KOMMENTAR | Thomas Tømmernes
Sikkerhet er lagidrett
De fleste virksomheter vet hvem de ringer når strømmen går eller alarmen utløses. Færre vet hvem som faktisk møter opp når det digitale huset står i brann. I dag er IT-partnere blitt privat sektors viktigste støttespiller, men det gjelder bare for dem som har tatt beredskap på alvor før det brenner.
I årets «Bevissthet og beredskap», Atea sin IT-sikkerhetsundersøkelse, er tallene ganske tydelige: Rundt 70 prosent av norske virksomheter samarbeider allerede med en ekstern sikkerhetsleverandør, og hele 75 prosent forventer å støtte seg på sin IT-partner hvis en alvorlig hendelse oppstår. Det gjør private sikkerhetsleverandører til de viktigste støttespillerne privat sektor har i en krise.
Dagens trusbilde krever samarbeid
Vi liker å tro at vi har kontroll. At «IT fikser dette». At systemene er oppdatert, og at det sikkert går bra. Men dagens digitale trusselbilde er eliteserie med profesjonelle motstandere, døgnkontinuerlig press og null rom for amatørfeil
Derfor har samarbeid med riktige sikkerhetspartnere blitt en kritisk del av beredskapen. Ikke som en nødløsning, men som en bevisst strategi. Akkurat som vi i dag kjøper revisjon, juridisk bistand eller fysisk vakthold, kjøper vi digital beredskap. Fordi kompetansen, kapasiteten og verktøyene rett og slett ikke kan bygges opp internt hos alle, og i hvert fall ikke over natten.
Å stå alene mot organiserte, globale aktører er litt som å stille til Birken med treski under armen og håpe på kraftig medvind. Det kan gå. Men sannsynligvis gjør det ikke det.
Problemet oppstår når ansvaret havner mellom stolene
Utfordringen oppstår når sikkerhet blir noe «vi har outsourcet», og dermed også mentalt parkert. Beredskap kan ikke «outsources» bort fra ledelsen.
Når en alvorlig hendelse skjer, er det ikke brannmuren som må forklare seg for styret, media eller kundene. Det er ledelsen. Da holder det ikke å si at man «Trodde IT fikset det», eller at man «hadde en avtale et sted». God sikkerhet starter derfor ikke i serverrommet. Den starter i styrerommet.
Ledelsen må stille de samme spørsmålene som i all annen kritisk drift: Vet vi hvem som møter opp når det smeller? Har vi øvd sammen, eller har vi bare en plan i en skuff? Vet vi hva som er vårt ansvar, og hva sikkerhetsleverandøren faktisk leverer?
Altfor mange virksomheter oppdager dessverre først i krise at beredskap ikke er et dokument, men heller evnen til å håndtere krisen.
Fra leverandør til sikkerhetspartner
En IT-sikkerhetspartner er ikke en brannslukker du bruker etter at huset er overtent. Det er mer som et eget vekterselskap, med lokalkunnskap, tilgang til utstyr og folk som kjenner bygget ditt før de løper inn.
Men for at sikkerhetsleverandøren skal fungere og være nyttig for virksomheten, må forholdet være forankret, vedlikeholdt og tatt på alvor. Det krever involvering fra ledelsen, og da mener jeg mer enn bare å signere en kontrakt.
De virksomhetene som lykkes best er de som ser sikkerhet som en del av virksomhetsstyringen.
De virksomhetene som lykkes best er de som ser sikkerhet som en del av virksomhetsstyringen. De som har sikkerhet som et fast tema i ledermøtene, der beredskapsplanen øves på, der man vet hvem man skal ringe og som tar telefonen klokken 03:17 en tirsdag i juni.
Ledelse er å ta ansvar før det gjør vondt
Å investere i sikkerhet gir sjelden applaus, Det er like kjedelig som å kjøpe forsikringer. Man trenger det ikke før det smeller. Men ledelse handler nettopp om å ta de kjedelige, riktige beslutningene i tide. Å erkjenne at digital sikkerhet i dag er like forretningskritisk som strøm, vann og nøkkelen i døra.
Og i en verden der få kan stå alene, er evnen til å samarbeide med de riktige partnerne ikke bare god praksis. Det er selve beredskapen.
