IT er nødt til å definere, forankre og trygge sikkerhetsnivåer både når det gjelder infrastruktur og applikasjoner.
Det er viktig med tiltak som styrker hensiktsmessige og nødvendige atferdsendringer hos alle IT-brukere i virksomheten. Et godt definert proaktivt arbeid for økt bevissthet, økt krisehåndtering og verifisert etterlevelse gir virksomheten et konkurransefortrinn gjennom å beskytte både nøkkelressurser og virksomhetens anseelse.
Ikke gå på kompromiss med sikkerheten
Fra et virksomhetsperspektiv betyr dette at man må evaluere allerede implementerte løsninger, sørge for at eksisterende kunnskapsnivå er i tråd med krav og forventninger samt at man i forbindelse med fremtidige digitaliseringsinvesteringer ikke går på kompromiss med sikkerheten. Aktiv deltakelse og synliggjøring av engasjement fra ledergruppe og beslutningstakere vil stå sentralt.
Vi vet at fortsatt digitalisering og optimalisering av digitale prosesser i svenske virksomheter er nødvendig. Ifølge Radars data er økt digitaliserings- (64 %)1 og automatiseringsgrad (46 %)1 samt innføring av nye applikasjoner (44 %)1 nettopp det som prioriteres høyest innen IT. Samtidig genererer dette stadig større datavolumer som følge av økt bruk av blant annet skytjenester og IoT, noe som medfører mer intensive (kvantitet) og mer anvendelige (kvalitet) datastrømmer.
Komplekse kjeder vanskeligere å holde oversikt over
Gjennom komplekse kjeder skapes det verdi fra informasjon som tidligere har vært uinteressant og ikke-målbar. Utviklingen har gått fremover, og stadig flere etterstreber mer fleksible forretnings- og virksomhetsmodeller der datastrømmene utnyttes i større grad. Lengre kjeder er imidlertid mer komplekse og dermed vanskelige å holde oversikt over fra et sikkerhetsperspektiv.
Økt distribusjon av noder i forbindelse med digitalisering oppleves som et hinder i sikkerhetsarbeidet for de fleste modne virksomheter. I mindre modne virksomheter er denne bevisstheten fremdeles liten. Utfordringen er å forstå hvordan informasjonen lever gjennom hele den lange kjeden. Det vil si å forstå når informasjonen ligger i ro, er i bevegelse eller i bruk samt hvem som har tilgang til den.
Brudd i kjeden kan innebære tapt forretningsinformasjon, effektivitetstap, kvalitetsbrist og/eller redusert tillit, som igjen kan medføre økte kostnader, nedsatt konkurranseevne eller i verste fall risiko for samfunnet.
Sikkerhetsarbeidet må kunne forsvares både juridisk og operasjonelt
Et realistisk utgangspunkt er at ikke noe sikkerhetsarbeid er perfekt. Radars vanligste anbefaling for hvordan arbeidet med sikkerhet bør drives er at det bør kunne forsvares både juridisk og operasjonelt.2 Det må fungere i praksis. Det er en stor utfordring å digitalisere uten å gi avkall på sikkerhet for egen virksomhet, samarbeidspartnere og medborgere. En glemt patch, en uforsiktig åpning av et vedlegg i en e-post eller et inngrep hos valgt leverandør av IT kan i dag få katastrofale følger.
I tillegg til intern sikkerhetsmodenhet hos eget personale handler de største hindrene om modenhet og feil prioritering, blant annet mangel på rutiner og andre viktige ting knyttet til den menneskelige faktoren.
Evaluere nåværende situasjon med fokus på behov og forutsetninger
For å få utbytte av tiltak som gir økt sikkerhet må disse være veloverveide og begrunnede, noe som er en stor utfordring i seg selv. En evaluering av nåværende situasjon med fokus på behov og forutsetninger, gir gjerne et bedre utgangspunkt for fremtidige investeringer og endringsprosesser, blant annet arbeidet med overholdelse og oppfyllelse av nye krav. Arbeid som har til formål å styrke virksomhetens prestasjonsevne gjennom kompetansehevende tiltak på individnivå, er viktig i denne sammenheng. Særlig ettersom lav grad av sikkerhetsmodenhet blant eget personale betraktes som et stort hinder for å holde sikkerheten på et tilfredsstillende nivå.
Et høyt endringstempo innebærer stigende forventninger og krav om rask tilgang til nye tjenester som gir økt effektivitet. Cyber- og informasjonssikkerhetsarbeidet settes dermed ikke bare opp mot ressurser i form av penger, tid og kompetanse, men ofte også mot faktorene bekvemmelighet og frihet. Når stadig kortere virksomhetssykluser premieres, risikerer dynamikken å bli endret fra en forsiktig satsing til en med høyere risiko, noe som gir større fare for at sikkerhetsarbeidet havner på etterskudd allerede i en tidlig fase.
Stadig kortere virksomhetssykluser lager trøbbel
Fra et sikkerhetsperspektiv er det et problem at stadig kortere virksomhetssykluser medfører premiering av visse styringsmodeller og arbeidsmetoder som har til formål å lette tollvirksomhetens digitalisering. De vanligste ITIL-rammeverkene og agile metodene gir ikke IT-organisasjonen og virksomheten for øvrig tilstrekkelig støtte i håndteringen av informasjons- og cybersikkerhet.
ITIL dekker inn området mer enn agile metoder ved å henvise til andre rammeverk og standarder på området, men historisk sett har sikkerhet hovedsakelig tatt utgangspunkt i brukerens tilgang til informasjon fremfor å skape (eller anskaffe) en robust teknisk design. Agile rammeverk tar ikke opp informasjons- og cybersikkerhet i større utstrekning, men setter sin lit til blant annet DevOps.
Også tradisjonelle metoder som fossefallmetoden har sine begrensninger og problemer, så løsningen er ikke nødvendigvis å gå tilbake til tradisjonelle utviklingsprinsipper. Uansett metodikk i egen organisasjon må man sørge for at sikkerhetsinteressen overvåkes også i korte iterasjoner der bare det som er høyest prioritert, blir utviklet. Sikkerhet må gis høy prioritet for å minimere fremtidig risiko.
Hastige transformasjonsprosesser blir problematisk, da det er fare for at man bygger seg inn i et IT-landskap som er så komplisert at det senere blir svært kostbart å finne ut hvilke risikoer organisasjonen utsetter seg for. Ofte legges det stor vekt på funksjon, mens proaktiv sikkerhet som for eksempel dokumenterte informasjonsstrømmer, risikovurderinger, opplæring og håndtering av informasjonssikkerhetshendelser blir viet mindre oppmerksomhet.
Håndteringen er ofte mangelfull
Den siste tidens fokus på ”feilkonfigureringer” av standardtjenester som har medført at følsom og beskyttelsesverdig informasjon har ligget åpen, viser med all tydelighet virkningene av et oppskrudd tempo og mangelfull metodikk. Det er sjelden feil på produktet eller løsningen – som oftest er det håndteringen som er mangelfull. Det gis ikke tid til ettertanke, og man glemmer de mest grunnleggende delene som for eksempel konfigurering. Dette er ytterligere en av de mange tingene som øker friksjonen mellom rask utvikling og bevaring av stabile systemer, som i mange år har vært en hodepine for IT-organisasjoner.
Som sikkerhets- eller IT-ansvarlig risikerer man iblant å bli oppfattet som bakstreversk og en bremsekloss for produktivitet og fleksibilitet. Hele virksomheten er nødt til å jobbe proaktivt for å øke forståelsen for nødvendig risikominimering, selv om det medfører produksjonstap.
Radars data viser at flere beslutningstakende roller enn tidligere bidrar aktivt med å påvirke og ta beslutninger i spørsmål vedrørende cybersikkerhet, noe som tyder på at utviklingen går i riktig retning. Samtidig er det mangel på intern kommunikasjon om hvor ansvaret for cybersikkerhet ligger: Hele 27 prosent av medarbeidere som ikke har en lederstilling, oppgir at de ikke vet dette. Radars anbefaling er å fokusere mer på virksomhetens kunnskap om og kjennskap til risikoer og utfordringer gjennom tiltak på individnivå.
1. Andel av svenske virksomheter som ifølge rapporten IT-Radar 2020 prioriterer respektive område.
2. Kartlegging av svensk cybersikkerhet i 2020, Radar