PC-WARE’s Business Units er over sommeren blevet yderligere styrket via en del nyansættelser. I alt er det blevet til 4 nye super professionelle og top motiverede medarbejdere i afdelingen, der alle glæder sig til at komme ud og servicere vores kunder.

 Det er med stor fornøjelse, at vi kan byde velkommen til:

Christian Schwarz-Sørensen: Ansat pr 1.7 som Business Unit Manager for områderne Access, Virtualization og Availability. Christian kommer således til at have det overordnede ansvar for at drive området og rådgive vores kunder omkring løsninger baseret på bl.a VMWare, Citrix, Symantec og NetApp. Christian Kommer senest fra en stilling hos HP som Solution Architect.

 Jakob Seierø: Ansat pr. 1.7 som Business Unit Manager for hele Security området. Jakob vil derfor få ansvaret for at rådgive vores kunder omkring optimering af deres IT-sikkerhed, og vil bl.a kunne hjælpe med løsninger baseret på Microsoft, Symantec, McAfee, Trend Micro, RSA, Websense, Bluecoat, Checkpoint, m.fl. Jakob kommer senest fra en stilling som Business Unit Manager hos Atea.

Lars Liljeroth: Ansat pr. 1.7 som System Engineer indenfor området Access, Virtualization og Availability. Lars vil hjælpe vores kunder med konsulentopgaver lige fra rådgivning, implementering og uddannelse i forbindelse med VMWare løsninger. Lars kommer fra en stilling som IT Engineer hos Coloplast, hvor han bl.a havde ansvaret for virksomhedens VMWare. Lars har også allerede bidraget med et indlæg her på bloggen.

Hvert år udgives Internet Security Report af Symantec.

Rapporten giver et indblik i hvordan trusselsbilledet ser ud og kan helt sikkert give inspiration til IT-sikkerheds strategien.

Klik her for at se Symantecs Internet Security Threat Report Volume XIV.

Dokumentsikkerhed har stor betydning for de danske virksomheder, hvad enten det er dokumenter som sendes internt eller eksternt. Mange virksomheder har allerede lavet sikkerhedspolitikker omkring distributionsformater for dokumenter. Men lige så mange skænker det ikke en tanke, eller får det ikke gennemført i virksomhedskulturen.

I dag kan man rette i et ikke sikret PDF dokument, dvs. et dokument hvor afsenderen ikke i forvejen har taget stilling til hvilke muligheder modtageren skal have for at redigere dokumentet. Skal han kunne printe, rette, læse korrektur, gemme eller videre sende, eller skal det bare være muligt at læse dokumentet en gang eller i en afgrænsede periode?

Alarmblinkene er i gang i min verden. Tænk hvis nogen retter et eller andet i en gældende aftale, lovtekst eller pris, og der år senere kommer en disputs omkring lige det sted i aftalen. Hvem har så ret?

Den fællesoffentlige OIO-komité under IT- og Telestyrelsen har gennemtænkt situationerne og ønsker samtidig at gøre det nemmere for alle at læse dokumenter på de offentlige sider, og har derfor besluttet at anbefale, at alle Danmarks offentlige dokumenter standardiseres med Adobe Acrobat PDF.

Men et er de offentlige virksomheder, hvad med alle de andre virksomheder, som behandler fortrolige dokumenter af privat eller kommerciel karakter?

Du kan læse hele artiklen på CRN her. Hvad mener du?

Fokuser på det vigtige
Politikker er ikke så svære at lave, for formuleringerne er tit bløde og åbne for fortolkninger. Men det er når vi skal til at definere procedurer for hvordan vi implementerer disse politikker, at det bliver svært. For nu begynder vi jo at forpligte os.

Compliance bliver tit opfattet som en tilstand for eliten, der har næsten ubegrænsede ressourcer og besidder et fantastisk overblik over hele deres organisation – ligesom ledelsen naturligvis bakker hundrede procent op. Sådan er virkeligheden sjældent, men det er ikke så svært at komme i gang.

Foretag derfor en simpel og pragmatisk risikovurdering. Hvad er vigtigt for vores kerneforretning, og hvad er knap så vigtigt? Hvad kan ramme vores drift (kortsigtet), og hvad kan ramme os på vores image (langsigtet)? I vil sikkert opleve at der allerede følges op på flere vigtige processer: Aflåsning af bygning, tilslutning af alarm, backup og test af retablering. Vurder om der er flere områder der er vigtige og enkle at implementere og følge op på.

1.       I bør have en politik der dækker bredt. Det er fornuftigt at have taget stilling.
2.       Vurder hvad der er vigtigt ud fra sandsynlighed og konsekvens.
3.       Tag udgangspunkt i hvor I er, og hvad der er realistisk at gennemføre.
4.       Prøv at få funktionslederne til at deltage i beslutningerne. Det kommer godt igen.
5.       Sæt ikke noget i gang som I ikke kan gennemføre på kort sigt.
6.       Start altid med en succes. Det motiverer og giver fremdrift.

Lav en plan og vær enige om ambitionsniveauet
Det vil være vigtigt for jer at have en plan for det fremtidige arbejde, der dels sætter de mål som I er blevet enige om, men også synliggør involveringen fra resten af organisationen. Det er næsten umuligt at drive fremad som enkelt mand/kvinde uden bred opbakning – og bestemt ikke opmuntrende.
Sæt nogle milepæle der er opnåelige og dokumenter hver enkelt succes, så compliance får et godt ry i jeres virksomhed som noget der understøtter og måske endda fremmer forretningen.
�
Vejen frem – tjeklisten for en god start på compliance
Som afslutning på dette blogindlæg vil jeg give nogle erfaringer videre som kan være nyttige.

•         Start med udgangspunktet – hvor meget kontrollerer I i dag?
•         Definer projektets omfang.
•         Sørg for ledelsens deltagelse eller involvering.
•         Foretag en pragmatisk risikovurdering – og dokumenter de vigtige processer.
•         Koncentrer kontroller om forretningskritiske områder – og arbejd ud fra det.
•         Overvej om koordineringen skal varetages af én person eller om det er en risiko.
•         PAS PÅ IKKE AT LÆGGE FOR HÅRDT UD.

Der er både fornuft og forretningen i at dokumentere arbejdsprocesser og regler, men det er vigtigt at gøre det i et tempo så alle kan følge med, og det behøver ikke at være kedeligt.

God fornøjelse.

Der bliver hele tiden stillet nye krav til danske virksomheders efterlevelse af regler, lovgivning eller krav fra kunder og aktionærer. Vi har på det seneste set flere eksempler på konsekvenserne af mangelfuld ledelse eller manglende kontrol med politikker og forretningsgange.

Derfor er det vigtigere end nogensinde at have formulerede politikker for behandling af det aktiv der er det vigtigste for mange virksomheder og organisationer: Information.

PC-WARE opretter derfor nu ”Policy & Compliance” som et selvstændigt forretningsområde, der dækker over såvel rådgivning som software til formulering, implementering og efterlevelse af politikker, med særlig fokus på informationssikkerhed.

Implementeringen af standarder som DS484 og ISO27001 kan være meget kompleks og tidskrævende, og her kan PC-WARE hjælpe med erfaringer, struktur og software til den videre drift.

PC-WARE har indledt et tæt samarbejde med virksomheden Policy Enforcer ApS, der står bag softwareapplikationen af samme navn. Policy Enforcer og PC-WARE vil i fællesskab gå til markedet med en række ydelser og løsninger inden for compliance, og området er i øvrigt tæt integreret med eksisterende forretningsområder som Security, Access, Availability og SAM (Software Asset Management).

Forleden geninstallerede jeg min gamle bærbare med Windows XP (Sorry Microsoft – den kan ikke køre Vista) og undrede mig over, at den egentlig ikke begyndte at opdatere sig selv før den kunne bruges? Selvfølgelig er det fint, at man kan bruge sin computer med det samme, men kunne det ikke være smart hvis flere produkter opførte sig som fx. antivirus? Her får man en advarsel når ens opdateringer ikke har været kørt i en uge.

Faktisk burde denne opførsel vel egentlig være standard i alle produkter, så man kunne minimere sine tredjeparts sikkerhedshuller. Måske ikke nødvendigvis automatisk opdatering, det kunne hurtigt give problemer i et server miljø, men bare det, at man som bruger/administrator blev gjort opmærksom på opdateringer, ville hjælpe. For med den mængde information som vi alle bliver bombarderet med i dag, kan det faktisk være vanskeligt at følge med i den væsentligste information.

Min pointe er blot, at man bør forlange af sin software producent, at de i det mindste leverer et RSS feed eller lign. teknologi for hvert af deres produkter, så man altid kan følge med i opdateringer, hvis programmet da ikke har indbygget automatisk opdatering.

For hvordan sikrer DU, at dine programmer er fuldt opdateret?

Der skrives i øjeblikket meget om sikkerheden – eller mangel på samme – på Facebook.

Jeg faldt over en række gode tips i en artikel fra politiken.dk.

Klik her for at få en række gode tips til, hvordan du beskytter dig på Facebook.

Over en femtedel af de danske virksomheder har implementeret virtualiseringssoftware i deres serverrum. Men tænk dig om, inden du kaster dig over teknologien.

Når dialogen omkring virtualisering er overstået og beslutningen er truffet, er der ofte en række elementer som bliver udskudt til senere, eller måske endda helt bliver glemt. Backup er typisk et af disse elementer.

I den fysiske verden har vi typisk været vant til at lave backup ud fra en traditionel tilgangsvinkel, som inkluderer en filagent som tager hånd om backup-proceduren for en enkelt applikation, således at en database eller anden applikation bliver taget hånd om, og en konsistent backup bliver gennemført.

De ulemper som oftest fremkommer ved at overføre denne backup strategi til den virtuelle infrastruktur, er at man ofte belaster de fysiske hosts unødigt.

Det betyder også, at i dét øjeblik man skal genetablere en backup, sidder man kun med de data som backup’en har taget udgangspunkt i, men altså ikke med OS eller andre konfigurationsindstillinger. Når man så skal til at genetablere en ny virtuel maskine bliver det ud fra hukommelsen omkring hvilket OS, servicepatchniveau, osv. og derved bliver recovery tiden væsentlig forringet.

Så der er god grund til at fastlægge en backupstrategi, inden du implementerer virtualiseringssoftware.

Jeg faldt over en artikel på Berlingske.dk om, at “chefen tør ikke forbyde Facebook”. I følge artiklen vender chefer ofte det blinde øje til medarbejdernes brug af Facebook, Messenger og private e-mails for at undgå at blive uvenner med deres medarbejdere.

Personligt er jeg af den holdning, at virksomheden primært skal forholde sig til brugen af disse sociale netværk ud fra et sikkerhedsmæssigt synspunkt, altså i forhold til at virksomhedens IT-infrastruktur og fortrolige oplysninger ikke bliver kompromitteret.

Men når det er sagt, synes jeg, at virksomhederne lige så godt kan erkende, at mange af disse “værktøjer” er kommet for at blive. Ja, det kan nemt blive en tidsrøver, hvis man har tralvt med både at chatte via Messenger, opdatere sin Facebook profil og også lige skal svare på et privat e-mail, men mon ikke de fleste medarbejdere godt ved, hvornår det er tid for igen at koncentrere sig om selve arbejdet.

I stedet for enten helt at forbyde brugen af disse kommunikationsteknologier eller lege struds, fordi chefen tror, han/hun bliver upopulær, tror jeg på, at man skal have en åben og ærlig dialog med medarbejderne om brugen af eksempelvis Facebook og Messenger. Læg op til, at medarbejderne skal tage et aktivt medansvar for, at der er en balance i den private brug af Facebook og Messenger når man er på jobbet.

Desuden tror jeg ikke, man skal undervurdere den professionelle sidegevinst ved brugen af en række af disse moderne kommunikationsteknologier. I vores virksomhed er mange af vores medarbejdere på Messenger med en række af vores samarbejdspartnere. Det gør, at vi bliver lidt mere effektive og er i stand til at give kunderne hurtigere svar på mange henvendelser. Desuden findes der jo fuldt ud professionaliserede løsninger inden for Unified Communication, hvis man ønsker at anvende topmoderne kommunikationsteknologierne fuldt ud i sin virksomhed.

Så min anbefaling i forhold til Facebook, Twitter, Messenger, pc-bank og private e-mails er følgende: Lad være med at lege struds, men tag en aktiv holdning til det, ved at tale med medarbejderne om udfordringer, potentielle sikkerhedsproblematikker og måske også de professionelle muligheder ved at bruge disse værktøjer – både internt blandt medarbejderne og i forhold til kunder og samarbejdspartnere.

Jeg tror i hvert fald, at der er mere at vinde end at tabe, ved at anvende disse nye teknologier.

Der er ingen tvivl om at vi i dag oplever en langt større mulighed for at arbejde mobilt. Bærbare er efterhånden det mest udbredte og mange har endvidere al data liggende på deres mobil telefoner eller pda’er. 

Kryptering og Data Loss Prevention er noget vi alle skal tage stilling til – for hvad betyder det egentlig hvis vi mister data eller blot at data bruges forkert?

I lufthavnen mistes der dagligt bærbare computere og mobiltelefoner mistes endnu oftere. Tidligere skulle man have en lastbil for at transportere alle virksomhedens informationer væk - i dag kan det klares ved hjælp af en USB enhed eller en iPod. Varianterne er uendelige og det skal absolut tages seriøst.

På Symantec Vision i Holland havde jeg muligheden for, at følge udviklingen i de andre europæiske lande hvilket var utroligt spændende. England har efterhånden en meget specifik lovgivning inden for området, hvilket bl.a. er resultatet af, at der har været nogle uheldige tilfælde hvor følsom data blev tabt (kontonumre) . I Danmark har vi en regel om, at vi skal kryptere personfølsom data – men jeg er sikker på, at vi vil se en enorm udvikling indenfor det område.

For hvad sker der når mobiltelefonen eller den bærbare mistes? Og ikke mindst – har man overblik over hvilke data der forlader virksomheden? Jeg tror stort set alle virksomheder har prøvet at miste en bærbar, mobiltelefon, USB eller har oplevet, at data er sendt eller brugt forkert.

Følgende tal er for nyligt opgjort i Danmark 2008 omkring laptops:

Københavns Lufthavn: Der indleveres 10-20 PC’er til Lost & Found

Busser: Der bliver som gennemsnit fundet 1 PC i bussen per uge. Det formodes dog at antallet af højere, da det udelukkende er dem der findes og ikke indleveres på anden vis.

Politiet: Der indleveres 10-20 PC’er per måned.

Hertil kommer mobiltelefoner, korrekt brug af USB enheder og datafiler etc.

Og så er spørgsmålet jo egentlig blot hvor følsom den data er…