DEBATT | Mostyn Thomas, Pax8
IT-leverandører jobber ustrukturert med cybersikkerhet
Behovet for effektive mottiltak mot cyberangrep er mer akutt enn noen gang. Likevel jobber altfor få IT-leverandører strukturert med cybersikkerhet og overraskende få bruker etablerte sett med retningslinjer.
Min vurdering er at mange IT-leverandører bør jobbe mer systematisk, dels for å få kundene til å føle seg tryggere og for å differensiere seg i et konkurranseutsatt marked.
Kravene til en strukturert innsats innen cybersikkerhet har blitt enda større etter at NIS2-direktivet ble innført. Dermed stilles det nye krav til cybersikkerhet for virksomheter i såkalte kritiske sektorer i EU. Dessuten har fremveksten av kunstig intelligens gjort databeskyttelse til en større utfordring ettersom enorme mengder data behandles og deles.
Teori til handling
Hvis du ønsker å møte de nye kravene og styrke forsvaret mot cyberangrep, er én mulighet Center for Internet Security (CIS), som er en uavhengig ideell organisasjon som utvikler retningslinjer for cybersikkerhet. CIS kan hjelpe IT-tjenesteleverandører (MSP-er) å ta steget fra teori til handling. En av de praktiske retningslinjene er CIS Controls, som hjelper IT-tjenesteleverandører å sikre både egen og kunders IT-infrastrukturer gjennom tydelig veiledning om alt fra grunnleggende hygienefaktorer til avansert risikostyring.
Jeg tror at faste strukturer som CIS Controls gir klare fordeler for IT-leverandører for å styrke og fremtidssikre forsvaret mot cyberangrep. Med CIS Controls får man en strukturert handlingsplan som støtter både forsyningskjedesikkerhet, kontinuerlig overvåking og avansert risiko- og hendelseshåndtering. Og akkurat som forskrifter som NIS2, oppdateres CIS Controls jevnlig fordi trusselbildet er i stadig endring.
Strukturert tilnærming
Mens mange cybersikkerhetsinitiativer og rammeverk gir veiledning om hvordan organisasjoner kan jobbe forebyggende og håndtere konsekvensene av et cyberangrep, mangler mange mindre eller nystartede IT-leverandører en strukturert tilnærming til ledelse av hendelser. Med CIS Controls kan du oppdage og håndtere trusler i tide før de forårsaker skade. Evnen til å handle proaktivt er avgjørende når du vil bygge motstandskraft.
For at IT-leverandører effektivt skal kunne administrere både egen og kunders cybersikkerhet, er det nødvendig med kontinuerlig opplæring, inkludert hvordan CIS Controls skal implementeres og brukes. Det er ofte de ansatte som utgjør de ytterste leddene i beskyttelse mot nettkriminalitet. Dette gjelder spesielt i forbindelse med for eksempel phishing-angrep, hvor menneskelige feil kan føre til uautorisert tilgang til sensitiv informasjon. Opplæring av ansatte kan derfor være avgjørende, både for å beskytte bedriften og oppfylle regler og krav.
Mitt råd til IT-leverandører er derfor at du ser nærmere på CIS Controls og prioriterer opplæring av ansatte. Det er differensierende og tillitsbyggende overfor kunder å tilby strukturerte sikkerhetstjenester.
