Digital risiko – kunsten å balansere risiko og innovasjon
Stadig flere virksomheter investerer i økt kapasitet for å fremme den digitale utviklingen. Det mange glemmer, er imidlertid å sette av ressurser til sikkerhets spørsmål. Vi vil her se nærmere på hvordan man bør tenke rundt IT-investeringer og den digitale risikoen de fører med seg.
Når organisasjonen investerer i digital teknologi, må den ikke glemme å innføre gode sikkerhetsrutiner for å trygge investeringen. 82 prosent av store og mellomstore bedrifter har investert i cybersikkerhet i året som har gått. Også mindre bedrifter har økt investeringene, men mangler den interne kompetansen som mange større virksomheter har. Det er i dag stor etterspørsel etter kurs og programmer knyttet til sikkerhetsrutiner. Skytjenester er et eksempel på en sentral teknologi der mangelen på kunnskap gjør det vanskelig for virksomheter å forstå risikoene. Her er noen tiltak som gjør det enklere å finne balansen mellom risiko og innovasjon:
Utarbeid en prosjektbegrunnelse
IT-investeringer krever en gjennomarbeidet prosjektbegrunnelse. Denne skal ikke bare være en økonomisk beregning, men må også vise at virksomheten har en plan for prosjektene den går i gang med. En god kravspesifikasjon og effektiv prosjektstyring og kostnadskontroll er viktig i alle store prosjekter. Formålet er å minimere de økonomiske og tidsmessige kostnadene. Like viktig som en gjennomarbeidet prosjektbegrunnelse er det å følge opp grunnlaget for denne underveis. For mindre bedrifter kan det dreie seg om å få hjelp av en person med kompetanse på sikkerhet, som setter seg inn i de sikkerhetsmessige sidene og bedriftsspesifikke forhold.
«Hvis IT-strategien ikke henger sammen med den overordnede strategien, er det stor fare for at
investeringen blir kostbar»
Invester i sikkerhetskopiering og sikkerhetsnett
Skal dere være trygge på at investeringene i IT-infrastruktur ikke har vært forgjeves, må dere ta sikkerhetskopier av dataene. Gjør dere ikke det, utsetter organisasjonen seg for en alvorlig risiko dersom data blir skadet eller stjålet. Ifølge 3-2-1-regelen bør virksomheten har tre fullstendige kopier: to sikkerhetskopier fra forskjellige typer medier og én sikkerhetskopi som oppbevares eksternt. Da kan organisasjonen konsentrere seg om det daglige arbeidet uten å være redd for at data skal gå tapt. Digitale innbrudd er som regel ikke like lette å få øye på som fysiske innbrudd. Det er derfor viktig med et sikkerhetsnett i form av VPN med tofaktorautentisering (forkortet 2FA) som bygger på Zero Trust-prinsippet. Det gir god beskyttelse til virksomhetens utstyr og nettverk.
Sørg for at IT-strategien er forankret i virksomhetens overordnede strategi
Skal dere finne en god balanse mellom risiko og innovasjon, må dere også forstå hva en digital transformasjon betyr for den overordnede strategien. Ifølge flere studier har de mest modne virksomhetene etablert et aktivt samarbeid mellom risiko, sikkerhet, IT og ulike avdelinger i virksomheten. De har en overordnet forståelse av hvilke endringer som må gjennomføres på virksomhets-, teknologi- og kulturnivå, og en felles tilnærming til hvilke tiltak som skal innføres, og i hvilken rekkefølge.
Hvis IT-strategien ikke henger sammen med den overordnede strategien, er det stor fare for at investeringen blir kostbar. Kostnader påløper ofte som følge av forsinkelser eller at man ikke har forutsett en risiko, noe som igjen gjør investeringen mindre lønnsom.