IT-funktionen skal definere, forankre og sikre sikkerhedsniveauerne, både med hensyn til infrastruktur og applikationer.
Indsatser, der styrker passende og nødvendige adfærdsændringer hos alle IT-brugere i virksomheden, er vigtige. Et veldefineret og proaktivt arbejde for øget bevidsthed, bedre krisestyring og verificeret overholdelse giver virksomheden konkurrencefordele, fordi arbejdet både beskytter vigtige aktiver og virksomhedens omdømme.
Denne artikel er en del af den længere rapport ”Sikkerhedsudfordringer i digitaliseringens tidsalder”.
Download rapporten + værktøj til sikkerhedsanalyse
Gå ikke på kompromis med sikkerheden
Fra et driftsmæssigt perspektiv betyder dette, at man skal vurdere allerede implementerede løsninger, sikre at det eksisterende vidensniveau opfylder kravene og forventningerne, og at fremtidige investeringer i digitalisering ikke går på kompromis med sikkerheden. Det bliver afgørende, at ledelsesgruppen og beslutningstagerne deltager aktivt og gør engagementet synligt.
Vi ved, at fortsat digitalisering og optimering af digitale processer i svenske virksomheder er en nødvendighed. Ifølge Radars data har øget digitaliserings- (64 %)1 og automatiseringsgrad (46 %)1 samt indførelse af nye applikationer (44 %)1 således den højeste prioritet inden for IT. Samtidig genererer alt dette stadigt stigende datamængder, blandt andet på grund af øget brug af cloud-tjenester og IoT. Det giver mere intensive (kvantitet) og mere anvendelige (kvalitet) datastrømme.
Komplekse kæder er vanskeligere at overskue
Gennem komplekse kæder skabes der værdi fra information, der tidligere har været uinteressant og ikke-målbar. Udviklingen har bredt sig, og man stræber i stigende grad efter mere fleksible forretnings- og virksomhedsmodeller, hvor datastrømmene kan udnyttes bedre. De længere kæder bliver dog mere komplekse og dermed vanskelige at overskue ud fra et sikkerhedsperspektiv.
I dag ser mere udviklede virksomheder i høj grad digitaliseringens øgede distribution af knudepunkter som en hindring i sikkerhedsarbejdet. Hos mindre udviklede virksomheder er der langt mindre bevidsthed om dette spørgsmål. Udfordringen ligger i at forstå, hvordan information lever gennem hele den lange kæde. Med andre ord en forståelse af, hvornår informationen er i hvile, hvornår den bevæger sig eller er under brug, og hvem eller hvad, der har adgang til den.
Svagheder i kæden kan føre til mistet forretningsinformation, effektivitetstab, kvalitetsmangler og/eller mindsket tillid. Det kan igen føre til øgede omkostninger, forringet konkurrenceevne eller i værste fald en risiko for samfundet som helhed.
Sikkerhedsarbejdet skal kunne forsvares både juridisk og operationelt
Et realistisk udgangspunkt er, at intet sikkerhedsarbejde er perfekt. Radars mest almindelige anbefaling for udførelsen af sikkerhedsarbejdet er, at det skal være forsvarligt både juridisk og operationelt.2 Det skal fungere i praksis. Digitalisering uden at give afkald på sikkerhed, både for ens egen virksomhed, partnere og borgere, er en stor udfordring. En overset programrettelse, en utilsigtet åbning af en vedhæftet fil i en mail eller indtrængen hos en IT-leverandør kan få ødelæggende konsekvenser i dag.
Vores vigtigste barrierer, ud sikkerhedsforståelsen hos vores egne medarbejdere, handler om manglende forståelse og prioritering, f.eks. manglende procedurer og andre vigtige elementer, der er knyttet til den menneskelige faktor.
Vurder den aktuelle situation med fokus på behov og forudsætninger
Udveksling af information kræver, at den sikkerhedsfremmende indsats er afbalanceret og motiveret, hvilket er en udfordring i sig selv. En vurdering af den nuværende situation med fokus på behov og forudsætninger giver som regel et bedre udgangspunkt for fremtidige investeringer og ændringsprocesser, herunder arbejdet med overholdelse og opfyldelse af nye krav. Her er indsatser, der sigter mod at styrke virksomheden gennem kompetenceforbedrende tiltag på individuelt niveau, af stor betydning. Ikke mindst fordi lav sikkerhedsbevidsthed hos eget personale anses for at være en stor forhindring for at opretholde tilfredsstillende sikkerhed.
Et højt ændringstempo betyder stigende forventninger og krav om hurtig adgang til nye tjenester med øget effektivitet. Arbejdet med cyber- og informationssikkerhed retter sig dermed ikke kun mod ressourcer i form af penge, tid og evner, men nogle gange også mod faktorer som bekvemmelighed og frihed. Når stadig kortere cyklustider belønnes, risikerer dynamikken at ændre sig fra en forsigtig tilgang til, at man tager højere risici. Det giver risiko for, at sikkerhedsarbejdet forsømmes på et tidligt tidspunkt.
De stadig kortere cyklustider i virksomhederne bidrager til dette
Ud fra et sikkerhedsmæssigt perspektiv er det problematisk, at stadig kortere cyklustider fører til belønning af styringsmodeller og arbejdsmetoder, der er tænkt til at lette digitaliseringen af de offentlige myndigheders skatteinddrivelse. Vores almindeligt udbredte ITIL-rammesystemer og agile metoder giver ikke IT-organisationen og resten af virksomheden tilstrækkelig støtte til håndtering af informations- og cybersikkerheden.
ITIL dækker området bedre end agile metoder ved at referere til andre rammesystemer og standarder inden for området, men historisk set har man primært set på sikkerheden i forbindelse med brugernes adgang til information snarere end at skabe (eller anskaffe) et robust teknisk design. Agile rammesystemer beskæftiger sig ikke særlig meget med informations- og cybersikkerheden, men forventer i stedet, at f.eks. DevOps tager sig af dette.
Selv traditionelle metoder som vandfaldsmodellen har deres begrænsninger og udfordringer, så løsningen er ikke nødvendigvis at vende tilbage til traditionelle udviklingsprincipper. Uanset metoderne i vores organisationer er vi nødt til at sørge for, at sikkerhedsinteresserne også varetages under korte iterationer, hvor kun det højest prioriterede bliver udviklet. Sikkerhed skal have høj prioritet for at minimere fremtidige risici.
Hurtige transformationsprocesser bliver problematiske på grund af risikoen for, at man opbygger et IT-landskab, der er så komplekst, at det efterhånden bliver meget dyrt at finde ud af, hvilke risici organisationen udsætter sig selv for. Ofte er der stort fokus på funktionaliteten og mindre opmærksomhed på den proaktive sikkerhed, herunder dokumenterede informationsstrømme, risikovurderinger, uddannelse og hændelseshåndtering i forbindelse med informationssikkerheden.
Håndteringen er ofte utilstrækkelig
Nylige og meget omtalte "fejlkonfigurationer" af standardtjenester, som har ført til, at der åbnes for følsom information, som kræver beskyttelse, viser med al tydelighed effekterne fra et opskruet tempo og mangler i metoderne. Problemerne stammer kun sjældent fra fejl i produktet eller løsningen. Som regel skyldes de mangelfuld håndtering. Der bliver ikke brugt tid til eftertanke, og man glemmer de mest fundamentale elementer som f.eks. konfiguration. Dette er endnu et af de mange elementer, der øger friktionen mellem hurtig udvikling og vedligeholdelse af stabile systemer, som har plaget IT-organisationerne i årevis.
Som sikkerheds- eller IT-ansvarlig risikerer man nogle gange at blive opfattet som bagstræberisk, som en forhindring for produktivitet og fleksibilitet. Hele virksomheden er nødt til at arbejde proaktivt for at øge forståelsen for den nødvendige risikominimering, selvom den skulle påvirke produktionen negativt.
Radars data viser, at flere beslutningsroller end tidligere deltager ved aktivt at påvirke, drive og træffe beslutninger om spørgsmål i forbindelse med cybersikkerhed. Det er et tegn på, at udviklingen går i den rigtige retning. Samtidig er der udfordringer med at kommunikere internt, hvem der faktisk har ansvaret for spørgsmål om cybersikkerhed. Intet mindre end 27 procent af medarbejdere, som ikke er ledere, oplyser, at de ikke ved dette. Radars anbefaling er at fokusere mere på virksomhedens viden om og kendskab til risici og udfordringer gennem indsatser på individuelt niveau.
1. Andel af svenske virksomheder, der ifølge rapporten IT-Radar 2020 prioriterer hvert enkelt område.2. Kortlægning af svensk cybersikkerhed 2020, Radar
Download rapporten + værktøj til sikkerhedsanalyse
Læs også:
Sikkerhed i den offentlige sektor
Sikkerhed og cloud-tjenester
Webinar: State of security in the Nordics