HØYESTE NIVÅ: It-sikkerhet er forretningskritisk og bør derfor prioriteres på høyeste nivå. Ledelsen bør, og må, sette seg inn i truslene og utfordringene bedriften står overfor, skriver Jesper Olsen. (Foto: Istock)

KOMMENTAR: Ledelsen må ta it-sikkerhet på alvor

Det er it- og sikkerhetsansvarlige som har hovedansvaret for it-sikkerheten. Men det er styret og toppledelsen som har prioriteringsansvaret. Nettopp derfor er det avgjørende at ledelsen forstår hva som skjer dersom sikkerheten ikke tas på alvor.

Publisert

Det stadig mer kompliserte og voksende trusselbildet er uten tvil en av alle norske bedrifters største hodepiner. Mengden angrep stiger drastisk samtidig som de blir mer sofistikerte. En av de nyeste trendene er ransomware-as-a-service (RaaS). Du kan rett og slett kjøpe ransomware-software som hyllevare på det mørke nettet.

De fleste bedriftsledere er klar over sikkerhetsutfordringene bedriften de leder står overfor. Spesielt i disse dager. Dessverre er det ikke alltid slik at bekymringene er synonyme med gjennomføringen av nødvendige sikkerhetstiltak. Vi ser altfor for ofte at it-ansvarlige ønsker å polstre virksomhetens forsvarsverk uten å få gjennomslag i toppledelsen.

Se innover

Så hvordan bør du forholde deg til truslene vi står ovenfor? For det første er det viktig å se innover. Som nevnt – it-sikkerhet er forretningskritisk og bør derfor prioriteres på høyeste nivå. Ledelsen bør, og må, sette seg inn i truslene og utfordringene bedriften står overfor. For det er så enkelt at dersom bedriften rammes hardt er det ingen bedrift å lede.

Jesper Olsen, direktør for sikkerhet i Palo Alto Network, Nord- Europa (Foto: Michael Quist)

Ledelsen må ha en grunnleggende forståelse for utfordringene og hvilke teknologier og tjenester som brukes, og dermed må beskyttes. Ikke minst må de vite hvor motstandsdyktig bedriften faktisk er med tanke på det å oppdage og reagere på et angrep – og på å gjenopprette etter et angrep.

Dette må skje via den it-ansvarlige direkte. Det er tross alt dette vedkommende blant annet er ansatt for. Med kunnskap er det mulig å iverksette og prioritere hvor det skal handles være seg om det dreier seg om utdannelse av fronlinjeansatte, håndtering av usikret eldre utstyr og software eller forbedring av bedriftens nettverk.

Viktig er det også å forstå trusselbildet til bedriften. It-kriminelle utnytter alle tenkelige smutthull og muligheter for å ramme bedrifter i alle størrelser. Spesielt har pandemien og det hybride kontoret drastisk endret spillereglene. Virtuelle møteplattformer som Teams og bruk av VPN betyr at det er enklere enn noen gang å jobbe hjemmefra. Men hackere utnytter for eksempel gjerne barns naivitet for å ramme foreldrenes PC-er via det usikre hjemmenettverket for å få tilgang via VPN til bedriftsnettverket.

Hybrid problematikk

Hybride arbeidsplasser er kommet for å bli. Derfor må det også på plass nye tiltak for å beskytte både bedrift og ansatte. Er det gjort nok for å beskytte de ansatte på hjemmekontoret? Bruker de en vanlig forbrukerruter fra teleoperatøren eller er det installert sikrere utstyr? De fleste it- og sikkerhetsansvarlige har informasjon om hva som bør gjøres. Lytt til dem og lag en plan sammen for hva, hvor og når det skal gjøres prioriteringer.

Hva enn bedriften har i sikkerhetsverktøyskassen matcher ikke nødvendigvis med moderne behov og utfordringer. Det kan fort føre til ytterligere utgifter og flere restriksjoner for de ansatte.

Det viktigste poenget er ledelsen må forstå er at eksisterende it-sikkerhetsprioriteringer ikke alltid fremmer virksomheten. Hva enn bedriften har i sikkerhetsverktøyskassen matcher ikke nødvendigvis med moderne behov og utfordringer. Det kan fort føre til ytterligere utgifter og flere restriksjoner for de ansatte.

Det er en tøff diskusjon som bør, og må, tas. En diskusjon som bør ta for seg behovet for å oppgradere eksisterende it-sikkerhetsbehov, samt en prat om risikoen i eldre systemer. Likeledes bør it-sikkerhet implementeres enhetlig i alle bedriftssiloer og lokasjoner – være seg om det er på hjemmekontoret, avdelingen eller på hovedkontoret.

Det handler i bunn og grunn om å sikre at bedriftens motstandskraft er robust nok. Noe som kun oppnås ved å ha forståelse for it-sikkerheten generelt. Det krever ingen dataopplæring. Ledelsen kommer langt ved å lytte til erfaringene og kunnskapen til it- og sikkerhetsansvarlige.

Jesper Olsen, direktør for sikkerhet i Palo Alto Network, Nord- Europa