Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Vi taler meget om teknik og digital sikkerhed, men et af de områder, jeg gerne vil rykke frem i rampelyset, er den fysiske sikkerhed omkring din organisation.
Efter et langt liv i Forsvaret kan jeg med rette beskyldes for at være erhvervsskadet, men det gør absolut ikke emnet mindre vigtigt – heller ikke i vores digitale verden.
Jeg vil gerne sætte rammen med et helt konkret eksempel.
I sommeren 2022 blev en mand fra den russiske militære efterretningstjeneste, GRU, pågrebet, da han forsøgte at infiltrere den Internationale Straffedomstol i den hollandske by Haag under dække af at være en praktikant fra Brasilien.
Hans forsøg på at snige sig ind har givet vis handlet om at skabe en mulighed for at få indflydelse på retssagerne.
Episoden fik dog ingen indflydelse på sager om krigsforbrydelser begået af russere i Ukraine, men havde de hollandske myndigheder ikke fået et tip, kunne sagen have udviklet sig i en helt anden retning og i værste fald fået direkte betydning for rigtige mennesker.
Kan du med ro i maven garantere, at en uvedkommende person, med en fuphistorie som alibi, vil blive forment adgang til din virksomhed?
PET har advaret om, at flere lande udviser en stigende interesse for visse forskningsområder og teknologier, som har det til fælles, ”at de indgår i et større teknologisk kapløb, som kan have betydning for globale sikkerhedspolitiske, militære og økonomiske magtforhold.”
Det kan man læse i rapporten: Vurdering af spionagetruslen mod Danmark.
Danske organisationer og virksomheder er med andre ord ombejlede mål for angreb- både i den digitale og analoge verden. Det sidste bliver desværre ofte et ’glemt’ punkt på sikkerhedsdagsordenen.
Fokus på fysisk sikkerhed
Vi bruger meget tid og mange ressourcer på digitale sikkerhedsforanstaltninger, men jeg oplever ofte, at der langt fra er det samme fokus på den fysiske sikkerhed.
Eller rettere, mange tror, den fysiske sikkerhed er på plads, men hvis man ser den efter i sømmene, så er der god plads til forbedringer.
Har du fx. defineret, hvilke af dine ansatte, der må have adgang til jeres serverrum? Kontrollerer I at personer har et gyldigt og synligt identitetskort?
Får I deaktiveret kort fra ansatte, som forlader virksomheden? Og hvad med de kort, medarbejdere mister på den ene eller den anden måde?
Du har sikkert nedskrevet politiker og retningslinjer om fysiske regler men min erfaring er, at disse langt fra altid efterleves, og at mange blot har ’rejst et hegn’ foran virksomheden og ikke tager hånd om de sikkerhedslag, der skal implementeres bag hegnet - og alle lag skal være repræsenteret for at bygge en sikker forretning.
Jeg er stor tilhænger af den tillidsbaserede organisation, men min anbefaling er, at der skal være en sund balance mellem tillid og overvågning ud fra princippet; trust but verify.
Du leder med stor sandsynlighed efter anormaliteter i dine digitale forsvarslinjer. Det skal du naturligvis også gøre, når det drejer sig om den fysiske sikkerhed – kontinuerligt.
Hvis historien om den russiske GRU-agents forsøg på spionage var et enkeltstående tilfælde, så var der ikke de store problemer, men det er det selvfølgelig ikke.
Også aktivister angriber både digitalt og fysisk – den franske efterretningstjeneste, DGSI, har for eksempel efterforsket flere hærværksangreb mod fiberkabler i landet.
Vi er ligeledes nødt til at se på områder som eksempelvis droneaktivitet, terrorhandlinger eller klimaforandringer, der kan ramme din virksomhed hårdt.
Beredskabsstyrelsens liste over de største trusler mod Danmark indeholder et punkt om vejrfænomenet solstorme – det er næppe tilfældigt.
Vurdér med BIA og mål din modenhed
De ovenstående eksempler er alle elementer, der skal være med i dine risikovurderinger, så de kan kontrolleres og håndteres korrekt.
Ligeledes kan der også være nogle compliance-regler, der skal overholdes og man skelner for eksempel ikke mellem digital og fysisk sikkerhed i NIS2 eller Critical Entities Resilience-direktivet (CER).
Hvis du har et ønske om at efterleve ISO 27001-standarden, indeholder den også flere elementer, der omhandler den fysiske sikkerhed.
Det handler om områder som lokations- og facilitetssikkerhed, adgangskontrol samt beskyttelse af udstyr.
Igen en understregning af at den fysiske sikkerhed er en uundværlig brik i din samlede (cyber)sikkerhed.
Derfor skal du have et overblik over, hvilke fysiske rammer og værdier der skal beskyttes, samt hvordan du gør.
For at komme godt i gang med arbejdet med fysisk sikkerhed, kan du bruge din Business Impact-analyse (BIA) til at fokusere på konsekvenserne samt de nødvendige investeringer og herefter modenhedsanalyse som en måde at måle din resultater på.
Din BIA bør centreres omkring:
Vurdering af risikoappetit: Det indebærer en evaluering af organisationens strategiske villighed til at acceptere visse niveauer af risiko i forhold til trusler og sårbarheder. Formålet er at udvikle en effektiv og afbalanceret cybersikkerhedsstrategi.
Vurdering af risikotolerance: Det indebærer evalueringen af forretningens evne til at håndtere de potentielle konsekvenser af hændelser. Det kan omfatte tab af data, forretningsafbrydelser og økonomiske tab.
Vurdering af aktiver: Det omfatter identifikation og evaluering af dine ressourcer for at bestemme værdi og kritikalitet. Disse vurderinger informerer om nødvendige sikkerhedsforanstaltninger og ressourceallokeringer.
Dette ’strategiske partnerskab’ mellem BIA og modenhedsanalyse sikrer ikke kun en dybdegående forståelse af potentielle (fysiske) trusler og deres indvirkning, men gør det også muligt at måle, planlægge og forbedre organisationens evne til at håndtere trusler over tid.
Læs mere om modenhed i min tidligere klumme her på Computerworld: Bæredygtig cybersikkerhed bygges på modenhed og balance
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.