fredag 10 juni 2011

Software Security: Is OK Good Enough?

Titeln på presentation till trots så handlade presentation mer om svårigheterna med att få in säkerhet i organisationer. Genom att titta på ett par tidigare problem (jordbävningar, matförgiftning från restauranger) drogs lärdomar om varför det fungerat att implementera åtgärder mot dem, när det inte gått så bra för informationssäkerhet.

Tre saker behöver finnas för att det ska kunna skapas allmänt spridda åtgärder:
  • Delad förståelse
  • Compliance/policyskapande
  • Något som tvingar efterlevnad
En CEO idag har i allmänhet inte IT-risker på listan över de topp 10 risker. John kopplade det till att fjärran, abstrakta risker är något som är svårt att sälja in och då görs det inget åt dem. Det kan lätt förklaras av att man då inte har en delad förståelse.

John trodde inte heller på att industrin själv kunde ordna sådana här risker, utan att det behöver lagstöd för att förändringen verkligen ska gå igenom. Men han gav också förslag på vad han ansåg behövde hända för att vi skulle komma framåt:

  1. Det behövs fler "in your face"-grejer: exempelvis TJX-intrånget hamnade på Wall Street Journals förstasida, där väldigt många CEOs fick läsa om det och begrunda att ohanterade IT-risker kan stå dyrt. Den senaste tidens Sony-intrång hamnar också i den här kategorin.
  2. Fler skrämmande "mainstream"-historier som utbildar. (tänk: Män som hatar kvinnor)
  3. Smartare konsumenter (men det saknas säkerhetsratings som kan underlätta)

Han ansåg också att vi inom vårt eget skrå kan göra ett par saker,
  • Det absolut viktigaste är att lära oss sälja och marknadsföra bättre. Vi har inga möjligheter att tvinga fram förändring.
  • Bättre utvecklare med bättre verktyg.
Egen reflektion: mycket inom det här området handlar om politisk grundsyn - kan marknaden som vi har idag själv hantera IT-risker? Hur fungerar det då med externaliteter? Hur mycket behöver vi förändra i de ekonomiska systemen? Hur mycket behöver vi faktiskt lagstifta? Frågor som är väldigt svåra att svara på men som är otroligt viktiga för vårt samhälles framtid.

1 kommentar:

Trekking in Nepal sa...

Acute Trek Pvt. Ltd. an indoor outdoor trekking and tours operative company takes you that further way to guarantee you has an unforgettable adventure Trekking in Nepal that you have been dream with Acute trek is part of your choice. We have your choose of trekking for 3 days or 30 or more days it depending of your timetable, sleep under lodges or tent. We always respect our duty to constantly your holiday satisfaction in Nepal. Whether you are looking for a quiet gateway, a memorable Hiking in Nepal outing with a family or an exciting nature adventure. We offer you with the best progressive information and itinerary leading focused and modified as per your requirements. It is significant to memorize, though, it necessitate an enough level of physical homework and must remembers that there is also a psychosomatic assurance in walking in mountains. Acute trek is an attempt to encourage Nepal to the exterior world while striving to defend an aged tradition as well as conserve the surroundings for generation to come. Acute Trek specialize in organize Nepal travel activities excursion such as:- Nepal trekking, Helicopter tour, peak climbing, rafting, mountain flight, Kayaking, Cannoning, Bird watching Tour, Honeymoon Tour, sightseeing, jungle safari, rock climbing, Pilgrim's Tour, Hotel Reservation, Air ticket, Tibet Tour, Bhutan Tour, Paragliding, Bungee Jump, Eco Tour, local village tour and many more information visit here http://www.trekshimalaya.com