområde indenfor it-sikkerhed. 5.1. It risk Management It risk management praksis blandt de deltagende organisationer er vurderet i forhold til hvorvidt respondenterne har en formaliseret og kontinuerlig proces for følgende områder: Formelle procedurer for behandling af risici knyttet til it-anvendelsen Vurdering af risici når der indføres it Identifikation og dokumentation af kritiske forretningsprocesser Identifikation og dokumentation af kritiske informationsaktiver Opfølgning på hændelser, der har hindret eller forsinket IT-processer Revurdering af risikobilledet ved større ændringer i organisering, it-anvendelse el. lign. I forhold til en maksimal score på 100 viser det samlede resultat for respondenternes praksis for It risk management en formaliseringsgrad af krav på 66. Implementeringsgraden er noget lavere på 47 og forankringen omkring 51. 100 90 80 70 60 50 40 30 20 10 0 It- risk management 66 47 51 Retningslinie Implementering Forankring E-mail info@pk-sikkerhed.dk s. 24 af 36

Noget tyder på, at it rísk management ikke har tilstrækkelig opmærksomhed i ledelsen til, at de ønskede tiltag kan gennemføres Det samlede resultat indikerer, at ledelsens engagement er afgørende for indførelse af allerede fastlagte procedurer. Betragtes it risk management praksis i forhold til organisationernes størrelse fremgår det, at der er en tydelig sammenhæng mellem RIF Risk Management størrelsesgrupper organisationens størrelse og dens RIF tal; jo større organisationen jo højere tal. Men RIF 100 90 tallene indikerer en anden tendens, idet 80 afstanden mellem R, dvs. de formaliserede 70 60 krav og IF dvs. implementering og forankring 50 40 øges med organisationens størrelse. Dette 30 indikerer, at de større organisationer har 20 10 vanskeligt ved at fastholde fokus og ledelsens 0 engagement indenfor området It risk management. 50-99 ansatte 100-199 ansatte 200-499 ansatte +500 ansatte R I F Det skal bemærkes, at niveauet generelt er højt blandt de største organisationer. Set i forhold til industrigrupper (med forbehold for repræsentativitet) udviser fremstillingsvirksomhederne det markant laveste fokus på risikostyring af itanvendelsen. Den bedst placerede industrigruppe er forsyningsvirksomhed, der til gengæld har en forskel på ca. 30 procentpoints mellem krav og forankring. Indenfor såvel transportgruppen som gruppen af offentlige virksomheder er der store forskelle mellem krav og forankring. Gruppen med Finansiel og erhvervsservice har den mindste forskel mellem krav, implementeringsniveau og understøttelse fra ledelsen. 100 90 80 70 60 50 40 30 20 10 0 Industri RIF Risk management industrigrupper Energi og vandforsyning Handel og service Transport Finansiel og erhv. Off. Servicevirksomhed R I F Det fremgår endvidere, at når formaliseringen af krav når et niveau over 60, har man tilsyneladende svært ved at fastholde implementering og understøttelse fra ledelsen. Effekten af sikkerhedsarbejdet ser således ikke ud til at øges med graden af beskrivelse. E-mail info@pk-sikkerhed.dk s. 25 af 36

5.2. Organisering af sikkerhedsarbejde Der er generel enighed om, at indførelse af effektive og konsistente sikkerhedsforanstaltninger i en organisation forudsætter en organisering af sikkerhedsarbejdet, der rækker udover it-afdelingen eller it-sikkerhedsorganisationen. Ansvar, roller og opgaver i sikkerhedsarbejdet bør defineres og dokumenteres, så det kan fastholde et samarbejde mellem alle dele af organisationen. I undersøgelsen af de responderende organisationers formelle sikkerhedsstyring er der lagt vægt på følgende områder: Organisering af it-sikkerhed i et system, der beskriver roller, ansvar og opgaver Nedsættelsen af et udvalg i organisationen til behandling af it-sikkerhedsmæssige spørgsmål Sammenfatning og formalisering af krav til it-sikkerhed i en it-sikkerhedspolitik Den systematiske revision af it-sikkerhedspolitikken for at sikre relevans og effektivitet Konkretisering af sikkerhedspolitikkens bestemmelser i retningslinier el.lign. Den systematiske opfølgning på retningsliniernes overholdelse Den samlede RIF vurdering for sikkerhedsstyring viser et formaliseringsniveau på 50, en indførelse på 48 og en forankring i ledelsen på 45. Det viser en lav grad af såvel formalisering, indførelse og opmærksomhed på de formelle processer for styring af sikkerhed. Den manglende ledelsesmæssige opbakning har tilsyneladende betydning for indførelsen af det nødvendige formelle styringsgrundlag. 100 90 80 70 60 50 40 30 20 10 0 Sikkerhedsstyring i praksis 50 48 45 Retningslinie Implementering Forankring De samlede tal viser, at omkring halvdelen af de adspurgte organisationer har formelle krav og processer for styring af it-sikkerhed og har indført disse foranstaltninger i praksis. Spørgsmålet er, hvorvidt der er tale om en generel lav opmærksomhed på området eller den stammer fra specifikke organisationstyper og grupper. E-mail info@pk-sikkerhed.dk s. 26 af 36

Fordeles RIF tallene på organisationsstørrelser, fremstår gruppen af organisationer med mere end 500 ansatte som den markant bedst placerede. Tilsvarende RIF tallene for risk management, er der tydelig forskel på de formelle krav til styring og ledelsens opbakning af samme. De to grupper af mellemstore organisationer ligger meget ens; specielt for gruppen op til 500 ansatte indikerer RIF tallene at der på formalisering af kravene til sikkerhed er stor forskel til niveauet i større organisationer. For de mindste organisationer i respondentgruppen må der konstateres et ensartet og meget lavt niveau for sikkerhedsstyring på omkring 40. RIF tallene for sikkerhedsstyring i de enkelte industrigrupper udviser tydelige forskelle: Energi og forsyningssektoren ligger højt placeret i forhold til øvrige grupper og med en begrænset forskel mellem krav og implementering/forankring. Fremstillingsvirksomheder ligger lavest sammen med handel og service, samt transportsektoren. Gruppen af offentlige servicevirksomheder følger tættest på energisektoren, men udviser samtidigt en tydelig forskel på formalisering af krav og ledelsens opbakning. Gruppen med finansielle virksomheder og virksomheder, der yder erhvervsservice, adskiller sig sammen med handel og service ved, at forankringen i ledelsen samt implementeringen er på niveau med formalisering af krav og politikker. 100 90 80 70 60 50 40 30 20 10 0 100 90 80 70 60 50 40 30 20 10 0 RIF Sikkerhedsstyring 50-99 ansatte 100-199 ansatte 200-499 ansatte +500 ansatte Industri RIF Sikkerhedsstyring industrigrupper Energi og vandforsyning Handel og service Transport Finansiel og erhv. Off. Servicevirksomhed R I F R I F 5.2.1. Formalisering Bag de anførte RIF tal ligger en række spørgsmål til detail-områder. I det følgende vises de enkelte tal for hhv. nedsættelse af sikkerhedsudvalg, for indførelse af sikkerhedspolitikker og dennes uddybning i mere detaljerede retningslinier, samt for kontrol af politikker og retningsliniers overholdelse. Bag RIF tallene for sikkerhedsstyring gemmer sig følgende tal for de deltagende organisationer for, i hvilken grad der er indført og vedligeholdt en formel sikkerhedsstyring: E-mail info@pk-sikkerhed.dk s. 27 af 36