STÅ PÅ: Det kan være tungt å få virksomheten til å investere isikkerhet før det smeller, men man må ikke gi opp av den grunn, skriver Thomas Tømmernes, Head of IT-Security i Atea Norway. (Foto: Istock)

Fra krise til kontroll

«Hvor dritt kan det egentlig gå?» Det kan du gjerne si om du er Harald Rønneberg i et TV-program. Men innenfor it-sikkerhet, kan det gå skikkelig dritt.

Publisert

Spesielt hvis du ikke har den viktigste faktoren på plass: Ressurser tilgengelig døgnet rundt, hele året, med høy ekspertise. For husk at det sjelden bare er din virksomhet som er under it-angrep. Angrepene kommer gjerne i bølger, og da gjelder det å ha nok folk som kan det de driver med.

Grunnleggende sikkerhetshygiene

Å måtte investere i it-sikkerhetsløsninger blir av mange virksomhetsledere dessverre fortsatt sett på som å måtte kjøpe forsikringer. Du trenger jo egentlig ikke It-sikkerhet før det smeller eller hva?

Helt feil. Du investerer i It-sikkerhet for å redusere sjansen for at det smeller. Men du er aldri 100 prosent trygg, uansett hva en ivrig selger måtte påstå. En virksomhet kan derimot ved å utføre en modenhetsanalyse, basert på Nasjonal sikkerhetsmyndighets (NSM) grunnprinsipper, få på plass grunnleggende sikkerhetshygiene. Det kan stoppe opptil 98 prosent av dagens angrep. Men dette er å jobbe forebyggende og krever investeringer i kompetanse. Både for å jobbe forebyggende og for å kunne håndtere et it-angrep.

KOMMENTATOR: Thomas Tømmernes kommenterer om sikkerhet for Computerworld. (Foto: Ane Svensli)

Kjøp av sikkerhetstjenester krever kompetanse

Det gjelder å ha tungen riktig i munnen for innkjøpsansvarlig når man tar valget om hvilken løsning man skal investere i. Innkjøpsrollen har over de siste årene fått et langt større behov for krav til kompetanse enn tidligere. Da du lett kunne velge tilbyder ut ifra pris, fordi du kun trengte en brannmur eller andre enkle løsninger. Den tiden er forbi. Nå må innkjøp jobbe tett med eksperter og lytte til it-avdelingen basert på vurderinger av hva de trenger. Noe som har blitt helt avgjørende nå som truslene er flere og mer sofistikerte enn tidligere.

Dette er viktig når du skal investere

Å kjøpe tjenester stiller helt andre krav enn å vurdere to tilbydere opp mot hverandre som selger en lik boks. Da kan man enklere bestemme vinner utefra pris, leveransetid, vedlikehold og serviceapparat. Slik er det ikke når man kjøper en sikkerhetstjeneste som består av operative sikkerhetseksperter som jobber for din virksomhets sikkerhetsløsning døgnet rundt.

Her er min sterkeste anbefaling for å utfordre - og utfordre masse.

5 minimumskrav til hva du skal spørre om:

  • Hvor mange personer har leverandøren tilgjengelig når det «smeller»?
  • Har de utførende konsulenter til å løse utfordringen?
  • Hvor raskt kan dere forvente bistand når ulykken er ute?
  • Hvilken kompetanse får dere tilgang på, og hvilken erfaring har ressursene? · Er hendelseshåndteringsteamet, de som rykker ut for å håndtere it-angrep, på NSMs godkjente liste?

Bli forbanna: Ikke gi opp. Men bruk alle disse minimumskravene til å utfordre oss som selger it-sikkerhet.

Vår jobb er å være relevante, ha høy kompetanse, kunne svare på alle spørsmål om it-sikkerhet og være gode rådgivere. Og sist, men ikke minst: Stå i hendelsen sammen med deg om uhellet skulle være ute.

Husk at vi som lever av it-sikkerhet lever av renommeet vårt, og gjør vi en dårlig jobb, så mister vi tilliten. Ingen kjøper noe av folk de ikke har tillitt til.

Inntil skrivelysten tar meg igjen er jeg i studio med podcast serien Før Alarmen Går, der vi intervjuer eksperter som kan forklare It-sikkerhet på en folkelig måte og bistår samfunnet med å løfte den generelle sikkerhetsforståelsen i samfunnet.