Publisher: Liber, 2005, 210 pages
ISBN: 91-47-07378-0
Keywords: Information Security
Informationen blir en allt viktigare resurs för företag och organisationer. Samtidigt ökar sårbarheten och antalet vägar som viktig information kan "läcka" ut ur företaget. Utan ett fullgott skydd för informationen saknas också ett skydd för verksamheten över huvud taget. Samtidigt är det viktigt att inte fastna i tanken på den absoluta säkerheten. Boken utgår ifrån att det är viktigt att ständigt tänka sig säkerheten som en relation: det gäller att vara säkrare än konkurrenter och angripare — inte att sträva efter en omöjlig absolut säkerhet!
Säkerhet är alltid en ledningsfråga och den utgår från en överenskommelse mellan ledninmg och anställda. För att skapa ett informationssäkrare företag gäller det i första hand att inse vilka risker som finns, att organisera arbetet med säkerhet, att påverka de som arbetar i organisationen och öka deras säkerhetsmedvetande och lära dem hur de skall agera för att behålla informationen inom företaget. Säkerhetsfrågor är till 95% en fråga om organisation, juridik, ekonomi, strategi och beteende och endast 5% teknik.
Det här är en grundläggande bok om hur man utvecklar en säkerhetskultur och bygger på kunskap om säkerhet i företaget/organisationen. Det är ingen bok om IT-säkerhet och ingen bok för tekniker utan den riktar sig till företagsledare och vanliga chefer som vill dra nytta av de många fördelar som säkerheten kan ge.
Säkerhet i företag visar vilka säkerhetsrisker som finns. Boken ger också förslag till hur man ska utforma säkerhetsarbetet i organisationen och forma en säkerhetsöverenskommelse. I boken finns ett stort antal konkreta och enkla säkerhetstips för att inleda säkerhetsarbetet.
Men framför allt visar boken att säkerhet är en affärsmöjlighet och en konkurrensstrategi. De företag/organisationer som använder säkerheten rätt har en tydlig fördel i framtiden.
Well, this is supposed to be a book about Information Security and has as a target the leaders and managers (non-IT and non-security) at different organizations… Let's start with the positive things first: it manages to avoid being too full of errors, so it can be read from that perspective (but they still exists, e.g. when did ISACA become a standards organisation?).
The bad part is that the author seems to have read some Management-for-Complete-Morons book and tries to merge one of Porters concepts onto InfoSec (generic strategies), but fails at this. Otherwise, it si sprouting platitudes about business management and InfoSec at the level you'll find at the buffet-table at any security conference you choose to attend (aka not very grounded in reality). He also manages to repeat a number of myths as fact, by referring to their presence in other suspect publications.
And what is it with bad books? Are they afraid to have an index or biography (especially when there is numerous references in the text)? Sigh… And the details (or rather lack of) combined with the platitudes makes it worthless as a reference book.
For the managers, this book is totally outside their scope, and shows an ignorance of management realities (not the first security person to do that, I have been there myself) as well as lack of knowledge of even basic management theories.
For the IT-people (which are not the target market), this book manages to loose all detail that is of interest.
For the Security Managers, it will generate a good feeling, as the stuff is very basic and they (hopefully) know it already (pat yourself on the shoulder).
My conclusion is to avoid it, as it is not worth the paper it is printed on (I got it for free).
Comments
There are currently no comments
New Comment