Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
2021 har mildest talt været interessant – og her tænker jeg for en gang skyld ikke på Covid.
Endnu en gang ser vi en stigning i ransomware-angreb og softwaresårbarheder, der aktivt udnyttes af it-kriminelle til at sprede skræk og rædsel – og til i værste fald lukke virksomheder ned.
Dertil kommer en stigning i falske online-butikker, som snyder og bedrager både forbrugere og virksomheder.
Men størstedelen af it-sikkerhedsmæssige uheld kan undgås. Derfor kommer jeg her med et nytårsforsæt, som jeg selv har tænkt mig at efterleve – og det er helt gratis.
Nu er jeg ikke den første eller den sidste til at skrive om emnet, men det er også ok: Sammen skaber vi forandring.
Beredskab er nøglen til at kunne undvige potentielle trusler, hvad end det er gennem oplysningsprogrammer og uddannelse, der fokuserer på en af modstandernes oftest anvendte adgangsmetoder, phishing, eller hvis det er opnået gennem anvendelse af sikkerhedsteknologi, der er i stand til at opdage forsøg på ondsindede fjernangreb.
"Ransomware Deployment Protocol" (RDP) er stadig et indgangspunkt for indtrængende, så lad os dykke ned i begge dele:
Vær beredt på alt
Vi bør alle lære af de kære spejdere med deres ”vær beredt!”-mantra.
Man kan argumentere for, at beredskab i dette tilfælde er princippet om due diligence, for uanset hvordan du formulerer det, kommer det hele an på, hvad du gør, før en begivenhed bliver til en hændelse.
Og vi har oplevet nok hændelser efterhånden til at indse, at mange af os ikke gør nok.
Den hårde, skinbarlige sandhed er, at størstedelen af alle uheld kunne være undgået – eller konsekvenserne i hvert fald kraftigt reduceret.
Vi er nødt til at opnå det høje niveau af operationel modstandskraft, som gør det muligt for virksomheden at fortsætte arbejdet selv under en hændelse, og et niveau, der gør det muligt for virksomheden at komme sig hurtigt efter et cyberangreb.
Det vil altså sige at både være beredt på at undgå et angreb og være beredt på at komme sig over et angreb, når det sker.
Så hvis Operational Resilience er resultatet af, at en organisation er godt forberedt, hvorfor så ikke have det på din strategiske radar?
Måske er det nytårsforsættet for CEO, CFO, virksomhedens jurister, CIO, CISO og alle de andre medlemmer af Cybersecurity-teamet i organisationen.
Og ja, jeg inkluderer hele C-pakken, da jeg mener, at det forgangne år tydeligt viste os, at alle medlemmer af beslutningstagende teams er nødt til at have en fælles forståelse angående cybersikkerhed.
C-folkenes roller i cybersikkerhed
Så hvad er deres roller?
Enhver CEO, som ikke allerede har integreret cybersikkerhed i virksomhedens forretningsstrategi og ikke bare i virksomhedens it-strategi står til at tabe.
Hele organisationens forståelse for, hvordan man tænker it-sikkerhed, dikteres af topledelsen – og hvis ikke den tages alvorligt der, så tager resten af virksomheden den heller ikke alvorligt, og en sund it-sikkerhedskultur og -forståelse vil ikke kunne udvikles.
For CFO’en handler det om at huske it-sikkerheden, selv når der tages økonomiske beslutninger.
Eksempelvis skal it-sikkerhed med i overvejelserne, når der opkøbes eller fusioneres med andre virksomheder, og det er afgørende at sikre finansielle transaktioner og kommunikation for at mindske risikoen for Business Email Compromises (BEC-tilfælde) – hvor phishing-mails nok er det mest kendte angreb.
Hvis ikke en CFO i samarbejde med en CISO/CIO allerede nu forstår, hvorfor det er værd at investere i it-sikkerhed, så er der en vigtig dialog forude.
CIO og CISO’ernes roller er klassiske, om end lidt paradoksale: Her handler det om at omfavne de rette teknologiske redskaber, velvidende at teknologi ikke altid er løsningen.
Den tykkeste, digitale voldmur er kun modstandsdygtig mod indtrængende, så længe ingen åbner porten. Altså handler det i lige så høj grad om, at virksomhedens ansatte er uddannede korrekt – og at ansatte forstår, at de selv er en aktiv del af virksomhedens it-sikkerhedsniveau.
Derfor handler det om at fjerne skrøbeligheden fra virksomheden via uddannelse og ved at beskytte virksomhedens mest kritiske aktiver.
Hav en ramme
Alt ovenstående er altid lettere sagt end gjort – fuldstændig som alle andre nytårsforsætter.
Derfor anbefaler jeg, i hvert fald i forhold til it-sikkerhed, at du vælger at arbejde med et veldesignet framework som NIST 800-160 vol2 (netop udgivet i sin fulde form) eller MITRE CREF (og ja, det er fra 2011!).
Begge frameworks fokuserer på cyber resilience, og det burde være top of mind i alle virksomheder og integreret i virksomhedens strategier.
NIST 800-160’s designprincipper siger det klarere end noget andet, så her er et forslag til indholdet af jeres organisatoriske nytårsforsæt:
- Fokuser på kritiske aktiver i virksomheden
- Reducer angrebsflader
- Antag, at du allerede nu har kompromitteret data
- Forvent altid, at mængden af angreb vil stige
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.