Suksess for ISAP

Menystyrt sikkerhetsprogram

På ett år har ISAP (Informasjon Sikkerhet Analyse Program) fått en rekke prestisjekunder i Norge. Nå er sikkerhetsverktøyet også på vei inn i det svenske, engelske og amerikanske markedet.

Ivar Kamsvåg

Mannen bak produktet, Ingvald Thuen, har jobbet med sikkerhetsspørsmål i en årrekke. Med bakgrunn fra Overvåkingspolitiet, revisjons- og konsulentselskapet Coopers & Lybrand og Institutt for Datasikkerhet, kjenner han sikkerhetsmarkedet godt.

-- Målet med ISAP er at bedriftenes ledelse skal forstå nytten av å bedre bedriftens sikkerhetsnivå. Min erfaring er at ledelsen forstår nytten når de ser at bedriften kan unngå økonomiske tap. I tillegg er ledere opptatt av at bedriften skal opprettholde tilliten til kundene, mener Thuen.

Enkelt og målbart

ISAP er et verktøy som både skal gi ledelsen oversikt over bedriftens sikkerhetsrisiko og et verktøy til å senke denne. To hovedspørsmål er å finne hvilke systemer som er kritisk for bedriften, og hva konsekvensene av dårlig sikkerhet i disse systemene kan bli.

I ISAP ligger det 1.500 spørsmål til hjelp for dette. Bedriftene står fritt til selv å velge å konsentrere seg om de av spørsmålene de selv synes er relevante. Det er også mulig å formulere nye spørsmål selv. Ut fra hvert spørsmål kommer bedriften fram til en status, samtidig som de kan definere hvilket sikkerhetsnivå de ønsker å oppnå.

I tillegg får brukerne anledning til å måle sitt eget sikkerhetsnivå opp mot status til andre brukere av ISAP. I bransjer hvor mer enn fem selskaper bruker verktøyet utarbeides det egne benchmarks for bransjen.

Windows

ISAP er menybasert og kjøres under Windows. Programmet har tre hovedmoduler. Dette er sikkerhetsrevisjon med tiltaksplaner, risiko og sårbarhetsanalyse samt registrering og rapportering av hendelser. Data kan enten samordnes i rapporter eller de kan kjøres ut grafisk.

-- Min erfaring er at det er svært få bedrifter som har en ordentlig oversikt over hva som skjer. Ofte kan ledelsen mene at bedriften har et godt sikkerhetsnivå mens medarbeidere på grunnplanet er av en annen oppfatning, mener Thuen.

Det er fire analyseområder i ISAP. Dette er ledelse, sluttbrukere, sentrale systemer og distribuerte systemer. ISAP gir mulighet for at flere personer på ulike nivåer kan legge inn data. Dette er med på å sikre at resultatene ikke blir styrt ut fra særinteresser i bedriften.

Mer effektivt

-- Tidligere jobbet jeg med sikkerhetsanalyse basert på rene spørreskjemaer. Det krevde store ressurser å bearbeide dataene manuelt. Ved å overføre spørreskjemaene til et Windows-program har opplegget blitt mer fleksibelt, samtidig som det har blitt langt enklere å bearbeide dataene, sier Thuen.

En av bedriftene som har tatt ISAP i bruk er Nordlandsbanken. Edb-sikkerhetssjef Yngvar Sjåfjell har gode er fareringer med innføringen av ISAP.

-- Vi føler at vi får en effektiv gjennomgang av sikkerhetsnivået i de enkelte avdelinger og system. Gjennom intervjuer, rapporter og diskusjon rundt anviste tiltak får vi en god dialog mellom linjeledelse og brukere. Dette forenkler prosessen rundt implementeringen av nye rutiner og instrukser, og har helt klart hatt en positiv innvirkning på sikkerhetsbevisheten i konsernet.

Også virksomheter som Alcatel Telecom, Forsvarets Overkomando, Justisdepartementet, NSB, Rikstrygdeverket og DnB har tatt ISAP i bruk. Programmet er også oversatt til svensk, engelsk og amerikansk. Prisen for en lisens er 40.500 kroner.

GJENNOMSLAG: Sjefskonsulent Ingvald Thuen har fått gjennomslag med ISAP. (Foto: Laila B. Carlsen)