Chefen ska ha nycklarna.

Mer pengar ger inte bättre säkerhet enligt det internationella it-analysföretaget Gartner Group, som spår att it-säkerhetens del av företagens totala it-budget kommer att minska.

Enligt Gartner är till och med de säkraste företagen i dag de som spenderar minst på it-säkerhet. Investeringar i säkerhet motsvarar i dag cirka sex till nio procent av ett företags it-budget, men Gartner tror att det kommer att minska till mellan fyra och fem procent till 2006.

Gartners slutsats är att styrningen kommer att förbättras. Svenska IBMs säkerhetsexpert Gunnar Karlssoninstämmer.

- Det är en intressant vinkel. Om man vet vad man gör kan man göra det mer effektivt. Kanske har det under de senaste åren funnits en övertro vid köp av säkerhetsprodukter, att de ska lösa alla problem. Men alla prylar är ju bara hjälpmedel. Det är inte ovanligt att företag i dag skaffar tekniska lösningar, som inte konfigureras rätt. Ett enkelt exempel är brandväggar. De behövs inte alls om man har en rätt konfigurerad router.

Kenneth Johansson är säkerhetsexpert på konsult- och revisionsföretaget Ernst&Young. Han menar att Gartner överdriver en smula, men poängterar att företag kan styra sina insatser bättre.

- Jag tror att företagen lägger för lite tid på riskanalyser, som är en bra grund för att kunna sätta in resurser mer kostnadseffektivt, säger Kenneth Johansson.

Udda fågel i företagsledningen

Hälften av de 350 största företagen på Londonbörsen saknar informationssäkerhetspolicy, enligt en undersökning av det holländsk-brittiska it-företaget Logica CMG. Och av de tillfrågade företagsledningarna anser bara 50 procent att it-säkerhet är deras ansvar.

Men nästan alla de tillfrågade investerarna i studien och den andra hälften av företagsledarna var av motsatt åsikt. Undersökningen sätter därmed tummen på en fråga som av it-säkerhetsbranschen beskrivs som ett ständigt aktuellt problem - är it-säkerhet en strategisk fråga?

Källor IT-barometern och Global Information Security Survey 2004

Gunnar Karlsson är tvärsäker på vem som bär ansvaret.

- Det finns bara en! Det är vd eller generaldirektören som måste vara avsändare.

Men så ser det inte ut i dag, fortsätter Gunnar Karlsson.

- Nej för sjutton, bara i de framgångsrika fallen! Oftast är det säkerhetschefen som skickar ut en policy och då passerar den förbi. Linjecheferna har andra saker i fokus och säger "jaja" och låter det passera. Det kan de inte göra om det är vd som står bakom, säger Gunnar Karlsson.

På det svenska säkerhetsföretaget Qbranch håller marknadschefen Anders Harling med om att rollfördelningen är kritisk.

- Hur man än vänder på det är det i dag oftast en fråga som landar på it-chefens bord och blir en brandvägg. Men det fungerar inte. Det krävs ett helt annorlunda förhållningssätt. Om inte vd tar ansvar för alla de mjuka faktorerna så fungerar aldrig informationssäkerheten, säger Anders Harling till Ny Teknik.

Kenneth Johansson instämmer helt.

- Frågan måste ägas av företagsledningen. Tyvärr ser vi även ofta att två processer skiljs åt till nackdel för säkerheten. Den ena är fysisk säkerhet och intern kontroll, den andra är it och it-säkerhet, menar Kenneth Johansson.

Het strategisk potatis

En helt ny studie av Ernst&Young bekräftar att potatisen är het, och att det är otydligt vem som är kock. Studien bygger på intervjuer med fler än 1 230 företag och fastställer att i 80 procent av alla företag ses it-säkerhet inte som en ledningsfråga.

Ett av de största problemområdena är användarnas säkerhetstänkande, men kopplingen till ledningens roll som gott exempel och drivkraft understryks ("Om inte ledningen tror på informationssäkerhet, varför skulle någon annan göra det? ").

I studien syns även en markant ökning, från 56 till 67 procent av responenterna, som anser att it-säkerhet är kritiskt för att uppnå företagens affärsmål.

För Sverige är bilden något ljusare - här finner 70 procent att den högsta ledningen tar it-säkerhet på allvar. Slående är dock att hela 80 procent av incidenterna under 2003 bedöms bero på interna fel eller felaktigt handhavande. Samtidigt ses externa attacker som det i särklass största hotet.

I takt med att fler företag tar steget in i e-business, med affärssystem och databaser som sammankopplas, blir det ömsesidiga beroendet mellan företag allt tydligare. Gunnar Karlsson på IBM menar att it-säkerhet håller på att lyftas in som en naturlig del i affärsmodellen, åtminstone i Sverige.

- Det är en kritisk framgångsfaktor. Om ett företag har en affärsmodell som bygger på att man släpper in både leverantörer och kunder, eller deras datasystem, så förutsätter det att man kan lita på dig. Du har inte råd att låta fakturan gå till en part och varorna till en annan - det är inte trovärdigt.

Tio minuter för att skapa datorzombies

Obalansen mellan offensiva och defensiva åtgärder ökar på ett alarmerande sätt, enligt undersökningsföretaget IT-barometern, och bristen på säkerhet hämmar ett effektivt utnyttjande av it-budgeten.

Ett skäl är den skenande utvecklingen av virus och spam, som toppar huvudvärkslistan för världens it-chefer. Under sommaren 2004 sprängdes ljudvallen för virus, med över 100 000 kända virussorter, och enligt FN utgör spam nu två tredjedelar av all e-post.

I stället för att ägna sig åt att arbeta systematiskt med att bygga upp sin säkerhet för framtiden tvingas it-avdelningarna in i en allt snabbare katt-och-råtta-lek för att parera nya hot.

Ett exempel på hur fort det går i dag kommer från en skola i södra Sverige, där den it-ansvarige kopplade samman fem fabriksnya och rena pc-maskiner till ett nätverk. När en av dem kopplades upp på internet med ett modem blev hela gruppen kapad, berättar it-konsulten Peter Nõu på Nõu How.

- Det tog tio minuter, sedan var alla datorerna verktyg för professionell spamming. Tio minuter för att skapa zombies med trojaner, virus och bakdörrar, säger han till Ny Teknik.