top of page
Forfatterens bildeRonny Stavem

5 feiltrinn som bidrar til å svekke din digitale sikkerhet

Oppdatert: 14. jan. 2021

God digital sikkerhet handler om mer enn bare teknologi - det krever også en langsiktig forpliktelse til å utvikle ulike strategiske evner.

Bedrifter bruker mer penger enn noen gang på å beskytte seg mot cyberangrep, men dette kan skape en falsk trygghet. Det viser sikkerhetsangrepene vi stadig leser om, der ingen ser ut til å bli vist noen nåde. Investeringer i teknologi er nyttig, men de hyppige sikkerhetshendelsene indikerer at det alene ikke holder.


Overvurderer effekten av sin digitale sikkerhet

Få ledere trenger i dag å bli fortalt at cybersikkerhet er kritisk for å kunne beskytte bedriftens verdier og omdømme. Bedrifter bruker mer enn noensinne på å lære seg hvor de er sårbare, å ta i bruk sikkerhetsløsninger, og å ansette kompetente personer som er helt nødvendig for et sterkt cyberforsvar.


En undersøkelse utført av konsulentselskapet Bain & Company, sier at 97% av bedrifter som har fått vurdert cybersikkerheten sin som de siste tre årene, så er det 70% som regelmessig oppgraderer det meste av sin teknologi for digital sikkerhet, og at tre av fire har toppledere som fokuserer helt på ansvaret for cybersikkerhet, ofte gjennom rollen som Chief Information Security Officer (CISO).


Til tross for disse investeringene viser undersøkelsen at mange selskaper fortsatt overvurderer effekten av den digitale sikkerheten fordi de ikke forstår kompleksiteten i utfordringen. Spesifikt, er det mange som ikke bygger opp de langsiktige strategiske evnene som er helt nødvendig for å ha en robust digital sikkerhet. De fleste sliter med å følge selv den enkleste beste praksis. Undersøkelsen viser også at kun 43% av lederne mente at deres selskaper fulgte beste praksis for cybersikkerhet, men en grundigere analyse viste at det var om lag 24% av bedriftene som faktisk tilfredsstilte det man anser for beste praksis.


Manglende forståelse av kompleksitet er kostbart

Denne forskjellen viser at mange mener de er bedre beskyttet enn hva de faktisk er. Manglende forståelse for kompleksiteten av digital sikkerhet kan få store økonomiske konsekvenser. Halvparten av norske bedrifter har opplevd dataangrep, og det tar vanligvis flere måneder før angrep blir oppdaget. Da er det gjerne for seint. Statistikk fra sikkerhetsselskapet FireEye viser at det i snitt tar hele 177 dager før bedrifter oppdager angrep på virksomheten sin. Og det koster.


Næringslivets sikkerhetsråd (NSR) sin Mørketallsundersøkelse fra 2018, som kartlegger sikkerhetstilstanden hos mer enn 1500 norske virksomheter i både privat og offentlig sektor, viser at norske selskaper i liten grad har oversikt over hva datakriminalitet koster dem. NSR anslår at kostnaden er 1,3 milliarder kroner blant norske virksomheter. Årlig! I tillegg så kommer de økonomiske tapene som følge av tapte kontrakter og sviktende omdømme.


Gransking av datainnbrudd i etterkant viser ofte det samme mønsteret. Til tross for et høyt bevissthetsnivå blant toppledere og betydelige investeringer i teknologiske løsninger for digital sikkerhet, er selskapene fortsatt sårbare, og disse sårbarhetene blir nådeløst utnyttet i et digitalt angrep. En gjennomgående nøkkelfaktor er at ledere grunnleggende misforstår egenskapene til god cybersikkerhet, og at de undervurderer det krevende arbeidet for å oppnå det. Som et resultat av dette tar de en taktisk tilnærming med å krysse av i en sjekkliste i stedet for å gjennomføre den viktige jobben med å utvikle de strategiske evnene som kreves for å få en robust cybersikkerhet.


En rekke vanlige feil svekker cybersikkerhet

Selvinnsikt er en dyd, og tross klare svakheter, ser det likevel ut til at ledere har en forståelse av begrensningene i egen sikkerhetstilstand, og mange er bekymret for at de ikke vil klare å stå imot et sikkerhetsangrep. Og bekymringene er berettiget. En mengde ting må fungere bra for å kunne gi god motstand mot et angrep, og den kompleksiteten kan være overveldende og føre til feil fokus. Følgende er noen feiltrinn som svekker cybersikkerheten:


• Manglende evne til å identifisere bedriftens kronjuveler

• Lite vurdering av budsjettbehov

• Ignorere råd fra frontlinjen

• Motstand mot skyteknologi

• Interessekonflikter mellom IT og sikkerhet ved rapportering


Ofte starter virksomheter å se etter teknologiske løsninger. Mange benytter seg av mange produkter og tjenester for å tilfredsstille sine behov, og investerer i policyer og standarder i et forsøk på sikre at den digitale beskyttelsen forblir proaktiv og oppdatert. Men svært mange dataangrep er et resultat av at bedriftene ikke har klart å holde systemene sine oppdatert til enhver tid. Teknolog er kun et element. Fordi så mange nettangrep starter med å utnytte sårbarheter i menneskers atferd, er opplæring også viktig, spesielt med tanke på at drøye 90% av cyberangrep kommer som sosial manipulasjon via e-post. Undersøkelser viser at rundt halvparten av selskaper gir regelmessig opplæring av ansatte om cybersikkerhet, og langt mer overraskende, bare 55% gir tilstrekkelig opplæring for sine fagpersoner for cybersikkerhet.


Løsningen er en helhetlig tilnærming, steg for steg

Den langsiktige løsningen krever omdefinering av cybersikkerhet som et sett med strategiske evner som kan bygges og forbedres over tid for kontinuerlig å håndtere trusselen om cyberangrep. Hverken teknologiløsninger, tredjeparts tjenester eller det å følge bransjestandarder kan erstatte en fullstendig helhetlig tilnærming til cybersikkerhets. For å bygge opp nettmotstanden, må virksomheter sørge for å utvikle evner innen styring, prosesser, organisasjon og teknologi.


Det krever innsats over tid for å bygge evnene til det nivået som er nødvendig. Men det er som det klassiske spørsmålet: "Hvordan spiser man en elefant?". Bit for bit. Virksomheter kan oppnå sine målsetninger for cybersikkerhet ved å ta steg for steg. Følgende er fire aksjonspunkter for veien til en helhetlig tilnærming:

  • Beskriv nåsituasjonens nivåer innenfor viktige kapabiliteter under styring, prosesser, organisasjon og teknologi.

  • Identifiser ønsket modenhetsnivå for kapabilitetene.

  • Få på plass et veikart og en handlingsplan, og start der gapet på kapabilitetsevnene er mest kritisk å fylle.

  • Få ledelsen til å forplikte seg til kontinuerlig forbedring ved å sørge for at handlingsplanen og nødvendige tiltak blir sikret finansiering.

Samlet sett er tilnærmingen til å bygge gode evner for cybersikkerhet en rett fram reise, ikke ulik andre endringsreiser. Men, erfaring viser at det krever et vedvarende fokus og en forpliktelse over mange år for å heve nivåer i tråd med selskapets reelle behov. Det viktigste steget er det første: Ledelsen må forstå omfanget av utfordringen og erkjenne at i de fleste tilfeller er alt det de gjør rundt cybersikkerhet sannsynligvis ikke nok. Med den forståelsen kan ledere ta de nødvendige skrittene for å øke selskapets motstandskraft mot cyberangrep og beskytte bedriften, verdiene og selskapets interessenter.


118 visninger0 kommentarer

Comments


bottom of page