Abonner
SIKKERHET

Disse spørsmålene bør du stille IT-sikkerhetsfolkene dine før ferien

Tilhører du ledelsen eller styret i en virksomhet og har dermed ansvar også for IT- og cybersikkerhet? Da er det en del spørsmål du bør stille til IT- og sikkerhetsfolkene dine.

Senior informasjonssikkerhetsrådgiver Simen Bakke skriver i innlegget at virksomhetsledelser og styrer bør stille noen kontrollspørsmål til IT-sikkerhetsfolkene sine før de tar sommerferie.
Senior informasjonssikkerhetsrådgiver Simen Bakke skriver i innlegget at virksomhetsledelser og styrer bør stille noen kontrollspørsmål til IT-sikkerhetsfolkene sine før de tar sommerferie. Foto: Privat
Del
Kommenter
Simen Bakke, senior informasjonssikkerhetsrådgiver
2. juli 2024 - 12:21

De fleste som har jobbet med IT-sikkerhet noen år, vet at det pleier å være ulik forståelse for hva som er den faktiske sikkerhetstilstanden og vurderingene av hva som er «godt nok», mellom fagfolk og ledelse. Noen enkle spørsmål, stilt fra ledelsen til fagfolkene, kan imidlertid bidra til å gi ledelsen bedre situasjonsforståelse og dermed vurdering av egen sikkerhetstilstand. 

Selv om spørsmålene er relevante hver eneste dag, er de også spesielt relevante i forkant av høytider og ferier, ettersom bemanningen er lavere og flere cyberangrep mot virksomheter har en tendens til å inntreffe i ferieperioder. Angrepet som ble utført av kinesiske aktører mot de 12 departementenes IT-plattform i fjor sommer, er et godt eksempel. Det samme er løsepengevirus-angrepet mot Tomra, hvor IT-systemene ble utilgjengelige midt i fellesferien.

Seks viktige områder

Her er spørsmålene: 

Trusseletterretning: Gir lederen kunnskap om hvem som kan gjennomføre et angrep.

  • Har vi kunnskap om hvilke aktører som er interessert i vår virksomhet?
  • Er dette primært kriminelle aktører ute etter økonomisk vinning, eller avanserte og målrettede aktører?
  • Er det grunn til å anta at vi vil bli forsøkt utsatt for målrettet spionasje eller sabotasje fra avanserte aktører?

Grunnsikring og prioritering: Gir lederen kunnskap om hvordan egen sikkerhetstilstand er.

  • Gitt trusselbildet vi står ovenfor, har vi på plass en god nok grunnsikring for å forhindre, stanse og oppdage angrep?
  • Har vi oversikt over de viktigste IT-systemene og dataene som understøtter virksomheten?
  • Er disse prioriterte systemene og dataene sikret tilstrekkelig til å forhindre nedetid og kompromittering?
  • Hvilke kjente angrepsvektorer og sårbarheter har vi mot disse systemene?
  • Er det tiltak vi kan iverksette nå, for å redusere muligheten for utnyttelse?
  • Har vi tiltak som kan oppdage angrep som blir utført, ref. spørsmålet over?
Toppledere er blitt for distansert fra sin egen kjernevirksomhet, og det er kritisk at ledelsen i produksjonsbedrifter vet forskjellen på IT og OT, skriver Tom-Roger Stensberg i Triple-S i denne kronikken.
Les også

Nå må toppledelsen begynne å bry seg om OT-cybersikkerhet

Avhengigheter: Gir lederen kunnskap om forhold til andre, utenfor egen kontroll.

  • Har vi kontroll på den underliggende IT-infrastrukturen som de prioriterte IT-tjenestene og dataene ligger på?
  • Har de prioriterte IT-tjenestene og dataene avhengigheter til andre tjenester internt eller hos andre leverandører?
  • Har vi undersøkt hvordan tjenestene er sikret hos leverandøren?
Artikkelen fortsetter etter annonsen
annonsørinnhold
DNV
Nyansatt hos Norges mest populære arbeidsgiver: – Har truffet blink

Beredskap: Gir lederen kunnskap om hvordan vi vil håndtere sikkerhetshendelser.

  • Hvis en sikkerhetshendelse oppstår, vet alle ansatte hvem som skal varsles?
  • Har vi på plass vaktordninger slik at ressursene for å håndtere en hendelse er til stede, også utenfor normal arbeidstid?
  • Har vi IT-systemer 'på utsiden' som gjør det mulig å kommunisere/håndtere, dersom våre primærsystemer går ned?
  • Har vi tilstrekkelig kompetanse selv, eller er vi avhengig av bistand?
  • Har vi avtaler med noen eksterne, i så tilfelle: Hvem ringer vi?

Gjenoppretting: Gir lederen kunnskap om gjenoppretting av normaltilstand ved en hendelse.

  • Dersom og data blir endret eller slettet, klarer vi å gjenopprette normaltilstand?
  • Har vi backup av alle viktige data?
  • Har vi testet eller øvd på at vi faktisk er i stand til å gjenopprette IT-systemene?

Og viktigst av alt for en leder: Gir ledelsen en totalvurdering av hvordan tilstanden faktisk er.

  • Er ditt inntrykk at vi har et forsvarlig sikkerhetsnivå for virksomheten, gitt det trusselbildet vi står i?
Vi er tilhengere av en nøysom KI-utvikling basert på en edruelig tilnærming til utvikling og konstant jakt på effektivitet, skriver Claude Le Pape-Gardeux i dette innlegget.
Les også

KI trenger en ordentlig slankekur

Gir kunnskap om egen virksomhet

Dette er et utvalg sentrale spørsmål som det er relevant for ledelsen å stille til IT- og sikkerhetsfolkene. Spørsmålene er relevante hver eneste dag. For noen av tiltakene kan det kreve betydelige forberedelser å svare ut at man faktisk har en «god nok» tilstand. Spørsmålene er spesielt relevante i forkant av ferieperioder, og det er fremdeles mulighet for å gjøre enkle tiltak knyttet til vaktordninger og varslingslister, selv om sommerferien nærmer seg med stormskritt.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
På trappene til internasjonal suksess
På trappene til internasjonal suksess

Ved å stille disse spørsmålene til IT- og sikkerhetsfolkene i virksomheten, får ledelsen i beste fall betryggende svar om at tilstanden er «god nok», og man kan ta ferie med senkede skuldre. Alternativet er at man får vite at tilstanden burde vært bedre, men da lærer man i det minste noe om egen virksomhet. Det er en god ting. Da vet man hva som bør prioriteres av oppgaver etter sommerferien. Resultatet av kartleggingen vil derfor uansett ha et positivt utfall for alle parter.

Og man er, som virksomhetsleder og styre, litt bedre forberedt til en lang og god sommerferie!

El og IT-forbundet streiket blant annet ved Økern portal.
Les også

IT-streiken er over

Les mer om:
DEBATTSIKKERHET
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Den norske kirke / Kirkerådet
Virksomhetsarkitekt
Den norske kirke / Kirkerådet
Oslo |
18. okt.
    En tjeneste fra