Derfor er IT-sikkerhet et spørsmål for ledelsen
IT-sikkerhet handler om å sikre at de tjenestene og verktøyene som virksomheten bruker, er beskyttet. For dem som driver med IT, kan dette virke som en selvfølge, men sikkerhetsspørsmålene må forstås og prioriteres av hele virksomheten.
Hybridarbeid og den geopolitiske situasjonen har påvirket IT-sikkerheten i verden rundt oss. Nå er det ikke lenger bare skadeprogrammer og løsepengevirus som utgjør de største truslene for bedrifter og privatpersoner. Såkalte leverandørkjedeangrep har blitt mer utbredt enn noen gang. Dette innebærer at angriperne utnytter de svake punktene i organisasjonenes arbeidsprosesser. Disse sårbarhetene er ofte knyttet til informasjonen som ligger lagret i systemer og digitale tjenester.
Integrer risikohåndteringen i virksomheten
En IT-sikkerhetshendelse kan få driftsmessige, økonomiske og strategiske følger. Ofte er sviktende kontroll årsaken til at hendelsene oppstår. Et tiltak som kan bidra til å løse problemet, er å innlemme risikohåndtering i forretningsmessige og tekniske prosesser. Sårbarhetene må med andre ord kartlegges og prioriteres. Gjennom å flytte fokus fra tekniske tiltak til et mer strategisk IT-sikkerhetsarbeid kan virksomheten oppnå økt modenhet og bedre sikkerhet.
De strategiske tiltakene former hvilke tiltak som må iverksettes på områdene teknisk og driftsmessig sikkerhet. Hvis løsepengeangrepet er et faktum, vil det ikke være mulig for organisasjonen å stanse det, men med sikkerhetskopier og mulighet til å tilbakestille systemene er likevel mye gjort. Et annet viktig risikohåndteringstiltak er å se over kontinuiteten i virksomheten. I tillegg kan dere øke bevisstheten om phishing, eller «nettfisking», ved hjelp av øvelser og opplæringsprogrammer og ta i bruk etisk hacking for å undersøke hvor godt forberedt virksomheten er på et potensielt angrep. Her kan ledelsen være med på å stake ut kursen og involvere seg i arbeidet ved å utarbeide gode risikohåndteringsrutiner.
«Det bør være et samspill
mellom styret, ledelsen og de
driftsansvarlige, slik at det kan
arbeides effektivt og helhetlig
med sikkerhetsspørsmål»
Kartlegg informasjonsressurser og angrepsflater
Det er viktig å sette seg inn i hvilke potensielle angrepsflater som finnes. Alle informasjonsressurser og risikoer i virksomheten må derfor kartlegges. Dere bør vite hvor de dårligst beskyttede og mest følsomme dataene befinner seg. Dann dere et bilde av hvilke informasjonsressurser organisasjonen er avhengig av, og be gjerne en ekstern partner om hjelp til å utføre en sikkerhetsanalyse for å identifisere og beskytte slike ressurser i virksomheten.
Skap et samspill mellom de ulike delene av organisasjonen
Bli en pådriver for IT-sikkerhet sammen med ledelsen og resten av virksomheten. Det er viktig at dere står samlet og samarbeider om å beskytte følsomme data. Det bør være et samspill mellom styret, ledelsen og de driftsansvarlige, slik at det kan arbeides effektivt og helhetlig med sikkerhetsspørsmål. Sammen med en betrodd partner med spisskompetanse på IT-sikkerhet kan dere drive innbruddstesting og sikkerhetsopplæring og øve på kriser og hendelser. Planlegg sikkerhetsarbeidet og ha en plan for hvert trinn i prosessen. Hva gjør dere ved en eventuell hendelse? Hvordan kan dere forebygge sikkerhetshendelser? Hvordan kan dere begrense et pågående angrep?