Sikkerhet for hva som kommer

World Economic Forum spådde tidligere i år at cybersikkerhet er den nest største utfordringen virksomheter vil møte det neste tiåret. Det er viktig å ha i mente når vi vet at data er virksomhetens største verdi, og mengdene som nå håndteres har økt med 831 prosent siden 2016. Dette ifølge en global undersøkelse utført for Dell Technologies vinteren 2020. I 2019 opplevde 82 prosent av bedriftene en alvorlig forstyrrelse i driften i form av en elektronisk trussel eller lignende - opp seks prosent fra året før. Kort sagt: Selv om det investeres mer i sikkerhet og problemene tas mer på alvor, øker antallet hendelser likevel raskt.

Sanntid er for sent

I 2019 skjedde et ransomware-angrep hvert 14. sekund på verdensbasis, og det er nå slik at det er for sent å respondere på trusler i sanntid. Risiko må håndteres proaktivt, der forsvarsverkene bør testes kontinuerlig for å luke vekk feil som kan utnyttes av hackerne som skraper på portene til brannmuren. Vårt søsterselskap, sikkerhetsleverandøren RSA, har i en bloggpost identifisert kritiske spørsmål som eksperter på sikkerhet og risiko, og lederne i forretningen bør ha en formening om følgende basis spørsmål:

• Hvor motstandsdyktig er man mot cyberangrep?
• Hvor godt sikres dataene når ansatte er på reise/hjemmekontor?
• Hvilken risiko kan oppstå fra de ulike skytjenestene som er i bruk, og hvordan er ansvarsforholdene definert i kontrakter og tjenesteavtaler?
• I hvilken grad beskyttes data og informasjon som deles med kunder, partnere, leverandører eller andre tredjeparter?
• Møtes alle lover og retningslinjer (compliance)? Personvern går ikke av moten med det første

De største virksomhetene har fageksperter på alle disse områdene, mens mellomstore bedrifter må fordele byrden på flere ansatte.  

Sikkerhet for det som kommer

Høyt på radaren nå er utfordringen med å finne fullgode sikkerhetsløsninger for fremadrettede teknologier som 5G, databehandling på kanten, kunstig intelligens og maskinlæring. Slike løsninger innføres nå over hele Norge, i håp om store fordeler knyttet til effektivisering og økt produktivitet. I den sammenhengen behøves både en risikostrategi knyttet til denne prosessautomasjonen, og rutiner og regler som sikrer at løsningene fungerer døgnkontinuerlig, herunder kriseberedskap og katastrofegjenoppretting. Sikkerhet krever en tett forankring mellom prosesser og teknologi – og derfor er det et ansvar som ligger på ledernivå.

Flytter data ned i hvelvet

Virksomheten må ha nedfelt hva som er de mest kritiske tjeneste med de mest sensitive dataene, og kjenne risikobildet knyttet til disse. Merk at dette må være en agil tilnærming da graden og arten av risiko er dynamisk. Som regel er 10-15 prosent av datamengdene så kritiske at de må forsvares nærmest uansett kostnad, fordi virksomhetens overlevelse avhenger av disse. Metaforisk er disse dataene tilsvarende de gjenstandene man ville prioritert å ha bæret med seg ut dersom hjemmet sto i brann. Her finnes det tjenester med automatiserte prosesser som hjelper til å isolere dataene i såkalte cyber-hvelv. 

Det er en klar sammenheng mellom hvor flink bedriften er til å kontrollere risiko og verdiene som hentes ut av digitale omstillingsprosjekter. Desto bedre svar man har på spørsmålene over, desto større tillitt vil sikkerhets- og IT-ekspertene oppleve fra styret og ledelsen. Dette er gull verdt for endringsprosjektene som kommer.