Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Intet cyberforsvar er uigennemtrængeligt, og de færreste virksomheder kan i dag se sig fri for at blive ramt af cyberangreb.
En rapport fra Cybint estimerer, at der i gennemsnit sker et databrud hvert 39. sekund som årsag af et cyberangreb.
Blot det seneste år har vi set brud hos store virksomheder som Acer, Microsoft Exchange og danske Ritzau.
Selv de mindste virksomheder og it-leverandører kan mærke presset stige. 95 procent af vores it-serviceleverandør-partnere fortæller nemlig i Dattos seneste Ransomware Report, at de i højere grad bliver angrebet af hackere.
Forbered virksomheden bedst på det værste
Mange it-afdelinger er begyndt at indse, at en traditionel it-sikkerhedsstrategi ikke længere er nok i kampen mod hackerne.
I stedet for blot at stole på et beskyttende lag af firewalls og anti-malware-løsninger har virksomhederne rettet fokus mod at opbygge robusthed ud over disse første forsvarslinjer.
Hos Datto ser vi således et skifte i tankegangen hos virksomheder og it-serviceleverandører: Det handler ikke længere om, hvis virksomhederne bliver ramt.
Det handler i dag om, hvordan virksomhederne kan holde driften kørende, mens de er ramt.
Det kræver selvindsigt at finde hullerne i et cyberforsvar før et angreb, men metoden skaber en holistisk tilgang til it-sikkerhed, der skal sikre, at virksomheden fortsætter driften både under og efter et angreb.
Vores amerikanske kolleger i it-sikkerhedsbranchen kalder det holistiske perspektiv for cyber resilience.
Med cyber resilience, eller cyberrobusthed, sikres virksomheder ikke mod nogensinde at blive ramt af et cyberangreb.
Der arbejdes imidlertid med hele paletten af effektiv it-sikkerhed, BCDR og hurtig ageren på sikkerhedshændelser.
Derved bliver det langt nemmere at opdage og identificere ondsindede aktører og malware, beskytte data, reagere på trusler i realtid og sikre hurtig gendannelse.
På den måde vil virksomheder og it-serviceleverandører komme hurtigere på benene efter et cyberangreb – med minimalt ressourcetab som følge.
Desværre bliver cyberrobusthed ikke leveret som en samlet pakke, men består af tre elementer, der skal spille sammen i en højere enhed: Mennesker, processer og teknologier.
Treenigheden af cyber resilience
Ovenstående kompotenter er alle en del af it-leverandørers værktøjskasse.
Nøglen er at kombinere værktøjerne og derved højne niveauet af den klassiske it-sikkerhed.
For eksempel sværger rigtig mange it-leverandører til avanceret teknologi for at løse deres problemer, hvilket ikke er forkert – det er blot ikke nok, hvis man ønsker at opbygge reel cyberrobusthed.
Som resultat ser vi ofte, at der mangler fokus på menneskelige kompetencer og processer, hvilket er en klar fejl hos it-serviceleverandører.
For hvis virksomhederne enten mangler it-kompetencer, eller ikke har styr på sikkerheds-processerne, kan det give en falsk form for sikkerhed – på trods af, at teknologien er i orden.
I stedet skal cyberrobusthed ses som en iterativ proces.
Kompetenceniveauet hos medarbejdere, igangsatte it-processer og teknologien skal ofte revurderes for at kunne lukke sikkerhedshullerne og følge med det stigende trusselsbillede.
På medarbejderniveau skal virksomheder og it-serviceleverandører sikre sig, at de ansatte teknikere har dokumenteret sikkerhedsekspertise, eller at der samarbejdes med en specialiseret sikkerhedstjenesteudbyder (MSSP).
På procesniveau hjælper en analyse med at bestemme, hvilke processer, der kan gentages og måles, og hvilke der ikke kan. På teknologiniveau skal de anvendte værktøjer gennemgås for at se, om de bruges korrekt og er omfattende nok, inden der investeres i ny teknologi.
Ved at se sikkerheden i et større billede bliver det nemmere at lokalisere, hvor forsvaret er svækket.
Lokalisering af et svækket forsvar
Tjeklister og visualiseringsværktøjer kan være gode retningslinjer, når man skal genbesøge it-sikkerheden.
Men det kan være svært at overskue, hvor der først skal sættes ind.
Et godt tip er, at det sjældent er teknologien, men processer og medarbejdere, der skal opdateres.
Jeg kan kun anbefale virksomheder og it-serviceleverandører at benytte NIST Cybersecurity Framework og Center for Internet Security (CIS) Security Controls, der hjælper med at sætte mål og rammer for it-sikkerheden.
CIS Controls foreslår en række handlinger i prioriteret rækkefølge, der skal identificere og lukke hullerne. Listen inkluderer de vigtigste handlinger, der skal implementeres, som for eksempel:
- Opdatering af hardware og software.
- Kontinuerlig patch management.
- Kontrolleret brug af forskellige data og konti.
- Sikring af systemkonfigurationer og vedligeholdelse.
- Overvågning.
- Ændringslogfiler.
De fleste af ovennævnte tiltag kan dækkes af allerede implementeret teknologi, hvis blot der laves nye sikkerhedsprocesser. I nogle tilfælde skal der måske hyres flere it-ressourcer osv.
CIS Controls er ikke en facitliste, men en rettesnor.
Det er op til hver virksomhed at definere, hvilke komponenter, der skal arbejdes på for at blive mere robust over for følgerne af et cyberangreb.
Det kan ikke måles på, om virksomheden bliver ramt af et cyberangreb eller ej.
Det måles på, hvor godt forberedte de er, samt hvor hurtigt de er ude på den anden side og får gendannet, så virksomheden ikke mister for mange ressourcer.
At blive cyberrobust er en løbende proces, og der er desværre ingen snydekoder eller ens fremgangsmåde for alle virksomheder.
Ikke desto mindre bør det være en prioritet for enhver virksomhed. Det vigtigste trin er at komme i gang.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.