<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">

Fifty shades of NEI - hvorfor kommunikasjon og cybersikkerhet hører sammen

Av Terje Vernholt , 21. februar 2018

Fifty shades of nei.jpg

Jeg har gjennom 25 år i forskjellige jobber innen IT- og informasjonssikkerhet, flere ganger vært overbevist om hva som er den ultimate løsningen på trusler mot cybersecurity. Jeg har jobbet med compliance og hendelseshåndtering i noen av Norges mest komplekse, regulerte og utsatte virksomheter, og sett hva som virker og ikke virker. Jeg har opplevd at vi har fått det til - mot alle odds. Og jeg har vært i Fifty situasjoner der virksomheten til tross for at alt lå til rette opplevde nederlag og alvorlige sikkerhetsbrudd. Så etter et langt liv i cyberspace har jeg oppsummert litt - hva er det som faktisk virker?

Fra preventive kontroller til styringssystem for informasjonssikkerhet

I starten var det de preventive mekanismene som brannmurer og kryptering som fikk mest oppmerksomhet. Disse tiltakene skulle støttes av god IT-arkitektur og robuste prosesser for å oppdage og håndtere hendelser.

I dag er det styringssystemet som ofte nevnes som svaret på hvordan man skal bygge trygge systemer. Policyer og prosesser beskriver hva som skal gjøres. Risikovurderinger som skal resultere i beskrivelser av hva som er godt nok for virksomheten er “svaret på alt”.

Som fagansvarlig for styringssystemer for informasjonssikkerhet og sikkerhetsledelse i PwC er jeg selvfølgelig også enig i dette. I så godt som alle tilfeller der vi blir bedt om å finne ut hva som har gått galt etter alvorlige sikkerhetsbrudd ser vi dårlig gjennomførte risikovurderinger. Som i en stor virksomhet vi jobbet med, der problemene “alle” var klar over aldri ble synliggjort i de risikovurderingene som ble gjennomført. Samtidig gikk alle og lurte på hvorfor ledelsen ikke tok tak i de virkelige problemene.

God kommunikasjon og forståelse

Likevel er min erfaring at de selskapene som lykkes med cybersecurity ikke er de som har de beste styringssystemene, de mest bevisste brukerne, bruker mest penger på sikkerhet, eller har den beste teknologien. Min erfaring er at de virksomhetene hvor toppledelse og sikkerhetsmiljøet kommuniserer godt er de som gjør det best.

God kommunikasjon og forståelse setter ledelsen i stand til å ta gode avgjørelser. Min erfaring er at dette er essensen i vellykket cybersecurity. Gjennom kommunikasjon mellom ledelse og fagmiljø skapes forståelse og trygghet til å fatte de riktige beslutningene. Dette gjelder både når det innebærer å akseptere risiko eller ikke velge å kaste seg på en ny trend som reduserer kostnader eller forenkler prosesser, nettopp fordi det ikke vil være det riktige for virksomheten.

I selskaper der sikkerhetsmiljøene ikke har god kobling til ledelsen vender de ofte fokus ut av virksomheten og fokuserer kanskje på medieskapte sikkerhetsproblemer. Dette kan føre til disconnect mellom virksomhet og fagmiljø og er ofte årsaken der sikkerhetspolicyen har fått kallenavn som “Fifty shades of NEI”.

Jo mer digitalisering, jo viktigere er denne kommunikasjonen. Når IT endrer seg fra å være et støtteverktøy til å bli grunnlaget for virksomhetens produksjon er dette en fundamental endring som ikke bare endrer type og mengde teknologi, men også hvordan bedriften opererer og er avhengig av teknologien.

I praksis vil god kommunikasjon kreve innsats fra både fagmiljø og ledelse. Gjennomføring av risikoanalyse og etablering av styringssystem kan være en måte å etablere denne kommunikasjonen på, men da må risikovurderingene gjennomføres på rett nivå, og styringssystemet tilpasses virksomheten heller enn å være slaviske “avskrifter” av en eller annen standard. Hvilken standard man velger, eller om man sertifiseres eller ikke handler mer om hva slags tillit man ønsker å skape utad mot kunder, myndigheter eller andre interessenter.

Selvfølgelig må god kommunikasjon følges opp med både prosesser og teknologi. Men i et selskap der ledelsen har god forståelse for utfordringene, og kommuniserer godt med fagmiljøet kan valgene funderes i reelle behov. Dermed er sannsynligheten høyere for at sikringen legges på et rett nivå, og at ledelsen har trygghet til å ta de vanskelige avgjørelsene. Det innebærer også å si nei når teknologene vil skyte sikkerhetsspurver med kanoner.

I et selskap der ledelsen bryr seg om og engasjerer seg i cybersecurity vil de ansatte automatisk også gjøre det. Dermed risikerer man å få en god sikkerhetskultur på kjøpet ….og hvem vet, kanskje god kommunikasjon og forståelse mellom ledelse og fagmiljø kan bidra til å besvare vår tids viktigste eksistensielle spørsmål …. to cloud, or not to cloud …

 

Interesseområder: Risikostyring, Informasjonssikkerhet

Dele artikkelen:

Terje Vernholt

Terje Vernholt
Jeg heter Terje og er rådgiver innen Cybersecurity i PwC hvor jeg startet våren 2017. Jeg har de siste 25 årene jobbet med det meste innen IT- og cybersikkerhet. Jeg har gjort det meste, fra krabbing under datagulvet med kabler til brannmurer og IDS systemer, til komplekse utfordringer rundt etterlevelse av lover og regler som CISO i forsvarsindustrien. Jeg har vært fagansvarlig for etablering av incident response team med fokus på deteksjon og håndtering av cyberspionasje. I en verden der både virksomheter og trusselaktører digitaliserer i høyt tempo, tror jeg den største utfordringen fremover blir å finne den rette balansen mellom nye digitale muligheter og de farer og trusler digitalisering medfører. Hvis du har synspunkter, innspill, kommentarer eller spørsmål til noe du leser, ta gjerne kontakt.
terje.vernholt@pwc.com

Kommentere